一、ARP攻击原理及防范
在局域网中如果时常上不了网,但是网络的连接正常,而局域网的网络情况却时好时坏,那么这很可能就是ARP欺骗已经发作的征兆。 ARP的内容和原理: ARP的全称是:Address Resolution Protocol,也就是地址解析协议。顾名思义,其主要作用就是“地址解析”,即通过目标设备的IP地址,查询目标地址的MAC地址。在局域网中,如果要在两台主机之间进行通信,就必须要知道目标主机的IP地址,但是起到传输数据的物理设备网卡并不能直接识别IP地址,只能识别其硬件地址MAC地址,MAC地址是一个全球唯一的序列号并由12个16进制数构成。主机之间的通信,一般都是网卡之间的通信,而网卡之间的通信都是根据对方的MAC地址来进行工作的,而ARP协议就是一个将数据包中的IP地址转换为MAC地址的网络协议。 ARP在局域网中的作用:而在规模越来越庞大的局域网中,存在上百台主机已经很普及,如何在这么多的主机的MAC地址中,快速又准确的记住每个网卡对应的IP地址和MAC地址的对应关系,这就要依靠一个存在于所有主机中的ARP缓存表来进行记录。例如局域网中有A、B两台主机并通过交换机相连接,当A需要给B所在的IP地址发送数据时,A就要先查找自己的ARP缓存表,看其中是否存在这个IP的MAC地址,如果有就直接发送。如果没有,那么A就要向整个局域网发送广播要求使用这个IP地址的主机进行响应,B收到广播后会向A返回一个响应信息,说明自己的MAC和A所要发送的IP地址是对应关系,而A收到B所返回的信息后会将这个IP和MAC进行记录,以后如果要再发送信息,则可以从ARP缓存表中直接查找并发送。 ARP病毒的危害: ARP缓存表记录了所有和和其宿主主机进行通讯过的其他电脑的MAC-IP对应关系,而漏洞也恰恰在此。如果局域网中的一台电脑进行欺骗性地使用自己的IP地址来冒充其他主机的MAC地址。比如:在B和C的通讯时,这时出现一台A机器,它告诉B说它就是C,结果B机器就认为它是C了,并且在B的缓存中,原先C的IP地址被对应到了A的MAC上。于是,本来要从B发送到C的消息就被发送到A机器上了,A机器实际上就发起了一次ARP欺骗。 ARP病毒就是利用上述原理来对整个局域网来进行破坏,其中除了使其他电脑上不了网之外,还可以利用自身“帮”网关转发信息的特权给数据包添加病毒代码。比如,用户打开一个本来正常的网页,但是由于ARP病毒的存在,这个原本正常的网页会带上若干恶意连接,使用户感染上病毒。 ARP防护软件点评:伴随ARP欺骗的隐蔽性和广泛性,目前出现了多种可以防止ARP欺骗的软件,它们的工作原理一般有两种:第一种是拦截ARP的攻击或者是IP冲突,保障系统不会受ARP攻击的影响;第二种是防止恶意攻击程序篡改本机的ARP缓存表。第一种方法可以通过广播指定IP地址正确的MAC地址,它能够立即解决ARP攻击引起的挂马、掉线等问题,但同时也会给网络带来一定的负载。第二种方法较为简单,不会对网路有什么影响,但防护效果较差。目前比较流行的ARP防护类软件有:AntiARP防火墙、瑞星个人防火墙2008、360ARP防火墙等,它们的工作原理无外乎上述两种。 1、 AntiARP AntiARP是目前使用比较广泛的ARP防护类软件,其默认的选项就可以有效防范一般的ARP欺骗攻击。在使用的时候应该特别注意一个问题:在AntiARP的“配置”中的“主动防御和跟踪”中进行设置时,如果勾选“主动防御”下“始终启用”可能会造成对整个局域网带来一定的负载,并且随“防御速度”的大”硐指为明显。强烈建议校园网用户不要开启此种防护。
二、ARP命令详解
ARp是一个重要的TCp/Ip协议,并且用于确定对应Ip地址的网卡物理地址。实用arp命令,我们能够查看本地计算机或另一台计算机的ARp高速缓存中的当前内容。此外,使用arp命令,也可以用人工方式输入静态的网卡物理/Ip地址对,我们可能会使用这种方式为缺省网关和本地服务器等常用主机进行这项作,有助于减少网络上的信息量。
“凑杖笔∩柚茫珹Rp高速缓存中的项目是动态的,每当发送一个指定地点的数据报且高速缓存中不存在当前项目时,ARp便会自动添加该项目。一旦高速缓存的项目被输入,它们就已经开始走向失效状态。例如,在Windows NT/2000网络中,如果输入项目后不进一步使用,物理/Ip地址对就会在2至10分钟内失效。因此,如果ARp高速缓存中项目很少或根本没有时,请不要奇怪,通过另一台计算机或路由器的ping命令即可添加。所以,需要通过arp命令查看高速缓存中的内容时,请最好先ping 此台计算机(不能是本机发送ping命令)。
ARp常用命令选项:
·arp -a或arp –g
用于查看高速缓存中的所有项目。-a和-g参数的结果是一样的,多年来-g一直是UNIX平台上用来显示ARp高速缓存中所有项目的选项,而Windows用的是arp -a(-a可被视为all,即全部的意思),但它也可以接受比较传统的-g选项。
·arp -a Ip
如果我们有多个网卡,那么使用arp -a加上接口的Ip地址,就可以只显示与该接口相关的ARp缓存项目。
·arp -s Ip 物理地址
我们可以向ARp高速缓存中人工输入一个静态项目。该项目在计算机引导过程中将保持有效状态,或者在出现错误时,人工配置的物理地址将自动更新该项目。
·arp -d Ip
使用本命令能够人工删除一个静态项目。
例如我们在命令提示符下,键入 Arp –a;如果我们使用过 ping 命令测试并验证从这台计算机到 Ip 地址为 10.0.0.99 的主机的连通性,则 ARp 缓存显示以下项:
Interface:10.0.0.1 on interface 0x1
Internet Address physical Address Type
10.0.0.99 00-e0-98-00-7c-dc dynamic
在此例中,缓存项指出位于 10.0.0.99 的远程主机解析成 00-e0-98-00-7c-dc 的媒体访问控制地址,它是在远程计算机的网卡硬件中分配的。媒体访问控制地址是计算机用于与网络上远程 TCp/Ip 主机物理通讯的地址。
至此我们可以用ipconfig和ping命令来查看自己的网络配置并判断是否正确、可以用netstat查看别人与我们所建立的连接并找出ICQ使用者所隐藏的Ip信息、可以用arp查看网卡的MAC地址。
三、ARP病毒攻击技术分析与防御 APR病毒,一种地址欺骗的病毒。
中毒症状:网络周期性断开(比如半个小时断一次),最后直至整个网络阻塞瘫痪。 一、ARP Spoofing攻击原理分析
在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。ARP协议是“Address Resolution
Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是―帧‖,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓―地址解析‖就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞或者实现―man in the middle‖ 进行ARP重定向和嗅探攻击。用伪造源MAC地址发送ARP响应包,对ARP高速缓存机制的攻击。每个主机都用一个ARP高速缓存存放最近IP地址到MAC硬件地址之间的映射记录。MS Windows高速缓存中的每一条记录(条目)的生存时间一般为60秒,起始时间从被创建时开始算起。默认情况下,ARP从缓存中读取IP-MAC条目,缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此,只要网络上有ARP响应包发送到本机,即会更新ARP高速缓存中的IP-MAC条目。攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和 MAC地址存储在ARP缓存中。因此,B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD- DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A可不知道被伪造了)。当攻击源大量向局域网中发送虚假的ARP信息后,就会造成局域网中的机器ARP缓存的崩溃。 Switch上同样维护着一个动态的MAC缓存,它一般是这样,首先,交换机内部有一个对应的列表,交换机的端口对应MAC地址表Port n <-> Mac记录着每一个端口下面存在那些MAC地址,这个表开始是空的,交换机从来往数据帧中学习。因为MAC-PORT缓存表是动态更新的,那么让整个 Switch的端口表都改变,对Switch进行MAC地址欺骗的Flood,不断发送大量假MAC地址的数据包,Switch就更新MAC-PORT缓存,如果能通过这样的办法把以前正常的MAC和Port对应的关系破坏了,那么Switch就会进行泛洪发送给每一个端口,让Switch基本变成一个 HUB,向所有的端口发送数据包,要进行嗅探攻击的目的一样能够达到。也将造成Switch MAC-PORT缓存的崩溃。 二、ARP病毒分析
当局域网内某台主机运行ARP欺骗的木马程序时,会骗欺局域域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。切换到病毒主机上网后,如果用户已经登陆了游戏服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录游戏服务器,这样病毒主机就可以盗号了。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。 在路由器的―系统历史记录‖中看到大量如下的信息:
MAC Chged 10.128.103.124MAC Old 00:01:6c:36:d1:7fMAC New 00:05:5d:60:c7:18
这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址),同时在路由器的―用户统计‖中看到所有用户的MAC地址信息都一样。
如果是在路由器的―系统历史记录‖中看到大量MAC Old地址都一致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时,主机在路由器上恢复其真实的MAC地址)。
BKDR_NPFECT.A病毒引起ARP欺骗之实测分析
病毒现象:中毒机器在局域网中发送假的APR应答包进行APR欺骗, 造成其他客户机无法获得网关和其他客户机的网卡真实MAC地址,导致无法上网和正常的局域网通信.
病毒的组件
本文研究的病毒样本有三个组件构成:
%windows%\\SYSTEM32\\LOADHW.EXE”..................病毒组件释放者
%windows%\\System32\\drivers\\npf.sys”...............发ARP欺骗包的驱动程序
%windows%\\System32\\msitinit.dll ”..............命令驱动程序发ARP欺骗包的控制者
按以下顺序删除病毒组件 1) 删除 ”病毒组件释放者”
%windows%\\SYSTEM32\\LOADHW.EXE
2) 删除 ”发ARP欺骗包的驱动程序” (兼 “病毒守护程序”)
%windows%\\System32\\drivers\\npf.sys a. 在设备管理器中, 单击”查看”-->”显示隐藏的设备” b. 在设备树结构中,打开”非即插即用….”
c. 找到” NetGroup Packet Filter Driver” ,若没找到,请先刷新设备列表 d. 右键点击” NetGroup Packet Filter Driver” 菜单,并选择”卸载”. e. 重启windows系统,
f.删除%windows%\\System32\\drivers\\npf.sys 3) 删除 ”命令驱动程序发ARP欺骗包的控制者” %windows%\\System32\\msitinit.dll 2. 删除以下”病毒的假驱动程序”的注册表服务项:
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Npf
三、定位ARP攻击源头和防御方法 1.定位ARP攻击源头
主动定位方式:因为所有的ARP攻击源都会有其特征——网卡会处于混杂模式,可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的,从而判断这台机器有可能就是―元凶‖。定位好机器后,再做病毒信息收集,提交给趋势科技做分析处理。
标注:网卡可以置于一种模式叫混杂模式(promiscuous),在这种模式下工作的网卡能够收到一切通过它的数据,而不管实际上数据的目的地址是不是它。这实际就是Sniffer工作的基本原理:让网卡接收一切它所能接收的数据。
被动定位方式:在局域网发生ARP攻击时,查看交换机的动态ARP表中的内容,确定攻击源的MAC地址;也可以在局域居于网中部署Sniffer工具,定位ARP攻击源的MAC。 也可以直接Ping网关IP,完成Ping后,用ARP –a查看网关IP对应的MAC地址,此MAC地址应该为欺骗的MAC。
使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址,如果有‖ARP攻击‖在做怪,可以找到装有ARP攻击的PC的IP、机器名和MAC地址。
命令:―nbtscan -r 192.168.16.0/254‖(搜索整个192.168.16.0/254网段, 即192.168.16.1-192.168.16.254);或―nbtscan 192.168.16.25-137‖搜索
192.168.16.25-137 网段,即192.168.16.25-192.168.16.137。输出结果第一列是IP地址,最后一列是MAC地址。 NBTSCAN的使用范例:
假设查找一台MAC地址为―000d870d585f‖的病毒主机。
1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。
2)在Windows开始—运行—打开,输入cmd(windows98输入―command‖),在出现的DOS窗口中输入:C: btscan -r 192.168.16.1/24(这里需要根据用户实际网段输入),回车。
3)通过查询IP--MAC对应表,查出―000d870d585f‖的病毒主机的IP地址为―192.168.16.223‖。
通过上述方法,我们就能够快速的找到病毒源,确认其MAC——〉机器名和IP地址。 2.防御方法
a.使用可防御ARP攻击的三层交换机,绑定端口-MAC-IP,限制ARP流量,及时发现并自动阻断ARP攻击端口,合理划分VLAN,彻底阻止盗用IP、MAC地址,杜绝ARP的攻击。
b.对于经常爆发病毒的网络,进行Internet访问控制,限制用户对网络的访问。此类ARP攻击程序一般都是从Internet下载到用户终端,如果能够加强用户上网的访问控制,就能极大的减少该问题的发生。
c.在发生ARP攻击时,及时找到病毒攻击源头,并收集病毒信息,可以使用趋势科技的SIC2.0,同时收集可疑的病毒样本文件,一起提交到趋势科技的TrendLabs进行分析,TrendLabs将以最快的速度提供病毒码文件,从而可以进行ARP病毒的防御。 病毒运作基理:
1.LOADHW.EXE 执行时会释放两个组件npf.sys 和msitinit.dll . LOADHW.EXE释放组件后即终止运行.
注意: 病毒假冒成winPcap的驱动程序,并提供winPcap的功能. 客户若原先装有winPcap,
npf.sys将会被病毒文件覆盖掉.
2.随后msitinit.dll将npf.sys注册(并监视)为内核级驱动设备: \Filter Driver\
msitinit.dll 还负责发送指令来操作驱动程序npf.sys (如发送APR欺骗包, 抓包, 过滤包等)
以下从病毒代码中提取得服务相关值:
BinaryPathName = \SERVICE_AUTO_STARTServiceType=
SERVICE_KERNEL_DRIVERDesiredAccess=
SERVICE_ALL_ACCESSDisplayName = \
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库ARP详解在线全文阅读。
相关推荐: