談?wù)勅绾畏婪禔RP攻擊

　　寧夏馬蓮臺電廠(chǎng)的網(wǎng)絡(luò )是典型的三層交換，采用了思科的設備，核心層是一臺Cisco 6500 , 匯聚層是兩臺Cisco 6500，分別連接生產(chǎn)樓和生活區的設備,在生產(chǎn)區樓里如集控室、化驗樓、燃供樓、檢修間、除灰樓、小車(chē)庫都掛著(zhù)Cisco 3550作為接入層。全廠(chǎng)一共有200多臺計算機通過(guò)交換機連成一個(gè)局域網(wǎng)。

　　馬蓮臺電廠(chǎng)網(wǎng)絡(luò )拓撲圖

　　2、網(wǎng)絡(luò )故障現象

　　局域網(wǎng)內的計算機出現外部網(wǎng)站訪(fǎng)問(wèn)速度緩慢，甚至無(wú)法打開(kāi)的現象，客戶(hù)端用戶(hù)頻繁出現斷網(wǎng)并發(fā)現IP沖突。最嚴重的時(shí)候出現部分生產(chǎn)樓網(wǎng)絡(luò )癱瘓。

　　3、故障分析：

　　3.1故障原因查找

　　在開(kāi)始不能上網(wǎng)的計算機上運行arp –a，說(shuō)明：10.216.96.3是網(wǎng)關(guān)地址，后面的00-00-0c-07-0a-01是網(wǎng)關(guān)的物理地址。此物理地址默認情況下是不會(huì )發(fā)生改變的，如果發(fā)現物理地址不是此地址說(shuō)明自己已經(jīng)受到了arp病毒的攻擊 。

　　查找過(guò)程：

　　(1)、執行arp –a 列出了：

　　10.216.96.18 00-0F-EA-11-00-5E

　　10.216.96.3 00-0F-EA-11-00-5E (網(wǎng)關(guān))

　　由于之前我們已經(jīng)知道網(wǎng)關(guān)的正確物理地址是00-00-0c-07-0a-01，此時(shí)卻變成了00-0F-EA-11-00-5E，說(shuō)明10.216.96.18正在利用arp進(jìn)行欺騙，冒充網(wǎng)關(guān)。

　　(2)、執行arp –d 清除ARP列表信息。重新運行arp –a看數據類(lèi)表的可疑IP地址是否存在，不存在說(shuō)明此IP地址正常;存在，說(shuō)明該機器肯定有ARP病毒。

　　(3) 使用tracert命令

　　在任意一臺受影響的主機上，在DOS命令窗口下運行如下命令：tracert 61.135.179.148(外網(wǎng)IP地址)。假定設置的缺省網(wǎng)關(guān)為10.8.6.1，在跟蹤一個(gè)外網(wǎng)地址時(shí)，第一跳卻是10.8.6.186，那么，10.8.6.186就是病毒源。

　　3.2 ARP攻擊原理分析

　　ARP，全稱(chēng)Address Resolution Protocol，中文名為地址解析協(xié)議，它工作在數據鏈路層，在本層和硬件接口聯(lián)系，同時(shí)對上層提供服務(wù)。ARP病毒造成網(wǎng)絡(luò )癱瘓的原因可以分為對路由器ARP表的欺騙，和對內網(wǎng)PC的網(wǎng)關(guān)欺騙兩種。第一種必須先截獲網(wǎng)關(guān)數據。它使路由器就收到一系列錯誤的內網(wǎng)MAC地址，并按照一定的頻率不斷更新學(xué)習進(jìn)行，使真實(shí)的地址信息無(wú)法通過(guò)更新保存在路由器中，造成的PC主機無(wú)法正常收到回應信息。第二種是通過(guò)交換機的MAC地址學(xué)習機制，當局域網(wǎng)內某臺主機已經(jīng)感染ARP欺騙的木馬程序，就會(huì )欺騙局域網(wǎng)內所有主機和路由器，讓所有上網(wǎng)的流量都必須經(jīng)過(guò)病毒主機。

　　4、調查結論：

　　通過(guò)以上查找分析，局域網(wǎng)內有計算機感染ARP 病毒，中毒的機器的網(wǎng)卡不斷發(fā)送虛假的ARP數據包，告訴網(wǎng)內其他計算機網(wǎng)關(guān)的MAC地址是中毒機器的MAC地址，是其他計算機將本來(lái)發(fā)送網(wǎng)關(guān)的數據發(fā)送到中毒機器上，導致整個(gè)局域網(wǎng)都無(wú)法上網(wǎng)，嚴重乃至整個(gè)網(wǎng)絡(luò )的癱瘓。我們知道局域網(wǎng)中的數據流向是:網(wǎng)關(guān)→本機; 如果網(wǎng)絡(luò )有ARP 欺騙之后,數據的流向是:網(wǎng)關(guān)→攻擊者→本機,因此攻擊者能隨意偷聽(tīng)網(wǎng)絡(luò )數據,截獲局域網(wǎng)中任一臺機器收發(fā)的郵件,WEB瀏覽信息等，還會(huì )竊取用戶(hù)密碼。如盜密碼、盜取各種網(wǎng)絡(luò )游戲密碼和賬號去做金錢(qián)交易，盜竊網(wǎng)上銀行賬號來(lái)做非法交易活動(dòng)等，這是木馬的慣用伎倆，給用戶(hù)造成了很大的不便和巨大的經(jīng)濟損失。

　　5、防范所采取措施

　　5、1 用戶(hù)端防范措施：

　　安裝arp防火墻或者開(kāi)啟局域網(wǎng)ARP防護，比如360安全衛士等arp病毒專(zhuān)殺工具，并且實(shí)時(shí)下載安裝系統漏洞補丁，關(guān)閉不必要的服務(wù)等來(lái)減少病毒的攻擊。

　　如果在沒(méi)有防范軟件安裝的情況下，也可以通過(guò)編寫(xiě)簡(jiǎn)單的批處理程序來(lái)綁定網(wǎng)關(guān)來(lái)防止ARP欺騙，步驟如下：

　　(1)首先，獲得安全網(wǎng)關(guān)的內網(wǎng)的MAC地址。以windows xp為例。點(diǎn)擊“開(kāi)始”→“運行”→輸入cmd，點(diǎn)擊“確定”后，將出現相關(guān)網(wǎng)絡(luò )狀態(tài)及連接信息，輸入arp –a，可以查看網(wǎng)關(guān)的MAC地址

　　(2)編寫(xiě)批處理文件arp.bat內容如下：

　　@echo off

　　arp –d

　　arp –s 10.216.96.3(安全網(wǎng)關(guān)) 00-09-ac-82-0d (網(wǎng)關(guān)的MAC地址)注：arp -s 是用來(lái)手動(dòng)綁定網(wǎng)絡(luò )地址(IP)對應的物理地址(MAC)

　　(3) 編寫(xiě)完以后，點(diǎn)擊“文件” →“另存為”。注意，文件名一定要是*.bat，點(diǎn)擊保存就可以。

　　(4) 將這個(gè)批處理文件拖到“windows→開(kāi)始→程序→啟動(dòng)”中，最后重起電腦即可。

　　5.2 網(wǎng)管員采取的防范措施

　　(1) 學(xué)會(huì )使用Sniffer抓包軟件。

　　ARP病毒最典型的現象就是網(wǎng)絡(luò )時(shí)通時(shí)斷，用Sniffer抓包分析，會(huì )發(fā)現有很多的ARP包。

　　(2) 在全網(wǎng)部署安裝ARP防火墻服務(wù)端及客戶(hù)端軟件

　　(3) 使用多層交換機或路由器：接入層采用基于IP地址交換進(jìn)行路由的第三層交換機。由于第三層交換技術(shù)用的是IP路由交換協(xié)議，以往的鏈路層的MAC地址和ARP協(xié)議失效，因而ARP欺騙攻擊在這種交換環(huán)境下起不了作用。

　　6、結束語(yǔ)

　　ARP欺騙在相當長(cháng)的時(shí)間內還會(huì )繼續存在，ARP欺騙也在不斷的發(fā)展和變化中，希望廣大網(wǎng)絡(luò )管理員密切注意它，從而減少對我們網(wǎng)絡(luò )的影響。

　　參考文獻：

　　[1] 王奇.以太網(wǎng)中ARP欺騙原理與解決辦法[J].網(wǎng)絡(luò )安全技術(shù)與應用,2007,(2)

　　[2]謝希仁.計算機網(wǎng)絡(luò ).北京：人民郵電出版社，2006.

　　[3] 趙鵬.計算機網(wǎng)絡(luò )系統中基于A(yíng)RP協(xié)議的攻擊與保護[J].網(wǎng)絡(luò )安全技術(shù)與應用, 2005.1:101.

【談?wù)勅绾畏婪禔RP攻擊】相關(guān)文章：

緩沖區溢出攻擊的分析及防范策略03-18

談?wù)勅绾芜M(jìn)行盈余管理03-18

防火墻在防范局域網(wǎng)內外部攻擊中的應用11-16

如何有效控制與防范內部審計風(fēng)險03-22

探析數字圖書(shū)館網(wǎng)絡(luò )防治ARP病毒的策略03-19

企業(yè)如何防范財務(wù)風(fēng)險03-22

ＡＲＰ病毒的攻擊原理分析03-14

外貿企業(yè)如何防范匯率風(fēng)險的兩類(lèi)方法02-28

企業(yè)應如何防范和化解財務(wù)危機03-22