2024年3月9日发(作者:)
维普资讯
研究与交流
信息与检索
l学界
校园网络
病毒攻击和对策
口黄少敏
计算机网络具有联结形式多样性、终端分布不均匀性和网
00—00-00—00-00-22”。这样,主机A就知道了主机B的
络的开放性、互联性等特征,致使网络易受黑客、恶意软件和其 MAC地址,它就可以向主机B发送信息了。同时它还更新了19
他不轨人员的攻击,无论一个单位属于何种类型,它们都面I临着
己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓
一
个同样的问题:如何面对来19互联网上各种不安全因素的挑
存表里查找就可以了。
ARP缓存表是动态更新的,通常采用老化机制,在一段时间
战。黑客、病毒在网上的觊觎为企事业的发展带来巨大的压力。
解决计算机病毒问题最有效的方法是加强防范工作。下面我们
内如果表中的某一行没有使用,就会被删除,这样可以大大减少
将结合近期我院局域网内计算机感染ARP病毒的情况做一些讨
ARP缓存表的长度,加快查询速度。ARP缓存表是可以查看的,
论。
也可以添加和修改。在命令提示符中输入”arp-a”就可以查看
ARP缓存表中的内容了。
用”arp-d”命令可以删除ARP表中某一行的内容i用
1.ARP的应用原理
p—X”可以手动在ARP表中指定iP地址与MAC地址的对
在局域网中的网络中实际传输的是“帧”,帧里面是有目标
“ar
主机的MAC地址的。但这个目标MAC地址是通过ARP《ad-
应。
dress resolution protoco1.地址解析协议)获得的。ARP协议的基
木功能就是通过目标设备的1P地址,查询目标设备的MAC地
址以保证通信的顺利进行。
IP地址与MAC地址是一一对应的。如表1所示。
表1 IP地址与MAC地址对应表
2.ARP病毒工作过程
ARP病毒的工作原理,其实是对局域网中的机器进行ARP
欺骗,虚拟局域网内部的网关地址,以此来收集局域网中登录信
息。通过解析得到用户信息的破坏性软件。该软件
只要在局域网的任何一台客户机上安装并且运行,
就可以获取整个网吧内所有的登录信息。
主机
A
jP地址
202.192.145.1
MAC地址
00-00—00—00-00—1 1
ARP病毒工作时,首先在将安装有ARP机器
的网卡MAC地址通过ARP欺骗广播至整个局域
网,使局域网中的工作站误认为安装ARP的机器是
该局域网的网关。由于局域网中的所有信息都必须
通过网关来中转,当它伪装成网关时,由于物理地
B
C
202.192.145.2
202.192.145.3
00—00—00—00—00—22
00-00.—00——00-00.—33
我们以主机A向主机B发送数据为例。当发送数据时,主
机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果
址错误,网络上的计算机发来的数据无法正常发送到网关,无法
正常上网,造成这些计算机无法访问外网,而局域网中所有机器
的数据却都可能流经它而被它窃取。
从上面ARP协议的工作流程我们可以看到,通过修改IP
地址与MAC地址的对应关系,通过物理地址的篡改,可以达到
ARP地址欺骗或攻击的目的。
找到了,也就知道了目标MAC地址,直接把目标MAC地址写
入帧里发送就可以了;如果在ARP缓存表中没有找到相对应的
iP地址,主机A就会在网络上发送一个广播,目标MAC地址是
“FF.FF.FF.FF,FF.FF”,这表示向同一网段内的所有主机发
出这样的询问:“202.192.145l2的MAC地址是什么?”,网络
上其他主机并不响应ARP询问,只有主机B接收到这个帧时,
才向主机A做出这样的回应:“202.192 145l2的MAC地址是
基于ARP协议的这一工作特性,借助于一些黑客工具例如
网络剪刀手等,黑客向对方计算机不断发送有欺诈性质的ARP
广东科技2007 04总第166期
维普资讯
学界I 信息与检索 研究与交流
数据包和ARP恢复数据包,数据包内包含有与当前设备重复的 有用户的MAC地址信息都一样。
MAC地址,使对方在回应时,由于简单的地址重复错误而导致 如果是在交换设备的日志中看到大量MAC Old地址都一
不能进行正常的网络通信,这样就可以在一台普通计算机上通
致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程
过发送ARP数据包的方法来控制网络中任何一台计算机的上网
序停止运行时,主机在路由器上恢复其真实的MAC地址)。
与否,甚至还可以直接对网关进行攻击,让所有连接网络的计算
机都无法正常上网。
除了在交换设备日志外,还可以通过一些扫描程序,探测网
络中哪些主机的网卡处于混杂模式,这些主机也有可能是感染
了ARP木马。
3.ARP木马病毒发作特征
ARP攻击不仅会造成网络中断,而且会对网络数据安全造
我们可以使用NBTSCAN工具来快速查找:
NBTSCAN可以取到PC的真实1P地址和MAC地址,如
成巨大的隐患,一般情况下,受到ARP攻击的计算机会出现两
种现象:
(1)不断弹出“本机的XX段硬件地址与网络中的XX段地
址冲突”的对话框;
(2)计算机不能上网,出现网络中断的症状。
这种攻击是利用ARP请求报文进行“欺骗”的,所以防火
墙会误以为是正常的请求数据包而不予拦截,因此普通的防火
墙很难抵挡这种攻击。
从攻击的目标来看,ARP欺骗分为3种:
(1)路由器ARP列表的欺骗,欺骗的原理是截获网关数据。
它通知路由器一系列错误的内网MAC地址,并按照一定的频
率不断发送,使真实的地址信息无法通过更新保存在路由器中,
结果路由器的所有数据只能发送给错误的MAC地址,使PC无
法收到信息,造成网络中断,不停变更的MAC地址,就是路由
器ARP列表欺骗病毒的一种。
②交换机ARP列表的欺骗。交换机内部同样维护着一个动
态可升级的MAC缓存,有一个对应的端口MAC地址列表,交
换机的端口对应MAC地址表,Portn<-->MAC记录着每一个
端口下面存在的MAC地址。MAC/CAM攻击是指利用工具产
生欺骗MAC,快速填满交换机的CAM表,这时新的MAC地址
的数据包就会广播到交换机所有端口,交换机就像共享Hub一
样工作,黑客可以用工具监听所有端口的流量,此类攻击不仅造
成安全性的破坏,而且大量的广播包降低了交换机的性能,甚至
造成网络堵塞或崩溃。
⑧内网的网关欺编,欺骗的原理是伪造网关。通过建立虚假
网关,让被它欺骗的PC向假网关发送数据,而不是通过正常的
途径,这也就是上不了网、网络掉线,当攻击源向局域网大量发
送虚假的ARP信息后,就会造成局域网中ARP缓存的崩溃。
4.查找感染ARP木马的主机 ‘
在交换设备的日志中可以看到大量如下所示的类似信息:
MAC Chged 202.192.145.1
MA C Old 00:00:6e:f8:d7:jf
MA C New 00:0s:3f:3a:24:c2
这个信息代表用户的MAC地址发生了变化,在ARP欺骗
木马开始运行的时候,局域网所有主机的MAC地址更新为病
毒主机的MAC地址(即所有信息的MAC New地址都一致为
病毒主机的MAC地址),同时在路由器的“用户统计”中看到所
50
广东科技2007 04总第166期
果有ARP木马在作怪,可以找到装有木马的PC的IP和MAC
地址。
在命令提示符下输入:“nbtscan一202.192.145.O/24”
(搜索整个202.192.145.0/24网段,即202.192.145.1—
202.192.145.254)i输出结果第一列是IP地址,最后一列是
MAC地址。如果查到两个1P地址所对应的MAC地址相同,则
这两台电脑中必有一个中了ARP木马。
ARP欺骗攻击的包一般有以下两个特点,满足其中之一就
可以视为攻击包报警:第一是以太网数据包头的源地址、目标地
址和ARP数据包的协议地址不匹配;第二是ARP数据包的发
送和目标地址不在自己网络网卡MAC数据库内,或者与自己
网络的MAC数据库MAC/IP不匹配。
根据检测到的数据包,再把网关的、本网段的所有MAC地
址与自己网络的Mac数据库中的数据相对比,看看哪些不匹
配,就可以找到假冒的ARP数据包,然后逐步查找到攻击源。
5.攻击的防范
为了防范ARP攻击,我们认为通过以下七种手段来进行控
制:
(1)病毒源。对病毒源头的机器进行处理,杀毒或重新装系
统。此操作比较重要,解决了ARP攻击的源头PC机的问题,可
以保证内网免受攻击。
(2)管理员检查局域网病毒,安装杀毒软件(江民/瑞星,,必
须要更新病毒代码),对机器进行病毒扫描。
I3)给系统安装补丁程序,通过Windows Update安装好系
统补丁程序。
(4)给系统管理员账户设置足够复杂的密码,最好能是12
位以上,也可以禁用/删除一些不使用的账户。
(5)经常更新杀毒软件(病毒库),设置允许的可设置为每天
定时自动更新。安装并使用网络防火墙软件,网络防火墙在防病
毒过程中也可以起到至关重要的作用,能有效地阻挡来自网络
的攻击和病毒的入侵。
(6)关闭一些不需要的服务,条件允许的可关闭一些没有必
要的共享。完全单机的用户也可直接关闭Server服务。
(7)不要随便点击打开QQ、MSN等聊天工具上发来的链
接信息,不要随便打开或运行陌生、可疑文件或程序,如邮件中
的陌生附件,外挂程序等。一
(作者单位:汕头大学医学院)
发布评论