2024年3月9日发(作者:)
计算机光盘软件与应用
工程技术
Computer CD Software and Appl ications 2010年第6期
ARP病毒的分析与防护
朱文燕
(武警江苏总队,南京210000)
摘要:现代化的办公系统往往都离不开对电脑的使用,企业和部门电脑运行的稳定尤为重要,由于人们为对电脑的使
用不当,或是信息管理部门的管理疏忽,使我们的网络经常受到电脑病毒的干扰,特别是常见的ARP病毒,比如聚生网管、
P2P终结者、网络执法官、网络剪刀手、局域网终结者等。ARP病毒通常表现为网络传播快,感染终端定位困难等特点,
一
旦感染就导致大面积的计算机终端无法进行网络访问
关键词:ARP攻击;ARP协议;ACL
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599(2010)05—0068—02
Analysis and Protection ARP Virus
Zhu Wenyan
(Jiangsu People‘S Armed Police Corps,Nanjing 21 0000,China)
Abstract:Modem 0衢ce systems often can not be separated on the use of computers.enterprise and departmental computer
running stability is particularly important,as people for the inappropriate use of computer or information management department of
management oversight.SO that our network always susceptible to virus interference,in particular,the ARP iS a common virus,such
aslNetwork.P2P Terminator,network magistrates,network scissors in hand,LAN Terminator and SO on.ARP virus manifests itself in
the network transmission speed.dificulfties in positioning the terminal characteristics of infection.once the infection has led to large
areas ofthe computer terminal can not be network access
Keywords:ARP attacks;ARP protocol;ACL
一
、
ARP协议分析
ISO国际标准组织把以“帧”的方式进行网络传播的网络
划分为七层,分别是应用层、表示层、会话层、传输层、网络
层、数据链路层、物理层。ARP(地址解析协议)工作在第二层数
据链路层中,是“AddressResolutionProtocol”的英文缩写。在
以太网中要使数据在不同的计算机之间进行通信,数据包必须包
含目的MAC地址和IP地址。一旦信源决定目的计算机的IP地址,
将查看自己的ARP表,定位目的MAC地址,并将IP地址和MAC
地址绑定封装数据,数据包经过网络连接介质被发送。ARP协议
就是用来确定IP地址和MAC地址之间这种对应关系的协议。
二、ARP病毒的工作原理
ARP协议存在的缺陷
(一)ARP的缓存区动态进行ARP协议包的的存取和更新。
(二)ARP协议存在没有认证机制的问题,只要收到目标mac
是自己的arp reply包或arp广播包(包括arp request和arp
reply),都会接受并缓存。
由于ARP协议以上的缺陷给病毒的传播留下了隐患。局域网
的计算机设备通过ARP表中的IP和MAC的对应关系进行数据的对
应传输,在可信的局域网中ARP协议可以高效、稳定的进行传输。
而ARP病毒在局域网内发送错误的ARP病毒包,局域网内的机器
在收到错误的ARP包以后就会把原本正确的网管MAC地址进行修
改,使得数据包全部发送到错误的网关MAC地址上。ARP病毒就
是利用这个原理对局域网进行破环,截取其他主机的数据包。ARP
病毒欺骗分为二种。
种是对路由器ARP表的欺骗,另一种是对内网PC的网关欺
一
些现有的手段进行快速的定位ARP攻击主机。
(一)通过交换机和路由的ARP列表进行排查,如果发现一
台主机的MAC地址对应了大黾的IP地址,那么我们就可以顺利的
查找到ARP攻击终端,并禁用相应的端口。
(二)我们可以通过网络抓包分析工具进行ARP攻击的定位,
在交换机设备上设置镜像端口,通过WinPcap获得整个局域网中
的ARP协议包,并进行分析。如果在分析的过程中发现应答包和
请求包不能一一对应,那么这个ARP包就是一个伪造包,从而确
定攻击终端。具体分析流程如下图。
一
(三)通过现有的一些软件如ARP防火墙、360安全卫士等
也能快速的定位攻击终端。
四、ARP攻击的防御
(一)通过手工绑定计算机网关的方式可以对ARP攻击进行
定的防御,并把下面的两行命令形成批处理文件后放入启动项
中,这样计算机每次启动后都会对应静态的网关地址。对于网络
一
骗。
第一种ARP欺骗的原理是截获网关数据。它通知路由器一系
列错误的内网MAC地址,并按照一定的频率不断进行,使真实的
环境经常变化、计算机终端数量比较大的单位不建议使用。
@echo off
arp—d
arp—S 192.168.0.254 Ol一20—04一XX—XX—XX
地址信息无法通过更新保存在路由器中,结果路由器的所有数据
只能发送给错误的MAC地址,造成正常Pc无法收到信息;第二种
ARP欺骗的原理是伪造网关。它的原理是建立假网关,让被它欺
骗的Pc向假网关发数据,而不是通过正常的路由器途径上网。
三、ARP攻击检测的定位
由于在ARP攻击的过程中,数据流量都是通过ARP攻击者控
制的主机就行转发,所以会出现大面积的计算机网卡被变为混杂
模式,或者局域网接入的机器上网速度很慢。这时我们可以通过
(二)建议使用带有ARP防御功能的交换机,在交换机中配
置静态ARP,还可以配置IP+MAC+port绑定。
比如在交换机端口E0/1上做以下配置:am user—bind
ip—addr 192.168.1.1 mac-addr 001f一83f8—09ea int eO/1在这
样的情况下只有IP地址为192.168.1.1,MAC地址为
(下转第59页)
计算机光盘软件与应用
2010年第6期
Computer CD Software and Appl icat ions 工程技术
也较小。既然多跳网络通常使用较低功率将数据传输到邻近的节
点,节点之间的无线信号干扰也较小,网络的信道质量和信道利
5.Mesh网络使用目前最先进的无线网络安全标准802.1li
(AES加密硬件支持),在现有的安全基础上支持第三方军用加密
机,通过使用加密机,可以使整个网络达到更高级别的安全性能。
(二)系统方案的高可靠性及安全性
本系统应用解决方案采用革命性的Mesh(网状网格)技术,
节点之间采用无线级联方式通信。同时每个节点都可与其他节点
以点对多点(point—to—multipoint)的方式连接。且无线级联没
有跳数的限制。这样,本系统应用解决方案可构建一个蜂窝网状
结构的网络。网内每个节点都有一条或多条的无线上联链路,提
供了高冗余性,保证了无线传输服务的高可用性。
从拓扑角度来说,Mesh结构超越了有线光纤传输网络的环状
用效率大大提高,因而能够实现更高的网络容量。比如在高密度
的城市网络环境中,Mesh网络能够减少使用无线网络的相邻用户
的相互干扰,大大提高信道的利用效率。
三、利用Mesh网络解决通信需求的方案描述
(一)利用Mesh灵活的组网方式,可以在军队有如下应用
1.军车全移动组网(野外)——在军车上安装无线Mesh节点,
组成一张可移动的网状自组网。军车上的Mesh节点可自我配置,
自动建立连接,组成蜂窝状的无线网络,提供无线通讯支持。在
车辆移动、队形不断变化,网络拓扑随之不断变动的情况下,Mesh
结构可以自动组网,使网络不会中断连接。节点可自动跳接,保
结构。在固定节点之间组网中,Mesh拓扑可组成稳定可靠的无线
特整网的稳定运行。监控摄像机通常被安装在军车上,被压缩成
网,即便任何一点或几点设备出现问题,不会影响整网的正常工
流媒体格式的图像信号通过网线从摄像机传送到车上的无线路由
作;对于固定骨干节点和移动或固定的接入节点混合组网,或者
器,再由无线路由器跳接,传送到指挥中心。这种方式主要用于 全移动组网,利用Mesh系统特有的快速感知拓扑结构变化的能
集团行军、演习、突发事件或战事需要等。 力,车辆可以在高达150公里/d,时的车速条件下保持无线网络连
2.混合组网(常驻营地)——采用固定骨干节点和移动接入
接,为军队在行军、演练和作战指挥环境里提供高质量的军事无
节点混合的方式组成Mesh网络。固定骨干节点的部署:预先架设 线通信系统。
在建筑物山顶等高处的固定节点,或由停靠在某处的移动通讯车
Mesh网络在军事环境中可以快速部署。新加入的节点也可以
充当固定骨干节点两种方式。由固定骨干节点在预先需要经过的
被自动发现,并可进而自主配置。降低了野外军事环境下组网的
路线或是营地周边进行快速建网。作为无线Mesh网络的骨干链 难度,争取了宝贵的战时时间。
路,为其他移动节点和终端提供稳定可靠的高带宽无线连接。Mesh Mesh系统支持业界先进的WPA2标准安全协议。同时也支持
的移动接入节点放置在车辆上,使用全向天线,在车辆高速行驶
802.1x认证和AES加密。802.ix动态密钥和AES加密需要天文数
时,在固定节点组成的无线网络里,进行无缝不问断的数据传输。 字的处理时间才有可能破解。并且动态更新的密钥使128位的密
监控摄像机通常被安装军车上或一些重要固定地点,被压缩成流 钥每分钟进行变化,绝对可以保证军用无线系统的安全。(注:
媒体格式的图像信号通过网线从摄像机传送到车上或固定点上的 wi—Fi Protected Access(1】IrPA)是用来保护无线Wi-Fi网络安全
无线路由器,再由无线路由器跳接,传送到上级机关。 的一个系统。WPA2是由wi—H联盟最新认证的标准安全协议,主
(二)骨干网络与移动接入节点相配合,即可快速建立一个 要采用业界先进的IEEE 802.11i无线网络安全协议。)
覆盖整个区域的无线Mesh网络,基本组成如下图所示
五、结束语
四、整体系统方案特点 综上所述,Mesh网络具有自动配置、性能自动调节、链路自
(一)Mesh网络的五大优势特点
主修复愈合等特性,支持负载均衡和冗余备份功能,为军用无线
1.Mesh网络不存在“单点故障”,即便任何节点出现问题,
网络提供了稳定可靠和安全的承载平台。从一个多业务平台
均不影响整个Mesh网络的稳定运行。
(Multi—Service Platform)角度讲,Mesh网络可以为军队的作
2.Mesh网络节点具有自动发现自主配置特性。在军车队形任
战指挥、演习和后勤等各个系统提供无线视频、语音和数据综合
意变化的情况下,Mesh网络仍可自动组网,在快速移动条件下依
通信支持。
然保持无线链路的畅通。
参考文献:
3.Mesh网络部署简单快速。节点可自动配置。在战时或演练
[1】强磊.基于软交换的下一代网络组网技术.人民邮电出版社,2005
的极短时间里,即可组建一个支撑多业务、高带宽、广泛覆盖的
[2】梁笃国_网络视频监控技术及应用人民邮电出版社,2009
军用Mesh网络。
【3】方旭明.下一代无线因特网技术:无线Mesh网络.人民邮电出版
4.Mesh网络运行稳定、可靠和安全。具有自动调节、链路自
社.2006
主修复愈合的功能。
(上接第68页)
所以我们还要在加强网络管理的同时,还要加强移动存储介质的
Oclf一83f8—09ea ARP报文可以通过E0/1端口,仿冒其它设备的
管理。而对于我们网管人员来说要不断的钻研新技术、新方法,
ARP报文则无法通过,同时还可以在交换机上下发ACL规则,这
只有这样才能保障总队内部网络的安全有效的运行。
样就可以做到过滤掉仿冒网关IP的ARP报文,同时缩小ARP攻击
参考文献:
影响的范围。
[I】张舜,林红.ARP协议的缺馅及ARP欺骗的防范U】.科协论坛(下
(三)网管人员定期对网络状况进行安全检查,通过相应的
半月),2008,6:5
网络嗅探工具,捕获分析伪造的ARP数据包,一旦发现问题及时
【2】杨晓春,李黎明.ARP欺骗实现交换式网络数据包嗅探原理及防
处理。
范 .株州工学院学报,2003,3:22—24
(四)提高使用人的安全使用计算机的习惯,经常进行系统
【3】秦丰林,段海新,郭汝廷,AR.P欺骗的监测与防范技术综述【ll_计
补丁、杀毒软件的更新。安装ARP网络防火墙如360安全卫士等。
算机应用研无2009,1:30—33
不随意访问网页,运行不被信任的程序。
五、结束语
作者简介
ARP病毒虽然是利用了ARP协议先天性的安全隐患,但是只 朱文燕(1982一)女,助理工程师,本科,研究方向网络安全。
要我们利用我们现在所能掌握的一些手段,还是能有效的对ARP
攻击进行有效的防御。由于总队网络采用了内外网隔离的方式,
发布评论