浅谈如何防治ARP病毒

浅谈如何防治ARP病毒

近期，现一种新的“ARP欺骗”木马病毒在互联网上迅速扩散．主要表现为用户频繁断网、IE浏览器频繁出错以及一些常用软件出现故障等问题。Arp病毒在局域网中感染较多，清理和防范都比较困难，给不少的网络管理员造成了很多的困扰。

一ARPSpoofing攻击原理分析
在局域网中，通过ARP议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞或者实现“mailinthemiddle”进行ARP重定向和嗅探攻击。用伪造源MAC地址发送ARP响应包，对ARP高速缓存机制的攻击。每个主机都用一个ARP高速缓存存放最近IP地址到MAC硬件地址之间的映射记录。MSWindows高速缓存中的每一条记录(条目)的生存时间一般为6O秒，起始时间从被创建时开始算起。默认情况下，ARP从缓存中读取IP—MAC条目，缓存中的IP．MAC条目是根据ARP响应包动态变化的。因此，只要网络上有ARP响应包发送到本机，即会更新ARP高速缓存中的IP．MAC条目。攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IPMAC条目，造成网络中断或中间人攻击。ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是l92．168．10．3(C的IP地址)．MAC地址是DD．DD—DD．DD．DD。DD(C的MAC地址本来应该是CC．CC—CC．CC．CC．CC，这里被伪造了)。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存(A可不知道被伪造了)。当攻击源大量向局域网中发送虚假的ARP信息后，就会造成局域网中的机器ARP缓存的崩溃。

二、ARP病毒分析
当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器』：网现在转由通过病毒主机上网．切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了某网银或网络信箱等服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录服务器，这样病毒主机就可以盗号了。由于ARP欺骗的木马程宁发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。在ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MACNew地址都一致为病毒主机的MAC地址)，同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。如果是在路由器的“系统历史记录”中看到大量MACOld地址都一致，则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时，主机在路由器上恢复其真实的MAC地址)。

三、定位ARP攻击源头和防御方法
1.定位ARP攻击源头主动定位方式：
因为所有的ARP攻击源都会有其特征一．网卡会处于混杂模式．可以通过ARPKilIer这样的T具扫描网内有哪台机器的网卡是处于混杂模式的，从而判断这台机器有可能就是“元凶”。定位好机器后，再做病毒信息收集，提交给趋势科技做分析处理。标注：网卡可以置于一种模式叫混杂模式(promiscuous)，在这种模式下工作的网卡能够收到一切通过它的数据，而不管实际上数据的目的地址是不是它。这实际就是SnifferT作的基本原理：让网卡接收一切它所能接收的数据。被动定位方式：在局域网发生ARP攻击时，查看交换机的动态ARP表中的内容，确定攻击源的MAC地址；也可以在局域居于网中部署SnifferT具，定位ARP攻击源的MAC。也可以直接Ping网关IP，完成Ping后，用ARP．a查看网关IP对应的MAC地址．此MAC地址应该为欺骗的MAC。使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址．如果有“ARP攻击”在做怪，可以找到装有ARP攻击的PC的IP、机器名和MAC地址。命令：“nbtscan—rl92168．16．0／24”(搜索整个l92．168．16．0／24网段，即l92．168．16．1一l92．168．16．254)；或“nbtscanl92．168．16．25．137”搜索192．168．16．25—137网段，即192．168．16．25．192．168．16．137。输出结果第一列是IP地址，最后一列是MAC地址。通过上述方法，我们就能够快速的找到病毒源，确认其MAC．．)机器名和IP地址。
2．防御方法
a．使用可防御ARP攻击的层交换机，绑定端口．MAC．IP，限制ARP流量，及时发现并自动阻断ARP攻击端口，合理划分VLAN，彻底阻止盗用IP、MAC地址．杜绝ARP的攻击。
b．对于经常爆发病毒的网络，进行Internet访问控制，限制用户对网络的访问。此类ARP攻击程序一般都是从Intemet下载到用户终端．如果能够加强用户上网的访问控制，就能极大的减少该问题的发生。
c．在发生ARP攻击时．及时找到病毒攻击源头，并收集病毒信息，可以使用趋势科技的SIC2．0，同时收集可疑的病毒样本文件，一起提交到趋势科技的TrendLabs进行分析，TrendLabs将以最快的速度提供病毒码文件，从而可以进行ARP病毒的防御。
四、针对未感染病毒。而受到影响的计算机解决方法：
l、Windows用户可通过在命令行方式(开始“．”程序“．”附件“菜单下调出”命令提示符“)下执行”arps网关IP网关MAC地址“命令来减轻中毒计算机对本机的影响。网关IP和MAC地址可在网络工作正常时通过命令行方式下的“arp．a'’命令来得到。

2、使用AntiARPSniffer软件保护本地计算机正常运行。输入网关地址(网关地址获取方式：[开始]．．>[程序]．．>[附件]菜单下调出“命令提示符”，输入ipeonfig，其中DefaultGateway即为网关地址)；点击获取网关MAC地址，点击自动防护保证当前网卡与网关的通信不被第三方监听。点击恢复默认，然后点击防止地址冲突，如频繁的出现IP地址冲突，这说明攻击者频繁发送ARP欺骗数右击[我的电脑】．．>[管理】．一>点击[事件查看器】．．>点击[系统】一一>查看来源为fTcpIP]．．．>双击事件可以看到显示地址发生冲突，并记录了该MAC地址，请复制该MAC地址并填入AntiARPSniffer的本地MAC地址输入框中(请注意将：转换为．)，输入完成之后点击瞄护地址冲突]．为了使MAC地址生效请禁用本地网卡然后再启用网卡，在CMD命令行中输入Ipconfig／all，查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符，如果成功将不再会显示地址冲突。