106 应用科学 2科01 10年第期 9霸 ARP欺骗攻击及安全防范探讨 黄兴华 ,龙全圣 (1.江西警察学院,江西南昌330000;2.江西旅游商贸职业学院,江西南昌330000) 摘 要分析ARP欺骗攻击的过程和攻击危害,有针对性提出解决ARP欺骗攻击方案,最后给出安全防范的措施和原则。 关键词ARP协议;局域网;ARP欺骗;安全防范 中图分类号TP3 文献标识码A 文章编号1673—9671一(2olo)1ol一0106—01 1 ARP欺骗综述 ARP欺骗就是一种用于会话劫持攻击中的常见手法。地址解析协议 (ARP)利用第2层物理MAC地址来映射第3层逻辑IP地址,如果设备知 道了IP地址,但不知道被请求主机的MAC地址,它就会发送ARP请求。 ARP请求通常以广播形式发送,以便所有主机都能收到。 网络中的某一台电脑中了ARP病毒,通过他自动发送ARP欺骗包, 正常的TCP/IP网络是不会有这样的错误包发送的,而人工发送又比较麻 烦。也就是说当黑客没有运行这个恶毒程序的话,网络上通信应该是 切正常的,保留在各个连接网络计算机上的ARP缓存表也应该是正确 的,只有程序启动开始发送错误ARP信息以及ARP欺骗包时才会让某些 计算机访问网络出现问题。 ARP欺骗可以造成内部网络的混乱,让某些被欺骗的计算机无法正 常访问内外网,让网关无法和客户端正常通信。实际上他的危害还不仅 仅如此,由于系统并不会判断ARP缓存的正确与否,无法像IP地址冲突 那样给出提示。 一”NetGroup Packet Filter Driver’’ msitinit.(uJ还负责发送指令来操作驱动程序npf.sys(如发送APR欺骗 包,抓包,过滤包等)。以下从病毒代码中提取得服务相关值: 3)npLsys负责监护msitinit.dll|并将LOADHW.EXE注册为自启动程 序: [HKEY—L0CAL』江ACHINE OF ARE\MicIDs0lt_、Windaws、 CmrentVersionkRunOnce] dwMyTest=LOADHW.EXE 由于该项位于RunOnee下,该注册表启动项在每次执行后,即会被 系统自动删除。 3 ARP欺骗攻击防范原则 1)建立DHCPJ] ̄务器(建议建在网关上,因为DHCP不占用多少 CPU,而且ARP欺骗攻击一般总是先攻击网关,我们就是要让他先攻击 网关,因为网关这里有监控程序的,网关地址建议选择192.168.10.2,把 192.168.10.1留空,如果犯罪程序愚蠢的话让他去攻击空地址吧),另外 所有客户机的IP地址及其相关主机信息,只能由网关这里取得,网关这 里开通DHCP ̄务,但是要给每个网卡,绑定固定唯一IP地址。一定要 保持网内的机器I Ac一一对应的关系。这样客户机虽然是DHCP取地 址,但每次开机的 都是一样的。 2)建立MAC数据库,把局域内所有网卡的MAC地址记录下来,每 个MAC和 、地理位置统统装入数据库,以便及时查询备案。 3)网关机器关闭A时动态刷新的过程,使用静态路邮,这样的话, 即使犯罪嫌疑人使用ARP欺骗攻击网关的话,这样对网关也是没有用 的,确保主机安全。 网关建立静态IP/MAC捆绑的方法是:建立/ete/ethers文件,其中包含 正确的IP聊AC对应关系,格式如下: 192.168.,.32 08:00:4E:BO:24:47 2 ARP病毒分析 由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域 网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越 慢。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切 换过程中用户会再断一次线。 在路由器的“系统历史记录”中看到大量如下的信息: MAC Ch ed 10.128.103.124 MACOld00:0l:6c:36:dl:7f MACNew00:05:5d:60:e7:18 这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始 运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址 (即所有信息的MAC New地址都一致为病毒主机的MAC地址),同时在 路由器的“用户统计”中看到所有用户的MAC地址信息都一样。 如果是在路由器的“系统历史记录”中看到大量MAc 0ld地址都一 致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运 行时,主机在路由器上恢复其真实的MAC地址)。 BKDRNPFECT.A病毒引起A 欺骗之实测分析:, Part1.病毒现象 中毒机器在局域网中发送假的APR应答包进行APR欺骗,造成其他 客户机无法获得网关和其他客户机的网卡真实MAC地址,导致无法上网 和正常的局域网通信。 Part2.病毒原理分析: 病毒的组件 本文研究的病毒样本有三个组件构成: ADHW.EXE(108,386bytes)…..”病毒 组件释放者” %windows%kSystem32Mrivers ̄apf.sys(1 19,808 bytes)…一”发AfuP欺 骗包的驱动程序” %wiI1d0ws%kSystem32 ̄nsitinit.du(39,952 bytes)…“命令驱动程序 发ARP欺骗包的控制者” 病毒运作基理: 1)IA)ADHW.EXE执行时会释放两个组件n sys和msitiniLdl1. LOADHW.EXE释放组件后即终止运行。 注意:病毒假冒成winPeap的驱动程序,并提供wir p的功能.客户 若原先装有winPcap。 n西s,端会被病毒文件覆盖掉。 2)随后111sitinit.dll将npf.sys注册(并监视)为内核级驱动设备: 然后再 tc/rc.d/re.10c晰添加: aIp.f生效即司。 4)网关监听网络安全。网关上面使用TCPDUM曜序截取每个ARP 程序包,弄一个脚本分析软tq-SY析这些ARP协议。ARP欺骗攻击的包一 般有以下两个特点,满足之一可视为攻击包报警:第一以太网数据包头 的源地址、目标地址和ARP数据包的协议地址不匹配。或者,ARP数据 包的发送和目标地址不在自己网络网卡MAC数据库内,或者与自己网 络MAC数据库MAC/IP不匹配。这些统统第一时间报警,查这些数据包 (以太网数据包)的源地址(也有可能伪造),就大致知道那台机器在 发起攻击了。 5)安装局域网杀毒件.在发生ARP攻击时,及时找到病毒攻击源 头,并收集病毒信息,可以使用趋势科技的SIC2.0,同时收集可疑的病 毒样本文件,一起提交到趋势科技的TmndLabs进行分析,Tren ̄以 最快的速度提供病毒码文件,从而可以进行ARP病毒的防御。 6)使用可防御ARP攻击的三层交换机,绑定端口一MAC—IP,限制 ARP流量,及时发现并自动阻断 击端口,合理划分VLAN,彻底阻 止盗用IP、MAC地址,杜绝ARP的攻击。 7)对于经常爆发病毒的网络,进行Intemet ̄问控制,限制用户对网 络的访问。此类AR瞰击程序一般都是从Intenert下载到用户终端,如果 能够加强用户上网的访问控制,就能极大的减少该问题的发生。 参考文献 [1]任侠,吕述望.arp协议欺骗原理分析与抵御方法[J】.计算机工程,2005 【2]张海燕.arp漏洞及其防范技术[J】周络与信息安全,2006.