ARP攻击与解决方案.docx

1、ARP攻击与解决方案摘 要ARP协议作为计算机网络协议族的其中一个协议，对网络安全有重要的意义，现在计算机网络的应用中，出现ARP欺骗的现象比较普遍，造成了比较大的安全隐患，因此本论文对ARP欺骗做了恰当的分析，主要研究了ARP病毒入侵微机的途径和防治方法。从七个方面去研究ARP病毒，首先是了解网络协议，主要了解目前市面上应用得比较普遍的TCP/IP。在这一章节中，知道了ARP协议在网络传输过程中的作用。接着就是介绍ARP的工作原理，以便我们在后面可以从根源去解决问题。第四章主要介绍一下ARP病毒的主要特征，我们通过特征知道什么情况下就是中毒了，以便我们更好的去防治病毒。第五章主要讲的是ARP

2、病毒入侵的途径，哪些入侵途径对电脑的伤害更严重。第六章写的是从前面的研究中找到了解决ARP病毒的主要方式。最后就是ARP欺骗的两个实例的分析。关键词：网络安全; TCP/IP协议; ARP协议; ARP欺骗 AbstractThe ARP protocol as a protocol in which the computer network protocol family, has the important meaning to the network safety, now the application of computer network, ARP cheating phenome

3、non more generally, causing potential safety problems of relatively large, so this thesis against ARP spoofing the proper analysis, mainly studies the ways and methods of prevention and treatment ARP virus of computer.Study of ARP virus from seven aspects, the first is to understand the network prot

4、ocol, mainly about the currently available on the application of a common TCP/IP. In this chapter, know the effect of ARP protocol in the network transmission process. Then it introduces the working principle of ARP, so that we in the back can go to address the root causes of the problem. The fourth

5、 chapter mainly introduces the main characteristics of the ARP virus, we know what the characteristics of case is poisoned, so that we can better to prevent virus. The fifth chapter is about the ways of ARP virus, which approaches to computer intrusion damage more serious. The sixth chapter is about

6、 the main way to solve the ARP virus was found from the earlier study. Finally is the analysis of two examples of ARP spoofing.关键字：A computer virus prevent目录摘要 1第一章.计算机病毒的介绍 31.1 什么是计算机病毒 31.2 计算机病毒的种类 31.3 对ARP病毒研究的背景 3第二章.ARP知识介绍 42.1 ARP协议的概述 42.2 ARP的相关理论 42.2.1 OSI参考模型与TCP/ IP参考模型(图)： 42.2.2 以太

7、网技术 52.2.3 IP地址与MAC地址 6第三章. ARP的工作原理 63.1 ARP欺骗原理的概述 63.2 在同一网段内 63.3 在不同网段间 7第四章. ARP病毒现象 8第五章. ARP的主要欺骗入侵途径 95.1几种常见的ARP攻击方式 9第六章. ARP攻击的主要防治措施 106.1 IP地址和MAC地址的静态绑定 106.2采用VLAN技术隔离端口 106.3 采取802.1X认证 106.4 防火墙和杀毒软件 116.5其他方法 11第七章. ARP实例分析及解决方案 117.1 第一种流行实例分析 117.2 第二种流行实例分析 127.3 动态ARP检测测试经验案例

8、12结束语 16参考文献 16第一章.计算机病毒的介绍1.1 什么是计算机病毒计算机病毒：首先，与医学上的“病毒”不同，它不是天然存在的，是某些人利用电脑软、硬件所固有的脆弱性，编制具有特殊功能的程序。其能通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活,它用修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中，从而感染它们，对电脑资源进行破坏的这样一组程序或指令集合。1.2 计算机病毒的种类常见的计算机病毒主要有以下这些：引导区病毒、文件型、复合型、脚本病毒、宏病毒、特洛伊木马病毒、蠕虫病毒、黑客型病毒、后门病毒 。以下研究的是ARP病毒，ARP病毒并不是

9、某一种病毒的名称，而是对利用arp协议的漏洞进行传播的一类病毒的总称。arp协议是TCP/IP协议组的一个协议，用于进行把网络地址翻译成物理地址（又称MAC地址）。通常此类攻击的手段有两种：路由欺骗和网关欺骗。是一种入侵电脑的木马病毒。对电脑用户私密信息的威胁很大。1.3 对ARP病毒研究的背景随着科学的进步和社会的发展，网络也进入了高端的发展阶段。网络的迅速发展,在给人类生活带来方便的同时,也对网络安全提出了更高要求。网络协议安全是网络安全的重要环节,因此对网络协议的分析和利用越来越受到普遍关注。互联网的发展很大程度上归功于TCP/IP协议运行的高效性和开放性,然而TCP/IP协议在实现过程

10、中忽略了对网络安全方面的考虑,致使其存在着较多安全隐患。ARP协议是TCP/IP协议中重要的一员,其功能主要是为局域网内网络设备提供IP地址向硬件地址的转化,其设计建立在局域网内网络设备之间相互信任的基础上,由此产生了许多ARP欺骗攻击方法。许多木马和病毒利用ARP协议这一设计上的漏洞在局域网内进行ARP欺骗攻击,给局域网的安全造成了严重威胁。为解决ARP欺骗给局域网带来的安全问题,目前已有许多学者在这方面做了有意义的探索与实践,尽管某些方案在实际项目的应用中已相对成熟,但在防御能力上仍存在着一定的局限性。通过对相关软件知识的学习与研究,对该模型进行了设计与实现。该系统可用于学校、企业、网吧等

11、局域网内,提高局域网的网络安全性。第二章.ARP知识介绍2.1 ARP协议的概述ARP协议是Address Resolution Protocol地址解析协议的缩写,在局域网中以帧的方式进行传输数据,并且根据帧中目标主机的MAC地址来进行寻址。在以太网中,一台主机要和另一台主机进行直接通信,就必须要知道目的主机的MAC地址,这个目的MAC地址就是通过ARP协议获取的,地址解析就是主机在发送帧前将目的主机的IP地址转换成目的主机MAC地址的过程,这样才能保证局域网内各主机间可靠快速的通信。2.2 ARP的相关理论2.2.1 OSI参考模型与TCP/ IP参考模型(图)：1.1OSI参考模型的分层

12、结构OSI参考模型（OSI/RM）的全称是开放系统互连参考模型（Open System Interconnection Reference Model，OSI/RM），它是由国际标准化组织（International Standard Organization，ISO）提出的一个网络系统互连模型。OSI参考模型采用分层结构，如图1-1所示。 主机A 主机B 应用层协议 表示层协议 会话层协议 传输层协议 网络层协议 数据链路层协议 物理层协议图1-1 OSI参考模型在这个OSI七层模型中，每一层都为其上一层提供服务、并为其上一层提供一个访问接口或界面。不同主机之间的相同层次称为对等层。如主机A

13、中的表示层和主机B中的表示层互为对等层、主机A中的会话层和主机B中的会话层互为对等层等。对等层之间互相通信需要遵守一定的规则，如通信的内容、通信的方式，我们将其称为协议（Protocol）。我们将某个主机上运行的某种协议的集合称为协议栈。主机正是利用这个协议栈来接收和发送数据的。OSI参考模型通过将协议栈划分为不同的层次，可以简化问题的分析、处理过程以及网络系统设计的复杂性。OSI参考模型的提出是为了解决不同厂商、不同结构的网络产品之间互连时遇到的不兼容性问题。但是该模型的复杂性阻碍了其在计算机网络领域的实际应用。与此对照，后面我们将要学习的TCP/IP参考模型，获得了非常广泛的应用。实际上，

14、也是目前因特网范围内运行的唯一一种协议。1.2TCP/IP参考模型ISO制定的OSI参考模型的过于庞大、复杂招致了许多批评。与此对照，由技术人员自己开发的TCP/IP协议栈获得了更为广泛的应用。1.3TCP/IP参考模型的层次结构TCP/IP参考模型分为四个层次：应用层、传输层、网络互连层和主机到网络层。如图2-2所示。 图2-2 TCP/IP参考模型的层次结构2.2.2 以太网技术以太网是现在局域网采用的最通用的通信协议标准。该标准定义了在局域网（LAN）中采用的电缆类型和信号处理方法。以太网在互联设备之间以10100Mbps的速率传送信息包，双绞线电缆10 Base T以太网由于其低成本、

15、高可靠性以及10Mbps的速率而成为应用最为广泛的以太网技术。直扩的无线以太网可达11Mbps，许多制造供应商提供的产品都能采用通用的软件协议进行通信，开放性最好。2.2.3 IP地址与MAC地址MAC(Media Access Control)地址，或称为硬件位址，简称 MAC位址，用来定义网络设备的位置。在OSI模型中，第三层网络层负责 IP地址，第二层资料链结层则负责 MAC位址。因此一个主机会有一个IP地址，而每个网络位置会有一个专属于它的MAC位址。无论是局域网，还是广域网中的计算机之间的通信，最终都表现为将数据包从某种形式的链路上的初始节点出发，从一个节点传递到另一个节点，最终传送

16、到目的节点。数据包在这些节点之间的移动都是由ARP(Address Resolution Protocol：地址解析协议)负责将IP地址映射到MAC地址上来完成的。第三章. ARP的工作原理3.1 ARP欺骗原理的概述ARP欺骗的核心思想就是向目标主机发送伪造的ARP应答,并使目标主机接收应答中伪造的IP地址与MAC地址之间的映射对,以此更新目标主机ARP缓存。以下是通过理论说明ARP欺骗的过程，设定S代表源主机,也就是将要被欺骗的目标主机;D代表目的主机,源主机本来是向它发送数据;A代表攻击者,进行ARP欺骗。 进一步假设A已知的D的IP地址,于是他暂时将自己的IP地址改为D的IP地址。当S

17、想要向D发送数据时,假设目前他的ARP缓存中没有关于D的记录,那么他首先在局域网中广播包含的D的IP地址的ARP请求。但此时A具有与D相同的IP地址,于是分别来自A与D的ARP响应报文将相继到达S。此时,A是否能够欺骗成功就取决于S的操作系统处理重复ARP响应报文的机制。不妨假设该机制总是用后到达的ARP响应中的地址刷新缓存中的内容。那么如果A控制自己的ARP响应晚于D的ARP响应到达S,S就会将如下伪造映射:D的IP地址 A的MAC地址,保存在自己的ARP缓存中。在这个记录过期之前,凡是S发送给D的数据实际上都将发送给A。而S却毫不察觉。或者A在上述过程中,利用其它方法直接抑制来自D的ARP

18、应答将是一个更有效的方法而不用依赖于不同操作系统的处理机制。进一步,A可不依赖于上述过程,直接在底层伪造ARP响应报文来达到同样的目的。3.2 在同一网段内假设主机A和B在同一个网段,主机A要向主机B发送信息。具体的地址解析过程如下。(1) 主机A首先查看自己的ARP缓存表,确定其中是否包含有主机B对应的ARP表项。如果找到了主机B对应的MAC地址,则主机A直接利用ARP表中的MAC地址,对IP数据包进行帧封装,并将数据包发送给主机B。(2) 如果主机A在ARP缓存表中找不到对应的MAC地址,则将缓存该数据报文,然后以广播方式发送一个ARP请求报文。由于ARP请求报文以广播方式发送,该网段上的

19、所有主机都可以接收到该请求,但只有被请求的主机B会对该请求进行处理。(3) 主机B比较自己的IP地址和ARP请求报文中的目标IP地址,如果相同则将ARP请求报文中的发送端主机A的IP地址和MAC地址存入自己的ARP表中。之后以单播方式发送ARP响应报文给主机A。(4) 主机A收到ARP响应报文后,将主机B的MAC地址加入到自己的ARP缓存表中以用于后续报文的转发,同时将IP数据包进行封装后发送出去。 3.3 在不同网段间 当主机A和主机B不在同一网段时,主机A就会先向网关发出ARP请求报文。当主机A从收到的响应报文中获得网关的MAC地址后,将报文封装并发给网关。如果网关没有主机B的ARP表项,

20、网关会广播ARP请求,目标IP地址为主机B的IP地址,当网关从收到的响应报文中获得主机B的MAC地址后,就可以将报文发给主机B;如果网关已经有主机B的ARP表项,网关直接把报文发给主机B。ARP欺骗的技术原理 ：ARP欺骗，也可称为ARP中间人攻击，主要适用于以交换网络环境的局域网内。举例说明如下： 局域网环境为10.1.1.*，子网掩码为255.255.255.0； 网关为10.1.1.95，10.1.1.95网卡的MAC地址为01-03-04-AE-BC-06； 局域网中有三台测试主机，分别是： 局域网拓扑示意图如下： a) 正常的网络访问 当网络中不存在ARP欺骗攻击时，局域网内的主机一

21、（10.1.1.70）要访问Internet的链路如上面的示意图所示：（图中绿色线路为主机一正常访问Internet的链路）。主机一和路由器和主机三的IP都是公开的，主机一想要访问Internet就发送出一个数据包，这时路由器就根据主机一的IP找到在自己的ARP缓存表中相主机一的对应的MAC地址，如果有00-0F-1F-B9-B3-D8这个MAC地址，就给主机一发回来一个应答，实现网络访问。b)存在ARP欺骗的网络访问当网络中存在ARP欺骗攻击时，局域网内的主机二（00-02-B3-A6-80-5B）想要窃听到Internet 上的信息的链路如上面的示意图所示：（图中红色线路为主机二（10.1

22、.1.108）欺骗Internet的链路）。我们以主机二（10.1.1.70）向主机三（10.1.1.223）发送数据为例。此时主机二为实施ARP欺骗的攻击者，其目的是截获主机一和主机三之间的通讯数据，且主机二在实施欺骗前已预知主机一和主机三的IP地址。这时主机二先发送ARP包获得主机三的MAC地址，然后向主机三发送ARP Reply数据包，其中源IP地址为主机一的IP地址，但是源MAC地址却是主机二的MAC地址。主机三收到该ARP Reply后，将根据新的IP地址与MAC映射更新ARP缓存。这以后当主机三给主机一发送数据包时，目标MAC地址将使用主机二的MAC地址，因此交换机根据主机二的MA

23、C地址就将数据包转发到攻击者主机二所在的端口。同理，攻击者主机二发送ARP Reply使主机一确信主机三的MAC地址为主机二的MAC地址。在间歇的发送虚假ARP Reply的同时，攻击者主机二打开本地主机的路由功能，将被劫持的数据包转发到正确的目的主机，这时攻击者对主机一和主机三来说是完全透明的，通信不会出现异常，但实际上数据包却被主机二非法截获。攻击者主机二成为了“中间人”第四章. ARP病毒现象1. 局域网内频繁性地区域或整体掉线,重启计算机或网络设备后恢复正常。当带有 ARP欺骗程序的计算机在网内进行通讯时,就会导致频繁掉线。出现此类问题后重启计算机或禁用网卡会暂时解决问题,但掉线情况还

24、会发生。2. 网速时快时慢,极其不稳定,但单机进行光纤数据测试时一切正常。当局域内的某台计算机被ARP的欺骗程序非法侵入后,它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包,阻塞网络通道。造成网络设备的承载过重,导致网络的通讯质量不稳定。用户会感觉上网速度越来越慢或时常断线。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。第五章. ARP的主要欺骗入侵途径5.1几种常见的ARP攻击方式1. 中间人攻击：按照ARP协议的设计,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中

25、。这样可以减少网络上过多的ARP数据通信,但也为ARP欺骗创造了条件。如图1所示,PC-X为X主机,MAC-X为X主机的物理地址,IP-X为X主机的IP地址。PC-A和PC-C通过交换机S进行通信。此时,如果有攻击者(PC-B)想探听PC-A和PC-C之间的通信,它可以分别给这两台主机发送伪造的ARP应答报文,使PC-A中的ARP缓存表中IP-C和MAC-B所对应,PC-C中的ARP缓存表中IP-A和MAC-B所对应。此后,PC-A和PC-C之间看似直接的通信,实际上都是通过攻击者所在的主机间接进行的,如图1虚箭头所示,即PC-B担当了中间人的角色,可以对信息进行窃取和篡改。这种攻击方式就称作

26、中间人攻击。2. 拒绝服务攻击：拒绝服务攻击就是使目标主机不能响应外界请求,从而不能对外提供服务的攻击方法。 3. 克隆攻击： 攻击者首先对目标主机实施拒绝服务攻击,使其不能对外界作出任何反应。然后攻击者就可以将自己的IP与MAC地址分别改为目标主机的IP与MAC地址,这样攻击者的主机变成了与目标主机一样的副本。4. ARP欺骗： 网络欺骗是黑客常用的攻击手段之一,网络ARP欺骗分为两种,一种是对路由器ARP表的欺骗,另一种是对内网主机的网关欺骗。前一种欺骗的原理是攻击者通过截获分析网关数据,并通知路由器一系列错误的内网IP地址和MAC地址的映射,按照一定的频率不断进行使真实的地址信息映射无法

27、通过更新保存在路由器中,结果路由器转发数据到错误的MAC地址的主机,造成正常主机无法收到信息;后一种ARP欺骗的原理是伪造网关,它的原理是把真实网关的的IP地址映射到错误的MAC地址,这样主机在向网关发送数据时,不能够到达真正的网关,如果假网关不能上网,那么真实的主机通过假网关也不能上网。5. ARP泛洪攻击： 攻击主机持续把伪造的IP地址和MAC地址的映射对发给受害主机,对于局域网内的所有主机和网关进行广播,抢占网络带宽并干扰正常通信。导致网络中的主机和交换机不停地来更新自己的IP地址和MAC地址的映射表,浪费网络带宽和主机的CPU,使主机间都不能正常通信。第六章. ARP攻击的主要防治措施

28、6.1 IP地址和MAC地址的静态绑定 使用可防御ARP攻击的三层交换机,绑定端 口MAC-IP。限制ARP流量,及时发现并自动阻断ARP攻击端口。合理划分VLAN。彻底阻止盗用IP、MAC地址,杜绝ARP的攻击。(1) 在用户端进行绑定ARP欺骗是通过ARP的动态刷新,并不进行验证的漏洞,来欺骗内网主机的,所以我们把ARP表全部设置为静态可以解决对内网的欺骗,也就是在用户端实施IP和MAC地址绑定,可以再用户主机上建立一个批处理文件,此文件内容是绑定内网主机IP地址和MAC地址,并包括网关主机的IP地址和MAC地址的绑定,并把此批处理文件放到系统的启动目录下,使系统每次重启后,自动运行此文件

29、,自动生成内网主机IP地址到MAC地址的映射表。这种方法使用于小型的网络中。(2) 在交换机上绑定在核心交换机上绑定用户主机IP地址和网卡的MAC地址,同时在边缘交换机上将用户计算机网卡的IP地址和交换机端口绑定的双重安全绑定方式。这样可以极大程度上避免非法用户使用ARP欺骗或盗用合法用户的IP地址进行流量的盗取,可以防止非法用户随意接入网络,网络用户如果擅自改动本机网卡的IP或MAC地址,该机器的网络访问将被拒绝,从而降低了ARP攻击的概率。6.2采用VLAN技术隔离端口局域网的网络管理员可根据需要,将本单位网络规划出若干个VLAN,当发现有非法用户在恶意利用ARP欺骗攻击网络,或因合法用户

30、受病毒ARP病毒感染而影响网络时,网络管理员可先找到该用户所在的交换机端口,然后将该端口划一个单独的VLAN,将该用户与其它用户进行隔离,以避免对其它用户的影响,当然也可以利用将交换机的该端口关掉来屏蔽该用户对网络造成影响。6.3 采取802.1X认证802.1X认证可以将使未通过认证的主机隔离,当发现某台主机中毒时,将禁止其认证从而达到将中毒主机隔离网络的目的。例如,在本人所在学校就是需要上网的用户要提前到网络管理中心登记,也就是在网关中心申请一个用户名,并创建密码,并且把自己的MAC地址和用户名进行绑定,如果自己的换网卡后,还需要去网络管理中心进行重新绑定。用户上网前首先运行一个客户端软件

31、,输入用户名密码后,通过认证服务器认证成功后才能上网。6.4 防火墙和杀毒软件可以安装ARP防火墙或者开启局域网ARP防护,比如360安全卫士等ARP病毒专杀工具,并且实时下载安装系统漏洞补丁,关闭不必要的服务等来减少病毒的攻击。查找病毒源,对病毒源头的机器进行处理,杀毒或重新安装系统。解决了ARP攻击的源头PC机的问题 ,可以保证内网免受攻击。经常更新杀毒软件 (病毒库 )。设置允许的可设置为每天定时自动更新,安装并使用网络防火墙软件。 6.5其他方法1. 对于经常爆发病毒的网络,进行Internet访问控制,限制用户对网络的访问。此类ARP攻击程序一般都是从Internet下载到用 户终端

32、。如果能够加强用户上网的访问控制,就能极大的减少该问题的发生。2. 关闭一些不需要的服务。条件允许的可关闭一些没有必要的共享。完全单机的用户也可直接关闭 Server服务。3. 给系统安装补丁程序 .通过Windows Update安装好系统补丁程序。第七章. ARP实例分析及解决方案7.1 第一种流行实例分析一个小型局域网里面大约有100台电脑，中了ARP病毒以后，经常发生间歇性掉线的问题，并且通过监测程序可以找到大量发包的中毒电脑，但是利用逐一格式化的方法根本行不能，因为病毒源没能及时被清除掉，有什么办法能够解决这个问题，就是把这些病毒根除掉而不用把整个网络的电脑全部格式化？解决思路: 1、 不要把