基于ARP病毒攻击的分析与防御策略.docx

1、基于ARP病毒攻击的分析与防御策略江苏农林职业技术学院 毕 业 设 计（论 文）SNL/QR7.5.4-3 基于ARP病毒的分析与防御策略专 业 电子信息工程技术 学生姓名 张南南 班 级 11电子信息工程技术（1）班 学 号 201105190130 指导教师 宋白玉 完成日期 2014年4月30日 成绩评议学号201105190130姓名 张南南 题目 基于ARP病毒的分析与防御策略 指导教师建议成绩： 评阅教师建议成绩： 答辩小组建议成绩： 院答辩委员会评阅意见及评定成绩：答辩委员会主任签字（盖章）： 2014 年 5 月 28 日毕业设计（论文）任务书姓名张南南学号2011051901

2、30班级11电子信息工程技术（1）班题目基于ARP病毒的分析与防御策略设计(论文)主要内容本文是通过ARP病毒攻击的原理来分析其攻击的主要方式、造成的危害以及关于局域网ARP病毒攻击的现状，会以案列的形式来仔细说明在日常生活中如何ARP病毒的攻击。重点研究问题ARP病毒的分析与防御主要技术指标其它要说明的问题指导老师意见 同意开题 指导教师签字： 2013 年 12 月 28 日指导教师意见 对论文的简短评价：1.指出论文存在的问题及错误 论文的格式比较规范，整体框架较符合要求，逻辑性较强，论文的内容较新颖，比较符合论文的题目 2.对创造性工作评价3.建议成绩 优 良 中 及格 不及格 指导教

3、师签字 2014 年 5 月 27 日评阅教师意见 对论文的简短评价：1.指出论文存在的问题及错误论文提出的观点稍有一点陈旧，并且列举出的案列不是特别符合本论文的要求，论文的格式及内容一般图表的使用不足 2.对创造性工作评价3.建议成绩 优 良 中 及格 不及格 评阅教师签字 2014 年 5 月 27 日答辩小组评议意见学号201105190130姓名 张南南 题目 基于ARP病毒的分析与防御策略 答辩小组意见： 1、对论文的评价 语言表达较好，格式较符合规范要求;参考了一定的文 献资料，其时效性一般;未见明显抄袭现象。 2.建议成绩等级 优 良 中 及格 不及格3.需要说明的问题 答辩小组

4、长签字 2014 年 5 月 27 日基于ARP病毒的分析与防御策略摘要：本文是通过分析ARP协议的原理以及其本身存在的漏洞，从而造成的ARP病毒的攻击。并且回通过ARP病毒攻击的原理来分析其攻击的主要方式、造成的危害以及关于局域网ARP病毒攻击的现状，会以案列的形式来仔细说明关于ARP病毒的攻击与防御。本文在最后简单的说明在日常生活中该如何防范ARP病毒的攻击，并且就保障用户的私人资料的安全提出了几点建议。 关键词：ARP病毒；攻击；协议Based on the analysis of ARP virus and defensive strategyAbstract：This paper i

5、s through the analysis of principles of ARP protocol and its loopholes, which caused by the ARP virus attack. Principle and back through the ARP virus attacks to analyze the current situation, the main way of harm caused by the attack of the LAN ARP virus attack, in case the form carefully describe

6、the attack and defense of ARP virus. Finally, simple instructions in daily life, how to prevent the ARP virus attacks, and protecting private information the users security and puts forward several suggestions.Key words：ARP virus；Attack；Agreement 目录1绪论 11.1 研究背景 11.2研究的目的和意义 12 ARP协议的工作原理及其主要的漏洞 22.

7、1 ARP协议的工作原理 22.2 ARP协议的主要漏洞 33 详述ARP病毒攻击的原理、现象及过程 43.1 ARP病毒攻击原理 43.2 ARP病毒攻击的造成的故障现象 53.3 局域网ARP病毒的攻击过程 53.4 BKDR_NPFECT.A病毒引起ARP欺骗之实测分析 63.4.1 病毒现象 63.4.2病毒原理分析 63.4.3病毒运作基理 63.4.4 反病毒应急响应解决方案 6 3.5 ARP病毒攻击的方式 7 3.5.1中间人攻击 7 3.5.2拒绝服务攻击 7 3.5.3克隆攻击 74局域网ARP病毒攻击的现状及防御方式 84.1 ARP病毒攻击的现状 84.2 ARP病毒的

8、防御方式 84.3基于ARP的病毒的攻击与防御 94.3.1 攻击实例 94.3.2 防御措施 95 总结与展望 10参考文献. 11致谢 . 12 1绪论1.1 研究背景 近年来,随着信息化进程的深入和互联网的迅速发展,网络的安全问题也给我们带来了难以想象的影响,人们在享受网络便利的同时又深受安全问题的困扰。通过网络人们可以完成浏览信息、收发邮件、远程信息管理、与外界进行电子商务等活动。但是由于网络的开放性、资源共享性、连接形式的多样性、终端分布的不均匀性以及网络边界的不可知性，网络中必然存在众多潜在的安全隐患。针对网络的攻击在不断增加，其中利用ARP协议漏洞对网络进行攻击就是其中一种重要方

9、式。在信息化局域网中受到ARP攻击是严重比较常见现象,也是网络安全首要解决的问题。计算机病毒是计算机犯罪的一种新的衍化形式，计算机病毒是高技术犯罪, 具有瞬时性、动态性和随机性。不易取证, 风险小破坏大, 从而刺激了犯罪意识和犯罪活动。是某些人恶作剧和报复心态在计算机应用领域的表现。计算机软硬件产品的危弱性是根本的技术原因。数据从输入、存储、处理、输出等环节, 易误入、篡改、丢失、作假和破坏；程序易被删除、改写；计算机软件设计的手工方式,效率低下且生产周期长；人们至今没有办法事先了解一个程序有没有错误, 只能在运行中发现、修改错误, 并不知道还有多少错误和缺陷隐藏在其中。这些脆弱性就为病毒的侵

10、入提供了方便。微机的普及应用是计算机病毒产生的必要环境，1983年11月3日美国计算机专家首次提出了计算机病毒的概念并进行了验证。几年前计算机病毒就迅速蔓延,到我国才是近年来的事。而这几年正是我国微型计算机普及应用热潮。微机的广泛普及, 操作系统简单明了, 软、硬件透明度高, 基本上没有什么安全措施,能够透彻了解它内部结构的用户日益增多, 对其存在的缺点和易攻击处也了解的越来越清楚, 不同的目的可以做出截然不同的选择。目前, 在IBMPC系统及其兼容机上广泛流行着各种病毒就很说明这个问题。1.2研究的目的和意义全球信息网络的建设和发展,对整个社会的科学与技术、经济与文化、军事带来了巨大的推动和

11、冲击,同时也给网络的安全运行带来更多的挑战。资源共享和信息安全是一对孪生矛盾。目前，国外一些研究机构已经研发出了应用于不同操作系统的几种典型的计算机病毒检测技术。这些计算机病毒检测技术基本上是基于服务器、网络以及变种病毒的。基于服务器的入侵检测技术采用服务器操作系统的检测序列作为主要输入源来检测侵入行为，而大多数基于计算机变种病毒的检测技术则以预防和消除计算机病毒作为终结目标的。早期的计算机病毒检测技术主要用来预防和消除传统的计算机病毒；然而，为了更好地应对计算机病毒的花样不断翻新，编程手段越来越高的状况，最新的计算机病毒检测技术更多地集中用于预防和消除计算机变种病毒，打好计算机病毒对抗与反对

12、抗的攻坚战。总之，由于计算机病毒的变种更新速度加快，表现形式也更加复杂，那么计算机病毒检测技术在计算机网络安全运行防护中所起的作用就显得至关重要，因此受到了广泛的重视。相信随着计算机病毒检测技术的不断改进和提高，将会有更加安全可靠的计算机病毒检测技术问世，更好维护网络安全，造福于全世界2 ARP协议的工作原理及其主要的漏洞2.1 ARP协议的工作原理地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议。其功能是：主机将 ARP请求广播到网络上的所有主机，并接收返回消息，确定目标IP地址的物理地址，同时将IP地址和硬件

13、地址存入本机ARP缓存中，下次请求时直接查询ARP缓存。而如果一条或多条伪造的返回消息存入ARP缓存，将会导致网络上的主机间无法连通，这就是ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议。首先，每台主机都会在自己的ARP缓冲区中建立一个 ARP列表，以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时，会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址，如果有，就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一

14、个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个 ARP响应数据包，告诉对方自己是它需要查找的MAC地址；源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP

15、响应数据包，表示ARP查询失败1。例如：A的地址为：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA ，B的地址为：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB。根据上面的所讲的原理，我们简单说明这个过程：A要和B通讯，A就需要知道B的以太网地址，于是A发送一个ARP请求广播（谁是192.168.10.2 ，请告诉192.168.10.1），当B收到该广播，检查自己，结果发现和自己的一致，然后就向A发送一个ARP单播应答 图2-1 网络拓扑图结构示意2.2 ARP协议的主要漏洞地址解析协议（ARP协议）并不只在发送了ARP请求才接收A

16、RP应答。当局域网中的某台机器B向A发送一个自己冒充C的ARP应答，即IP地址为C的IP，而MAC地址是伪造的，则当A接收到B冒充C的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来的了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输，所以，原来C的真实MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能ping通C。这就是一个简单的ARP欺骗。ARP欺骗可以导致目标计算机与网关通信失败，更可怕的是会导致通信重定向，所有的数据都会通过攻击者的机器，因此存在极大的安全隐患。基于PC到PC的IP-

17、MAC双向绑定可以解决ARP欺骗，但是对于不支持IP-MAC双向绑定的设备，就需要用可以绑定端口-MAC的交换来预防ARP欺骗2。另外，Windows 2000 SP4和XP SP1的ARP-S绑定是无效的，Windows XP SP2即使使用ARP-S命令静态绑定，在攻击者故意制造IP地址冲突的时候，也会失效。这一漏洞是ARP最主要的漏洞3。3 详述ARP病毒攻击的原理、现象及过程3.1 ARP病毒攻击原理在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。那么ARP病毒就是通过伪造IP地址和MAC地址实现ARP欺骗，在网络中产

18、生大量的ARP通信量使网络阻塞。 ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地

19、址是一一对应的4。ARP欺骗的核心思想就是向目标主机发送伪造的ARP应答，并使目标主机接受应答中心伪造的IP地址与MAC地址之间的映射对，以此更新目标主机的ARP缓存4。下面就在理论上说明实施ARP欺骗的过程。S代表源主机，也就是即将被欺骗的目标主机；D代表目的主机，源主机本来是向它发送数据；A代表攻击者，进行ARP欺骗5。进一步假设A已知D的IP地址，于是他暂时将自己的IP地址改成D的IP地址。当S 想要向D发送数据时，假设目前它的ARP缓存中没有关于D的记录，那么他首先在局域网广播中包含D的IP地址的ARP请求。但此时A具有与D相同的IP地址，于是分别来自A和D的ARP响应报文相继到达S。

20、此时A是否能够欺骗成功就取决于S的操作系统处理重复ARP响应报文的机制。不妨假设该机制总是用后到达的ARP响应中的地址刷新缓存中的内容。那么如果A控制自己的ARP响应晚于D的ARP响应到达S，S就会如下伪造映射：D的IP地址A的MAC地址，保存在自己的ARP缓存中，在这个记录过期之前，凡是S发送给D的数据实际上都会发送给A，而S却毫不知情。或者A在上述过程中，利用其它方法直接抑制来自D的ARP应答将是一个更加有效的方法，而不用依赖于不同系统的处理机制。进一步，A可不用依赖于上述过程，直接在底层伪造ARP响应报文来达到同样的目的5。3.2 ARP病毒攻击的造成的故障现象由于ARP欺骗的木马发作的

21、时候会发出大量的数据包导致局域网通讯拥塞，用户会感觉上网速度越来越慢。当木马程序停止运行时，用户会恢复从路由器上网，切换中用户会再断一次线。该机一开机上网就不断发ARP欺骗报文，即以假冒的网卡物理地址向同一子网的其它机器发送ARP报文，甚至假冒该子网网关物理地址蒙骗其它机器，使网内其它机器改经该病毒主机上网，这个由真网关向假网关切换的过程中其它机器会断一次网。倘若该病毒机器突然关机或离线，则其它机器又要重新搜索真网关，于是又会断一次网。所以会造成某一子网只要有一台或一台以上这样的病毒机器，就会使其他人上网断断续续，严重时将使整个网络瘫痪。这种病毒（木马）除了影响他人上网外，也以窃取病毒机器和同

22、一子网内其它机器上的用户账号和密码（如QQ和网络游戏等的帐号和密码）为目的，而且它发的是ARP报文，具有一定的隐秘性，如果占系统资源不是很大，又无防病毒软件监控，一般用户不易察觉。这种病毒开学初主要发生在学生宿舍，据最近调查，现在已经在向办公区域和教工住宅区域蔓延，而且呈越演越烈之势3.3 局域网ARP病毒的攻击过程当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，

23、那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了7。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址（即所有信息的MAC New地址都一致为病毒主机的MAC地址），同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致，则说明局

24、域网内曾经出现过ARP欺骗（ARP欺骗的木马程序停止运行时，主机在路由器上恢复其真实的MAC地址）。3.4 BKDR_NPFECT.A病毒引起ARP欺骗之实测分析3.4.1 病毒现象中毒机器在局域网中发送假的APR应答包进行APR欺骗, 造成其他客户机无法获得网关和其他客户机的网卡真实MAC地址,导致无法上网和正常的局域网通信。3.4.2病毒原理分析病毒的组件。本文研究的病毒样本有三个组件构成：%windows% SYSTEM32 LOADHW.EXE(108,386 bytes) . ”病毒组件释放者”；%windows% System32 drivers npf.sys(119,808 b

25、ytes) . ”发ARP欺骗包的驱动程序”；%windows% System32 msitinit.dll (39,952 bytes)”命令驱动程序发ARP欺骗包的控制者”。3.4.3病毒运作基理（1）LOADHW.EXE 执行时会释放两个组件npf.sys 和msitinit.dll ,释放组件后即终止运行。注意: 病毒假冒成winPcap的驱动程序,并提供winPcap的功能. 客户若原先装有winPcap, npf.sys将会被病毒文件覆盖掉.（2）随后msitinit.dll将npf.sys注册(并监视)为内核级驱动设备: NetGroup Packet Filter Driver

26、。msitinit.dll 还负责发送指令来操作驱动程序npf.sys (如发送APR欺骗包, 抓包, 过滤包等)。（3） npf.sys 负责监护msitinit.dll. 并将LOADHW.EXE注册为自启动程序:HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion RunOnce dwMyTest =LOADHW.EXE注: 由于该项位于RunOnce下,该注册表启动项在每次执行后,即会被系统自动删除。3.4.4 反病毒应急响应解决方案按以下顺序删除病毒组件：（1) 删除 ”病毒组件释放者”%windows% SYSTE

27、M32 LOADHW.EXE （2) 删除 ”发ARP欺骗包的驱动程序” (兼 “病毒守护程序”)%windows% System32 drivers npf.sys a. 在设备管理器中, 单击”查看”-”显示隐藏的设备”；b. 在设备树结构中,打开”非即插即用.”；c. 找到” NetGroup Packet Filter Driver” ,若没找到,请先刷新设备列表；d. 右键点击” NetGroup Packet Filter Driver” 菜单,并选择”卸载”；e. 重启windows系统；f.删除%windows% System32 drivers npf.sys ；（3) 删除

28、 ”命令驱动程序发ARP欺骗包的控制者”%windows% System32 msitinit.dll （4）删除以下”病毒的假驱动程序”的注册表服务项HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Npf3.5 ARP病毒攻击的方式3.5.1中间人攻击所谓的中间人攻击，是一种全新的网络攻击手段和方式，利用TCP/IP协议中ARP协议中的漏洞，运用特殊的技术手段，攻击者巧妙的将自己的主机插入两个目标主机之间，占据二者的通信路径，如此布置，攻击者的主机便以中继服务器的身份占据了二者的通信路径，运用这种巧妙的手段，攻击者就可以任意的对两个目

29、标主机进行监控，甚至是对两个目标主机之间的通信情况进行监控，这样目标主机就毫无隐私和秘密可言了，更丝毫没有安全保障8。3.5.2拒绝服务攻击拒绝服务攻击是利用TCP/IP协议设计中的缺陷，发送大量伪造的TCP连接请求，迫使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。然后迫使服务器停在资源的贡献和访问服务，这是一种黑客经常使用的网络攻击手段6。3.5.3克隆攻击攻击者首先对目标主机实施拒绝服务攻击，使其不能对外界作出任何反应。然后攻击者就可以将自己的IP与MAC地址分别改为目标主机的IP与MAC地址，这样攻击者的主机变成了与目标主机一样的副本。4 局域网ARP病毒攻击的现状及防御方式4

30、.1 ARP病毒攻击的现状美国互联网调查机构日前发布研究报告称，中国现有网民一亿三千七百万，在世界上仅次于美国。近年，中国的网民增长速度超过美国，预计未来几年内，网民的绝对数量也将赶超美国。 随着互联网的飞速发展，特别是电子商务、电子政务、金融电子化进程的不断深入，人们对信息的依赖程度也越来越强，信息的安全问题日益突出，根据权威机构调查互联网网站存在以下安全问题：网站被篡改、主机被植入木马、网络仿冒事件、网页恶意代码事件、僵尸网络。其中，网络仿冒事件危害力极大。在美国，2008年因域名仿冒等网络钓鱼造成的损失大约是40亿美元，并以25%的速度递增。2008年12月份中国互联网调查报告表明，只有27.6%的网民认为在网上进行交易是安全的9。所有黑客进行的攻击中，由ARP病毒攻击带头的引欺骗类攻击占了不小的比重。比如当年传奇外挂携带的ARP木马攻击,当局域网内使用外挂时，外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上，向局域网内大量发送ARP包，致同一网段地址内的其它机器误将其作为网关，掉线时内网是互通的，计算机却不能上网，度许多网民都造成了损失。4.