网络遭遇ARP欺骗攻击的症状

网络遭遇ARP欺骗攻击的症状（精选3篇）

1.网络遭遇ARP欺骗攻击的症状 篇一

首先打开金山卫士主界面，点击“百宝箱--实时保护”，如下图所示：

在打开的实时保护的页面，点击“系统保护”，可以看到arp防火墙，默认的是“已禁用”，如下图所示：

点击灰色的“已禁用”，软件会提示“是否继续开启此防护功能”，点击“确定”，软件会自动安装ARP防火墙，如下图所示：

安装完成后，arp防火墙后面的开关显示“已启用”，如下图所示：

如果我们想要更好的防攻击，我们可以重启计算机，然后仍然进入到上一步的界面，点击“设置”，出现如下界面：

点击“高级设置”，就会看到里面一些高级设置项，为了有更好的防攻击效果，我们可以将所有的方框都选中，如下图所示：

如果你需要网络共享的话，不要选中“安全模式”，否则网络无法共享。设置完毕后，点击确定，就可以了。至此，你就有很好的arp防火墙了。

2.网络遭遇ARP欺骗攻击的症状 篇二

1.1 ARP概念

ARP (Address Resolution Protocol) 地址解析协议, 它工作在数据链路层, 在本层和硬件接口联系, 同时对上层提供服务。在TCP/IP网络环境下, 每个主机都分配了一个IP地址, 而以太网设备并不识别32位IP地址, 它们是以48位以太网地址传输以太网数据包。因此, 必须把IP目的地址转换成以太网目的地址。在以太网中, 一个主机要和另一个主机进行直接通信, 必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的, 即:ARP协议的作用就是用于将网络中的IP地址解析为硬件MAC地址, 以保证通信的顺利进行。

1.2 工作原理

ARP协议的设计是以局域网中主机相互信任为前提的, 这样就为网络欺骗攻击提供了前提条件。

首先, 每台主机都会在自己的ARP缓冲区中建立一个ARP列表, 以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包发送到目的主机时, 会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址, 如果有, 就直接将数据包发送到这个MAC地址;否则, 就向本地网段发起一个ARP请求的广播包, 查询此目的主机对应的MAC地址。

网络中所有的主机收到这个ARP请求后, 会检查数据包中的目的IP是否和自己的IP地址一致。如果不一致就忽略此数据包;如果一致, 该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中, 如果ARP表中已经存在该IP的信息, 则将其覆盖, 然后给源主机发送一个ARP响应数据包, 告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后, 将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中, 并利用此信息开始数据的传输。

2 ARP欺骗攻击

2.1 表现形式

(1) 使用局域网时会突然掉线, 过一段时间后又会恢复正常。比如客户端状态频频变红, 用户频繁断网, IE浏览器频繁出错, 以及一些常用软件出现故障等。

(2) 局域网内突然出现ARP广播包大量增加的情形。查询时发现大量的可疑MAC地址或根本就是错误的MAC地址, 甚至有多个IP地址对应一个MAC地址的情形。局域网内通信堵塞, 严重时部分网络设备都被系统视为了计算机。

(3) 窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易, 盗窃网上银行账号来做非法交易活动等, 这是木马的惯用伎俩, 给用户造成了很大的不便和巨大的经济损失。

2.2 攻击方式

一种是对路由器ARP表的欺骗:它通知路由器一系列错误的内网MAC地址, 并按照一定的频率不断进行, 使真实的地址信息无法通过更新保存在路由器中, 结果路由器的所有数据只能发送给错误的MAC地址, 造成正常PC无法收到信息。

另一种是对内网PC的网关欺骗:它的原理是建立假网关, 让被它欺骗的PC向假网关发数据, 而不是通过正常的路由器途径上网。

3 防范策略

3.1 防火墙的应用

在局域网内用户机器上安装软件防火墙, 这能在一定程度上阻止ARP的传播, 可以对外来ARP攻击进行有效的保护, 也可以对自身ARP的向外传播给予阻止。这极大地限制了ARP攻击的传播, 在主服务器中安装硬件防火墙, 这可以有效阻止外部的ARP木马进入局域网中, 从而对局域网中的用户进行保护。

3.2 MAC地址和IP地址的双重绑定

将局域网内用户的MAC地址与IP地址登记造册, 在交换机处手动配置静态IP的表项, 使其与用户的MAC地址相对应, 形成绑定关系。如果出现某IP地址用户的信息流量激增, 而用户又不能正常使用, 就可以在第一时间对其对应的一个或几个MAC地址的交换机端口进行关闭, 查明原因后, 对遭受ARP攻击的用户机器进行维护从而将损失降到最低点。

3.3 对静态记录的添加

静态记录或称永久记录, 其特点为永久有效。静态记录拥有排他性功能。使ARP在使用伪造IP地址或MAC地址进行数据传输时无法进入其机器系统进行传播和破坏。此方法是建立在IP地址不变更的前提条件下才能正常使用的。如果IP地址不能固定, 会使局域网内出现大量相同的IP地址和MAC地址。这就给维护人员带来很大的工作量, 同时对局域网也造成很大的破坏。

3.4 良好的上网习惯

定期更新操作系统, 给系统下载和安装最新的系统补丁程序, 更新系统可以填补系统的安全漏洞;给系统管理员帐户设置足够复杂的超强密码, 密码数不低于6位。最好是字母+数字等复杂的组合, 也可以禁用或删除一些不使用的帐户;安装杀毒软件, 及时升级病毒库;关闭一些不需要的服务, 关闭一些没有必要的共享。完全单机的用户也可直接关闭Server服务;不要随便点击打开QQ、MSN等聊天工具上发来的链接信息, 不要随便打开或运行陌生、可疑文件和程序, 如邮件中的陌生附件, 外挂程序等。

3.5 更新设备

现阶段各专业服务厂家都能提供专门防范ARP攻击的设备, 用户可以选择配备。

(1) ARP路由器。该路由器专门配备有防范ARP攻击程序, 能够十分有效的防止ARP病毒。但这个设备的价格比较昂贵, 需要一定的资金投入。

(2) IP地址服务器。可以购买一个IP地址服务器用来管理IP地址。该服务器能够接收局域网内所有计算机发出的ARP广播, 当它接收到ARP报文时, 会自动执行一个防护程序, 从而有效的阻止ARP攻击。但这个IP地址服务器有个缺点, 就是对于IP地址被盗用的问题无能为力。

(3) ARP服务器。这个服务器能够通过自身的ARP转换表来回复其它计算机发出的ARP广播报文, 给ARP攻击增加难度, 但ARP服务器自身也容易受到新型病毒的攻击。

(4) DAI交换机。DAI即Dynanic ARP Insptlo的简写, 意思是动态ARP监测交换机。它能够动态绑定IP地址和MAC地址, 其设计基础是DHCP绑定表。如果计算机没有使用DHCP服务器, 则可静态添加ARP访问。DAI交换机还能够监控端口的ARP报文情况, 防止ARP病毒。

4 结束语

随着计算机信息技术和互联网技术的飞速发展, 人们对网络的依赖性不断增强。但是由于网络的开放性、资源的共享性、联结形式的多样性、终端分布的不均匀性以及网络边界的不可知性, 网络中必然存在众多潜在的安全隐患。ARP欺骗攻击, 是局域网管理中最让人头疼的攻击之一。而随着网络技术的升级对于ARP攻击的预防与维护手段也将逐步升级。但是对于病毒的传播与变异也提供了相当好的发展平台, 我们不能只依靠单一的技术手段来预防和维护, 在不同的环境中运用不同的技术才能将病毒的危害降到最低点。对抗计算机病毒并不是某一个人的责任, 也不能单纯依靠杀毒软件的防护, 拒绝挂马网站、抵制不良网站是我们所有人的责任, 这样才能有效预防病毒的传播。

参考文献

[1]吴蓓.浅论ARP攻击的原理与防范方式.科协论坛, 2010, 9.

[2]郅尚炜.浅谈对局域网ARP攻击的防范.科技信息, 2010, 5.

[3]赵雅楠, 张文友, 田玉等.校园网中ARP病毒的分析与防御.计算机教学, 2010, 8.

3.网络遭遇ARP欺骗攻击的症状 篇三

关键词：地址解析,ARP协议,ARP地址欺骗

近来, 许多单位的局域网大面积发生异常, 具体表现为如下症状:网络掉线, 但网络连接正常;无法打开网页或打开网页慢;局域网时断时续并且网速较慢;局域网内的部分PC机能正常访问局域网内的主机, 但不能连接到外网, 甚至不能访问同一网络内的其他VLAN主机, 严重时局域网内所有电脑不能上网。假如我们在Cmd命令提示行下执行“ARP-A”命令来查询当前网关的MAC地址, 则返回一个错误的网关MAC地址。造成这种结果的原因可能是因为局域网内有一台或若干台计算机在利用ARP协议存在的漏洞进行攻击, 而绝大多数情况下是机器感染了ARP地址欺骗类病毒。ARP地址欺骗类病毒是一种特殊的病毒, 它利用ARP协议存在的漏洞进行攻击, 一般属于木马 (Trojan) 病毒, 不具备主动传播的特性, 不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包, 干扰全网的运行, 甚至使整个网络处于瘫痪状态, 因此它的危害比一些蠕虫病毒还要严重得多。为了避免遭受ARP地址欺骗的攻击, 我们有必要讨论一下相关原理及防御措施。

1 ARP地址欺骗攻击者的定位

ARP缓存中的IP-MAC条目是根据ARP响应包动态变化的, 只要网络上有ARP响应包发送到本机, 就会更新ARP高速缓存中的IP-MAC条目。攻击者只要持续不断地发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目。例如:一个局域网中的网关IP是10.1.4.254, 其MAC地址是00-08-20-8b-68-0a, 攻击者会不断地向被攻击主机发送伪造的ARP响应包, 将网关的MAC地址变为自己的MAC地址, 或者干脆伪造一个该网段中根本不存在的MAC地址, 一旦网关地址被改成伪造的MAC地址后, 被攻击的主机就会出现上网不正常的现象。传奇盗号的软件或某些应用程序中如果被恶意加载了ARP欺骗的木马程序, 局域网中的某主机如果中毒, 它就会向该局域网中的其它主机发动ARP欺骗攻击, 通过伪造IP地址和MAC地址实现ARP欺骗, 在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle”进行ARP重定向和嗅探攻击。病毒主机会欺骗局域网内所有主机和路由器, 让所有上网的流量必须经过它才能连接网络, 切换的时候用户会断一次线。切换到病毒主机上网后, 如果用户已经登陆了传奇服务器, 那么病毒主机就会经常伪造断线的假象, 那么用户就得重新登录传奇服务器, 这样病毒主机就可以盗号了。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制, 用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时, 用户会恢复从路由器上网, 切换过程中用户会再断一次线。如果用户安装了瑞星个人防火墙, 在查看日志时可以看到“ARP欺骗事件”的记录。

利用ARP协议的漏洞, 攻击者对整个局域网的安全造成威胁, 那么, 怎样才能快速检测并定位出局域网中的哪些机器在进行ARP地址欺骗攻击呢?面对着局域网中成百台电脑, 一个一个地检测显然不是好办法。其实, 我们只要利用ARP病毒的基本原理:发送伪造的ARP欺骗广播, 中毒电脑自身伪装成网关的特性, 就可以快速锁定中毒电脑。可以设想用程序来实现以下功能:在网络正常的时候, 牢牢记住正确网关的IP地址和MAC地址, 并且实时监控来自全网的ARP数据包, 当发现有某个ARP数据包广播, 其IP地址是正确网关的IP地址, 但是其MAC地址竟然是其他电脑的MAC地址的时候, 这时, 无疑是发生了ARP欺骗。对此可疑MAC地址报警, 再根据网络正常时候的IP-MAC地址对照表查询该电脑, 定位出其IP地址, 这样就定位出攻击者了。

2 ARP地址欺骗攻击的防御

目前很多常见的普通ARP攻击常常以病毒程序的形式存在。其中传播甚广的有“网游大盗”、“高波”等, 这些ARP病毒寄存于Windows系统中, 且一般会用到npptools.dll等系统漏洞, 所以只要做好对操作系统的升级与加固可以防止此类病毒感染。

1) npptools.dll是windows系统的一个动态库 (network packet provider toolshelper) 常被ARP病毒利用, 所以, 禁止了npptools.dl将使此类病毒无法正常运行。具体方法是:在安全模式中, 打开WINDOWSSYSTEM32NPPTOOLS.DLL文件。删除这个文件后, 用零字节的文件替换。最后将nnptools.dll保存为只读文件。

2) 给系统安装补丁程序。通过Windows Update安装好系统补丁程序 (关键更新、安全更新和Service Pack) 。

3) 给系统管理员帐户设置足够复杂的强密码, 最好能是12位以上, 字母+数字+符号的组合;也可以禁用/删除一些不使用的帐户。

4) 经常更新杀毒软件 (病毒库) , 设置允许的可设置为每天定时自动更新。安装并使用网络防火墙软件, 网络防火墙在防病毒过程中也可以起到至关重要的作用, 能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁, 不妨通过使用网络防火墙等其它方法来做到一定的防护。

5) 关闭一些不需要的服务, 条件允许的可关闭一些没有必要的共享, 也包括C$、D$等管理共享。完全单机的用户也可直接关闭Server服务。

3 ARP攻击探测器

IP地址与MAC地址绑定是最简单有效的ARP攻击防御方法。但是, 在大型公众上网环境中使用静态IP地址和MAC地址的绑定会带来巨大的管理负荷。在大型公众上网网络中无法有效对每一台终端、服务器与网络设备都使用静态ARP表。首先, 公众网络终端数量庞大一般的营业性网吧中通常有几百台终端, 加上交换机与网络设备后需要维护的ARP表有上千个之多, 全部人工设置不现实。其次, DHCP网络动态地址分配以及各种负载均衡策略将无法适应MAC地址绑定。所以, 除了MAC地址管理之外, 通常需要使用ARP攻击探测器进行对ARP攻击的防御。目前市场上还没有成熟的专门针对ARP攻击的探测器。在大型网络中可以自己通过编程实现, 其原理是在其上运行存放一张局域网ARP表, 记录有权威的ARP信息, 嗅探器通过IDS的原理在路由器镜像口侦听局域网内ARP广播包内容, 如果网络内广播包与ARP表不一致, 或者ARP广播帧超过合理数量的阀值, 则探测器分析后会匹配找到ARP欺骗特征后, 探测器马上报警并进行相应的策略联动。

4 结束语

由于ARP协议制定时间比较早, 当时对这些协议的缺陷考虑不周, 使得ARP攻击的破坏性比较大, 但其也有局限性, 比如ARP攻击只局限在本地网络环境中。最根本的解决措施就是使用IPv6协议, 因为在IPv6协议定义了邻机发现协议 (NDP) , 把ARP纳人NDP并运行于因特网控制报文协议 (ICMP) 上, 使ARP更具有一般性, 包括更多的内容。

参考文献

[1]专家解读APR病毒[EB/OL].http://security.ccidnet.com/.

[2]马军, 王岩.ARP协议攻击及其解决方案[J].微计算机信息, 2006, 22 (15) :70-77.

[3]牛少彰, 江为强.网络的攻击与防范—理论与实践[M].北京:北京邮电学院出版社, 2006.