马 勇
中国邮政集团公司黑龙江省依兰县分公司 黑龙江 哈尔滨 154899
摘 要 简要介绍ARP和局域网中ARP攻击原理和预防解决方法。
关键词 ARP 病毒 预防
在局域网中,使用ARP欺骗可以达到非法登录,阻塞网络,嗅探盗取机密等目的。这种攻击大多数是由黑客或病毒引起并在没有安装有效防护的机器上传播。要想防止APP的攻击,首先要了解什么是ARP。
一、ARP的概念
ARP(Address Resolution Protocol),即地址解析协议。它工作在数据链路层,在本层和硬件接口联系,同时对上层提供服务。在局域网中,ip数据包常通过以太网发送,以太网设备并不识别32位ip地址,它们是以48位以太网地址传输以太网数据包。因此,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。“地址解析”就是主机在发送数据前将目标IP地址转换成目标MAC地址的过程。
ARP协议靠维持在内存中保存的一张表来使ip得以在网络上被目标机器应答,以保证通信的进行,通常是动态的转换表。该对应ARP表会被主机在需要的时候刷新。
通常主机在发送一个ip包之前,要到该转换表中寻找和IP包对应的mac地址。如果没有找到,该主机就发送一个ARP广播包如下:
“我是主机xxx.xxx.xxx.xxx,mac是xxxxxxxxxxx,ip为xxx.xxx.xxx.xxl的主机请告之你的mac”。
ip为xxx.xxx.xxx.xxl的主机响应这个广播,应答ARP广播为
“我是xxx.xxx.xxx.xxl,我的mac为xxxxxxxxxx2”
于是,主机刷新自己的ARP缓存,然后发出该ip包。
二、ARP的攻击原理
基于ARP协议的这一工作特性,黑客或病毒程序向对方计算机不断发送有欺诈性质的ARP数据包,数据包内包含有与当前设备重复的Mac地址,使对方在回应报文时,由于简单的地址重复错误而导致不能进行正常的网络通信。
常见的ARP攻击为两种类型:ARP扫描和ARP欺骗。通常受到ARP攻击的计算机会出现两种现象:
1.不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。
2.计算机不能正常上网,出现网络中断的症状。
因为这种攻击是利用ARP请求报文进行“欺骗”的,所以一般的防火墙会误以为是正常的请求数据包而不予拦截。因此,普通的防火墙很难抵挡这种攻击。
三、常见的ARP病毒问题
当在局域网内使用游戏外挂时,外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上,向局域网内大量发送ARP包,从而致使同一网段地址内的其它机器误将其作为网关,如果用户已经登陆了游戏服务器,那么病毒主机就会经常伪造断线的假象,需要重新登录游戏服务器,这样病毒主机就可以盗号了。这就是为什么掉线时内网是互通的,计算机却不能上网的原因。
另外,网上有人运行诸如“网络执法官”等网络管理软件,故意将自己作为网关的信息向外发布,也是造成他人不能连接外网的原因。由于ARP欺骗的木马程序发作时会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。
四、如何防止ARP欺骗
1.临时处理对策
步骤一:在能上网时,进入MS-DOS窗口,输入命令arp-a查看网关IP对应的正确MAC地址,将其记录下来。如果已经不能上网,则先运行一次命令arp-d将arp缓存中的内容删空,计算机可暂时恢复上网,一旦能上网就立即将网络断掉,再运行arp-a。
步骤二:如果已有网关正确的MAC地址,在不能上网时手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令:arp-s 网关IP 网关MAC。
例如:假设计算机所处网段的网关为192.168.1.1,本机地址192.168.1.75,在计算机上运行arp-a后输出如下:
C:\Documents and Settings>arp-aInterface:192.168.1.75—0x2
Intemet Address Physical Ad-dress Type192.168.1.1 00-01-02-03-04-05 dynamic
其中00-01-02-03-04-05就是网关192.168.1.1Z才应的MAC地址,类型是动态(dynamic)的,是可被改变的。
2.进行手工绑定
arp-s 192.168.1.1 00—01—02—03-04-05
绑定完,可再用arp-a查看atp缓存,C:\Documents and Settings>arp-a
Interface:192.168.1.75—0x2
Intemet Address Phymc~Ad-dress Type
192.168.1.1 00-01-02-03-04-05 static
这时,类型变为静态,不再受攻击影响了。但需要说明的是,手工绑定在计算机关机重开机后就会失效,需要再绑定。要彻底根除攻击,只有找出网段内被病毒感染的计算机令其杀毒方可解决。
3.找出病毒计算机的方法
如果已有病毒计算机的MAC地址,可使用NBTSCAN软件找出网段内与该MAC地址对应的IP,即病毒计算机的IP地址,然后可报告信息中心对其进行查封。
NBTSCAN的使用例子:假设查找一台M A C地址为“000d870d5
85f'’的病毒主机。
1)将压缩包中的nbtscan.exe和cygwinl.dll解压缩放到c:/下。
2)在MS-DOS窗口中输入:C:nbtscan-r 192.168.1.1/24(这里需要根据用户实际网段输入),回车。
C:/Documents and Settings/ALAN>C:/nbtscan-r 192.168.16.
1/24
Warningroption not sup-ported under Windows.Runningwithoutit
Doing NBT name scan for ad-dresses from 192.168.16.1/24 IP address NetBIOS Name Server User MAC address
192.168.1.50.0 Sendto failed:Can-not assign requested address
192.168.1.50 SERVER00-e0-4c-4d-96-c6
192.168.1.11l LLF ADMINIS-TRATOR 00-22-55-66-77-88
192.168.1.121 UTT-HIPER 00-0d-87-26-7d-78
192.168.1.175 JC 00-07-95-e0-7c-d7
192.168.1.223 testl23 testl23 0-0d-87-0d-58-5f
3)通过查询IP—MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.1.223"。
4.解决ARP的方法
1)单机安装ARP防火墙软件,将网关的ip和mac绑定,可有效预防本机中毒并阻挡ARP攻击。
2)网络管理实现硬件ip和mac双向绑定或软件绑定,使交换集线器和网桥阻止ARP欺骗。
五、结语
综上所述,掌握局域网ARP攻击的原理、规律、预防与解决方法,对于计算机的正常运行和使用至关重要。只有这样,才能充分发挥其优势,为各项事业的持续发展保驾护航。