今天是:
首 页 亚游app官网下载 ag环亚娱乐ag88|HOME ag8亚游集团官方|注册 协会动态 专家视角 便民信息 安防知识 世界新闻 法律法规 业界新闻 网络安全 安全预警 ?

您现在的位置:茂名市计算机信息网络安全协会 >> 文章推荐

ARP欺骗:先认识再防御

浏览次数:0 ? ? 发布日期:2018-11-05 18:56:29 ? ? ? ? 后退

近年来,随着信息技术的不断发展,网络已深入到人们的日常生活工作中。由于局域网具有网络资源共享、易统一管理等诸多优点,因此得到了越来越多的重视和普及。但不得不说的是,网络资源的开放性、共享性和互联性在给人们带来生活便利的同时也潜伏着许多安全隐患,针对局域网的病毒种类日益增多,其中以ARP攻击现象最为突出。本文将对ARP欺骗及其防御措施的相关知识点做简单梳理,并选取一种具有代表性的ARP病毒进行行为分析并给出手工处理方案。

时常听说ARP欺骗,那么到底什么是ARP欺骗呢?

局域网的通信不是根据IP地址进行的,而是按照MAC地址进行传输的,而ARP(Address Resolution Protocol)就是一种将IP地址转化成物理地址的协议。ARP攻击通过伪造MAC地址实现ARP欺骗,下面举例说明。

主机名

?

IP地址

?

MAC地址

?

A

?

192.168.0.1

?

AA-AA-AA-AA-AA-AA

?

B

?

192.168.0.2

?

BB-BB-BB-BB-BB-BB

?

C

?

192.168.0.3

?

CC-CC-CC-CC-CC-CC

?

表1:IP-MAC对照表

表1显示的是局域网中A、B、C三台计算机的IP地址和MAC地址,我们假设B感染了ARP病毒,由黑客后台操控。黑客会发送伪装的ARP reply包告诉A说“C的MAC地址是B的MAC地址”,再发送伪装的ARP reply包告诉C说“主机A的MAC地址是B的MAC地址”。这样A与C之间的通讯都将先经过B,然后由B进行转发。于是黑客就可以通过B窃取到所有A与C之间的数据传输,并造成A与C的通信失败,这就是一个简单且具有代表性的ARP欺骗实例。

如何防御ARP欺骗?

了解了ARP欺骗攻击原理后,大致可以从以下三个方面进行防范:

1)?提高客户端本机的安全性

及时更新本机的操作系统和应用程序补丁,防止黑客利用这些漏洞来攻击用户。安装和更新杀毒软件,开启主动防御和实时监控,并定期杀毒。

2)?利用交换机防止ARP攻击

在交换机上绑定MAC地址与IP地址,为每台主机添加一条IP地址和MAC地址对应的关系静态地址表,用户发送数据包时,若交换机获得的IP和MAC地址与之前建立的映射表匹配,则发送的包能通过,否则将丢弃该数据包,从而有效地防止ARP欺骗。

3)?借助第三方软硬件

防火墙是一种协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙可以是一台专属的硬件,也可以是一套软件,通过防火墙可以设置相关网络规则,强化网络安全策略,提高局域网数据流的安全性。

感染ARP病毒后的解决方法

尽管做了各种防御措施,但仍有可能百密一疏被病毒钻了漏洞。如果网络安全管理员发现局域网表现出网速时快时慢、频繁性区域或整体掉线等典型的ARP病毒现象时,就要警醒了,这很有可能是感染了ARP病毒,接下来就要开展一系列的“与病毒作斗争”的工作了。

1) 首先要在局域网中定位病毒源。定位方法有很多,这里只介绍一种最简单的,不借助第三方工具的“命令行法”。由于感染ARP病毒的电脑会不断向全网发送ARP欺骗广播,使局域网其他电脑动态更新自身的ARP缓存表,将网关的MAC地址更新成染毒机的MAC地址,所以只要在已经受到ARP攻击的计算机上查看当前网关的MAC地址,就能获得染毒机的MAC地址了。在cmd命令行提示符窗口中输入“ARP -a”后回车便可返回当前网关的MAC地址,也就是染毒机的MAC地址。这时我们再根据网络正常时的IP-MAC对照表就能定位到染毒机的IP地址了。

2) 将染毒机断网隔离出来,单独进行病毒的清除。一般会借助杀毒软件和一些ARP专杀工具,但如果杀毒软件不能正确识别病毒的话,就需要手动清除了。

下面通过对某一ARP病毒的分析,简要介绍其手动处理方法。

Trojan.DL.Win32.Undef.snc病毒行为分析及手动处理方法

病毒运行后会Sleep 30秒钟没有任何行为,借此躲避一些杀毒软件的主动防御和启发式扫描。然后向系统System32目录下释放npf.sys、Packet.dll、WanPacket.dll、wpcap.dll和360smty.exe五个文件。其中npf.sys、Packet.dll、WanPacket.dll和wpcap.dll是winpcap(windows packet capture)抓包工具的正常文件,并且都有合法的数字签名。360smty.exe才是Arp欺骗病毒,该病毒是从网络中一款开源ARP工具(ARP cheat and sniffer)修改过来的,会在文件的末尾附加8M的垃圾数据,从而达到防止云上传查杀的目的。随后病毒调用特殊参数启动360smty.exe,使局域网中所有的机器在访问网页的时候,会在返回的页面数据中插入挂马语句,导致没有及时更新微软安全补丁的机器中木马,并有可能使整个局域网网络异常。

图1:病毒释放的5个文件,只有360smty.exe是病毒程序

由于该病毒对本机影响并不大,所以处理过程很简单。首先结束360smty.exe进程,然后手工删除病毒释放到系统目录下的5个文件即可。

ARP病毒是目前局域网中较为广泛传播的病毒之一,它严重威胁着局域网的稳定性和安全性,发作时会导致局域网频繁中断甚至最终瘫痪,并盗取局域网用户私密信息,危害十分严重。所以作为网络安全管理人员对ARP病毒要有一定的认知,方能有效地防御ARP攻击,希望本文能对大家有所帮助。


茂名市计算机信息安全协会

版权所有:茂名市计算机信息安全协会 (建议使用分辩率 1024*768)

ICP备案编号:粤ICP备09039951号-2

地址:茂名市 邮政编码:525000 联系电话:0668-2912489