ARP欺骗类病毒该如何防御
ARP欺骗类病毒该如何防御
在计算机技术和网络技术日渐发展的当今时代,在数据处理生产运营中普遍使用网络技术。保护网络环境安全,对于企业的发展具有深远影响。特别是对ARP欺骗类病毒高度重视,避免由于ARP欺骗类病毒的影响而造成企业受损。通过对如何防御ARP欺骗类病毒进行研究分析,希望能够为相关人员提供一定的理论借鉴。
标签:ARP 欺骗类病毒 防御
前言:ARP全称为Address Resolution Protocol,地址解析协议。ARP病毒并不是某一种病毒的名称,而是对利用ARP协议的漏洞进行传播的一类病毒的总称。ARP欺骗主要指的是,利用ARP协议中存在的漏洞,将伪造过的虚假ARP报文发送到目标主机设备,进而实现截取目标主机数据、或者监听主机数据的攻击方式。ARP欺骗具有一定的随机性、以及隐蔽性等特点,ARP欺骗工具广泛的存在于网络环境中,进而致使ARP欺骗更加普遍。现阶段,很多木马病毒利用ARP欺骗,广泛传播于网络中,严重影响网络的安全运行。特别是在企业内部局域网络中,ARP欺骗更是屡次出现,如果某台计算机感染ARP欺骗类病毒程序,将会发送伪造过的ARP相应报文,严重影响网络环境的稳定。
一、ARP的主要攻击类型
攻击类型主要包括以下两种:冒充主机欺骗网关和冒充网关欺骗主机[1]。
1.冒充主机欺骗网关
可以将源MAC地址设置为MAC_C,将源IP地址设置为IP_A,攻击主机C发出一个报文。从而所有向主机A发送的报文,都会由攻击主机C所接收,而且中断了网络同真实主机A的直接通信关系。如果攻击主机C持续地根据自身的MAC地址,与其他主机IP地址作为源地址进行ARP包的发送,那么除了攻击主机C,网关将无法直接通信网段内的所有主机 [2]。在此种背景下,交换机无法记录任何的报警日志,主要是交换机认为多个IP地址对应一个MAC地址正常可行,对其他利用IP对应的MAC交付报文不会造成任何影响。如果将网关ARP缓存中的MAC地址进行更改,使之换成原本就不存在的地址,则网关所发送出来的网络数据帧将会全部丢失,致使上层急于处理此种异常情况,而无法对外来请求进行解决,最终使得网关不提供任何服务。
2.冒充网关欺骗主机
首先,在主动攻击中,主机A接收到来自攻击者C的ARP应答数据包,然后使主机A和网关B的IP地址明确所对应的MAC地址,也就是CC-CC-CC-CC-CC-CC,致使主机A对自身的ARP列表进行修复,然后将网关B的IP地址进行修改,将原有的MAC地址修改成攻击者C的MAC地址;其次,攻击者C在向主机A发送ARP数据包的同时,也向网关B发送ARP应答数据包,也告知网关B主机A的IP地址所对应的MAC地址,也就是CC-CC-CC-CC-CC-CC,致使网关B将自身的ARP列表进行修改,然后将A的IP地址进行修改,将原有的MAC地址修改成攻击者C的MAC地址;最终致使主机A与网关B之间的通信,变成主机A与攻击者C之间的通信,以及攻击者C与网关B之间的通信,主机A和B之间无法直接通信[3]。
在被动攻击中,主机A或者网关B发送出ARP请求数据包时,攻击者C在一段时间之后,发送应答数据包,保证自身的应答包能够在正确的应答包之后达到,避免出现自己修改的相应主机的ARP列表,被正确的应答包再次修改。因此,主机A向网关B所发送的报文,都会向攻击主机C发送,进而导致主机A出现断网的情况。如果攻击主机C先是收到来自主机A的报文,然后在向网关B转发,则主机A可以利用攻击主机C继续上网,但是,主机A的网络质量,将会由攻击主机C来控制,一般具有时断时续的表现。
二、ARP欺騙类病毒入侵后的表象
当局域网中的某台电脑到ARP欺骗类病毒控制的时候,其他用户若通过原来的路由器连接上网,将变成通过病毒主机连接网络,而切换过程用户将出现一次断线现象。当切换到病毒主机上网后,若用户登录某个服务器,病毒主机则会伪装成经常断线,诱使用户频繁登录,从而利于病毒主机盗取账户信息。当ARP欺骗类病毒运行时,会产生很多数据包,大量数据包造成局域网拥堵,使用户感觉网速变慢,而当病毒停止时,用户将恢复到原有路由器上网,但切换过程用户会再次断线。这种ARP欺骗类病毒在入侵后不仅影响他人上网,还会对病毒主机与子网机器的安全造成影响,很可能窃取用户账户信息,同时这种病毒发送ARP报文十分隐秘,在占用系统资源较少时,很难被用户察觉。
三、解决ARP协议攻击的两个措施和攻击类型的对应关系
1.解决ARP欺骗攻击的措施
加强保护接入层网络设备ARP表项,是防御ARP欺骗类病毒攻击的重要所在。具体原理是指将具有智能性质的ARP表项绑定机制启动,同时在ARP报文的接收阶段,实现对ARP绑定表的动态检测,从而对其合法性进行有效判断[4]。可以通过以下网络设备的设置进行详细了解;在局域网接入交换机中,将DHCP嗅探开启之后,立刻对MAC、IP进行校验,以此实现
对ARP欺骗、以及DHCP欺骗等攻击行为的有效控制。
具体配置步骤如下所示:(1)全局模式下:ip dhcp snooping //开启DHCP嗅探;(2)普通接入端口下:ip verify source port-security //开启端口安全功能;(3)普通接入端口下:arp-check //进行IP-MAC的对应校验,将dhcp snooping获取的关系作为相关参考,避免arp地址欺骗行为的出现;(4)上联端口下:ip dhcp snooping trust //开启snooping信任端口,dhcp offer的报文只有借助上联端口实现通过,进而防止出现私设DHCP服务器的情况。2.解决MAC地址攻击的措施
通过控制网络设备ARP报文处理阈值,能够有效解决ARP的扫描攻击行为。通常情况下,对于ARP报文的控制,可以由以下两种方式实现,分别为基于IP的ARP扫描以及基于端口的ARP扫描。基于IP的ARP扫描是指,在一段时间中,对网段中某IP收到ARP报文的数量进行计算,如果计算结果高于提前设置的阈值,那么可以将此IP定义为问题主机IP,对源自此IP的所有流量进行禁止,但是与此IP相连的端口不进行关闭操作。基于端口的ARP扫描是指,在一段时间内,对某端口所接收到的ARP报文数量进行计算,如果计算数量高于提前设置的阈值,那么可以将此端口定义为问题主机所在的端口,同时关闭此关口[5]。上述两种MAC地
址的功能,能够同时开启。如果IP或者端口禁止,利用自动恢复功能,能够实现其状态的自动恢复。可以从以下网络设备的配置详细了解:(1)全局模式下:anti-arpscan enable //開启arp扫描功能;(2)全局模式下:anti-arpscan port-based threshold 62//基于端口的ARP扫描,可以将扫描速率阈值设定为62个/s;(3)全局模式下:anti-arpscan ip-based threshold 18 //基于IP地址的ARP扫描,可以将扫描速率阈值设置为18个/s;(4)全局模型下:anti-arpscan recocery time 280 //可以将扫描恢复时间设置为280s;(5)上联端口下:anti-arpscan trust supertrust-port // 可以将ARP扫描的信任端口设置为交换机的上联端口。
综上所述,利用相关技术措施,能够将基于ARP协议的攻击行为有效控制,同时能够促使ARP协议在网络中顺利工作。
总结:通过以上论述可以了解到,由于ARP的不坚定性质,导致其容易被网络中不法分子所攻击,并且成为被利用的对象。特别是最近几年,ARP欺骗方式更加猖狂,严重影响到个人和企业的计算机系统安全,为用户带来较大损失。因此,网络用户必须对此给予足够重视,只有全面了解ARP欺骗类病毒,才能制定出相应的应对措施和解决措施,以此保护信息数据的安全。
参考文献
[1]张睿.ARP欺骗防御在政企客户网络中的应用[J].科技与企业,2014(24):146-147.
[2]朱秀娟,叶娜,罗淯新.局域网ARP欺骗的工作原理与防范策略[J].电子技术与软件工程,2014(23):21-21.
受到arp攻击
[3]赵飞.基于ARP欺骗的局域网防御界面研究[J].绥化学院学报,2014,34(6):150-153.
[4]池新杰.浅析ARP攻击防御策略[J].电脑与电信,2015(Z1):58-59.
[5]王晓妮.基于WinPcap的校园网ARP攻击检测防御系统研究与设计[J].办公自动化:综合版,2014(11):46-47.
郭景宏,(1960.7-),男,河北保定人,本科,内蒙古军区,高级工程师。研究方向:无线通信发展,网络病毒防御。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。