第一篇:中小学局域网应对ARP病毒攻击的措施
网络安全工作总结
付正林
随着社会的发展,信息技术对教育教学的影响越来越广,越来越多的学校与教师对网络依赖也越来越大;而对中小学校园内局域要求也是一天比一天高。但现在ARP病毒攻击成为局域网杀手,造成校园网络无法正常使用。ARP病毒攻击,以成各中小学校网络管理员公认为最头痛的事。而各中小学网络管理员如何面对ARP病毒攻击呢?
ARP与ARP病毒简介
ARP全称:Address Resolution Protocol 地址解析协议。ARP的作用:实现通过IP地址得知其物理地址。在TCP/IP网络环境下,每个主机都分配了一个32位的IP地址,这种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物理网路上传送,必须知道对方目的主机的物理地址。这样就存在把IP地址变换成物理地址的地址转换问题。以以太网环境为例,为了正确地向目的主机传送报文,必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址,这组协议就是ARP协议。(物理地址即网络中的MAC地址,也就是全世界所有网卡中的唯一标识代码)
ARP病毒:就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。ARP病毒攻击主要是存在于局域网网络中,局域网中若有一个人感染ARP木马病毒,则感染该ARP木马病毒的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
遭受ARP攻击后现象:ARP欺骗木马的中毒现象表现为:使用局域网时会突然掉线,过一段时间后又会恢复正常。用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等,不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp-d后,又可恢复上网,严重者跟本无法正常连接网络。
应对中小学校园网内ARP病毒攻击的思考
现在各中小学普遍存在ARP病毒攻击的原因有如下几个方面:第一网络安全设备配置不齐全,使校园内网络结构比较简单;第二中小学的网络管理员绝大部分是电脑教师兼职,专业水平与发展方向出现偏差;第三使用者——教师使用电脑与网络的不正确或者说不规范,比如在不在安全的网站下载文件、使用U盘或者移动硬盘传输文件与在网上浏览不正规的网站等;第四忽视对应该服务系统的有效管理与建设,这与学校经费或者上经领导重视或管理者水平有关。第五网络技术与病毒更新太快,管理员的学习跟不上发展速度,加强网络管理员的相关业务学习很重要。
现在流行的维护方法:静态绑定、Antiarp和具有ARP防护功能的路由器。但这只是针对网络与使用设置的一种应对措施,相对中小学小而全的校园网而言,还远远不够。我们应全面考虑各种因素,多管齐下来应对ARP病毒攻击问题。第一:从病毒来原入手,第二从病毒攻击方式考虑,第三对使用者——教师的电脑与网络使用的相关培训,第四网络管理者专业水平的提高,第五学校的重视。
应对ARP病毒攻击的具体措施
从全局角度来思考:教育信息化实现的基础是网络正常运行,各种信息化的教育教学活动没有网络的正常运行再好的东西也无法使用。如无纸化办公(OA系统)、教学资源库、家校通、广港校际在线交流(视像中国)、远程集体备课、学生电子书包、电子课堂等。各种现代化信息教育教学都运行在良好的网络环境之上,网络与现代信息化教育教学活动的基础。所以学校必需重视才行,不然何谈教育信息化。学校的重视也有利于网络管理员的工作,如加大网络基础的投入、与部门的工作配合、参加各种有利于业务水平提高的培训与交流活动等。争取学校的重视,是网络工作是有力保证。争取学校的重视,首先要把自己的本职工作做好,做好了本职工作是领导重视的前提。其次是做好网络工作计划,一个合理的计划能更有利于我们开展工作,也能更好地获得所有管理者与参与者支持。然后整理好工作中遇到的问题和教师的使用意见,是向学校提供决策的重要参考意见。
从网络技术角度来解决:技术方面首先是病毒来源着手,ARP病毒一般都与木马病毒共存,病毒来源有三个方面,第一是因特网,第二是U盘或移动硬盘等移动式存储器,第三是网内原有电脑上本身就存有。应对因特网上的木马或者病毒,我们一定要加装防火墙,做好相关策略。设置防火墙的技术策略这里不详讲,因为各种不同的防火墙有不能的命令与解决方法。应该对内部病毒,我们应该先组织一次全面的清理活动,在最大可能减少内部病毒的出现,然后加装相关的杀毒软件与单机防火墙。应该移动存储器内的病毒主要是加强使用者的防范意识,经常查杀自己移动存储器,每天使用时都必须检查病毒后再使用。
然后从ARP病毒攻击原理来处理,第一静态绑定:最常用的方法就是做IP和MAC静态绑定,在网内把主机和网关都做IP和MAC绑定,使ARP无法欺骗。第二内网分段,根据各区域与功能相关不同使用者,划分不同的VLin。这样就算网内有机器感染了ARP病毒,也不会迅速传播到整个局域网,让管理员有足够的时间与空间来处理。第三,有条件的学校可以做到终端交换机端口划分与绑定,在这不多言。第四,核心交换机上,利用交换机的统计功能,对某一MAC地址一定时间内对网关请求数过大(如每分钟大于90次),即断开这台电脑的网络。这是因为现在绝大部分中小学网络管理员都是兼职,不可能经常在监视网络运行情况;这样在网络管理员不在的情况下,可以在一定程度上保证网络正常运行。第五,每天定时认真查看路由器、防火墙、上网行为管理设备、核心交换机等关键网络设置记录,了解网络运行情况。第六,使用Sniffer等网络工具定时扫描网络内部情况,并认真分析异常情况,提前发现问题并解决问题。
最后从应用角度来防范,第一,使用并有效管理好公共服务器系统,特别是文件服务器、资源库服务器、BBS服务器等流量比较大,利用率比较高的服务器。这些公共服务系统可以减少老师对移动存储器的使用,更能相对较少地减少老师在使用外网时中毒的机率。这些重要服务器应该划分单独的VLin,并做好相关的安全策略,能安全服务器杀毒软件是最好的。专业的网络管理员提出的服务器不应该装杀毒,也是有道理的,但现在中小学里的网络管理员并不是非常专业的网络技术管理员,也不能时刻监视网络情况与服务器系统情况,我们都是业余级的。第二,当发现网内有机器感染了ARP病毒,最简单的方法是:先断该机器的网络连接,最好是物理中断;然后保存好该机器内重要数据,然后在干净的网络环境下清理所有数据,并重装系统等相关工作;同时对机器使用者进行解释说明与相关宣传工作。在干净的网络环境这点很重要,可以避免机器二次感染。
从自身角度来提高:时代是发展的。网络信息技术的发展更是以超出人们想象的速度在发展。培训与学习更是应对各种网络问题的重中之重。技术培训分二部分,第一是网络管理员的业务水平技术培训与学习。第二是网络使用者的电脑与网络应用技巧的校本培训。对于学校来说,应该创造条件,让网络管理员不断参加各种网络技术相关的培训学习班或者研讨会;网络管理员也要通过各种途径来学习各种新技术,了解技术的展情况。比如网上的技术论坛上参与讨论与学习:中国网管论坛(http://bbs.bitscn.com/)、网络管理员(http://bbs.krshadow.com/forum-20-1.html)、51TCO技术论坛(http://bbs.51cto.com/forum-143-1.html)等。网络管理员也应该经常在学校内部进行电脑与网络应用的相关校本培训,提高使用者的应该水平与防病毒能力;同时经常与不同应用能力的使用者之间进行小范围的研讨工作,深入一线使用者中,去了解各种使用者的应用情况。把学校校园网比做一个人的话,提高网络管理者与应用都自身水平,就是像是提高人的身体素质一样,是应对病毒攻击最好的办法。
应对ARP病毒攻击,从学校指导思想层、校园网络管理层、网络应用层来发展问题并解决问题,才是应对ARP病毒攻击基本。做好这三者之间的工作,应对ARP病毒攻击就能轻松自如。
2012-1-7
第二篇:ARP攻击自查协议书[小编推荐]
ARP攻击自查协议书
兹于四号宿管站C19一单元ARP攻击较为严重,为便于较早的制止攻击且最大程度的减小消极影响,单元成员决定采取自查。
自查条件:
1.QQ管家、360等杀毒软件,彩影等反ARP软件截得ARP攻击每分钟50次以上。
2.出现客户端在1小时内登录不上,或客户端登录上立刻就自行掉线的情况。
3.学校内网无法登陆
除学校硬件设施损坏导致网络故障,或暂停校园网除外。满足以上三个条件方可实行。
自查人员:单元内每个专业(或班级)至少派出一名代表参与自查。
单元人员签字:公证人签字:
第三篇:校园网ARP欺骗攻击分析及解决办法(0)
校园网ARP欺骗攻击分析及解决办法
张志刚
(作者单位:浙江省开化县实验小学 邮编:324300)
摘要:ARP攻击是当前校园网遇到的一个非常典型的安全威胁,受到ARP攻击后轻者校园网会出现大面积掉线,重者会窃取用户密码。目前,网上有关ARP资料较多,但作者发现:网上资料虽多但大多逻辑性和指导性均不强,甚至有一些还自相矛盾,不能自圆其说。该文来自于一线网管员的工作实践,具有较强的针对性和操作性。
关键词:校园网、ARP、原理、方法 正文:
ARP攻击是当前校园网遇到的一个非常典型的安全威胁,受到ARP攻击后校园网内各终端电脑会出现大面积掉线、ARP包爆增、拷贝文件无法完成,出现错误、无法ping通网关,但重启机器后又可恢复上网等情况。欺骗木马发作时还会窃取用户密码,如盗取QQ密码、盗取各种网络游戏密码和账号,盗窃网上银行账号来做非法交易活动等。在08年的暑期,我县的教育城域网就爆发了一次较大的ARP攻击事件,前后持续时间近一个月,给全县教育系统的暑期办公培训及新学期的准备工作带来了较大的影响,攻击源来自于乡下某学校的一台老师忘记关机并感染了ARP病毒的的办公电脑。
作为一名学校的网管员,在与多起ARP欺骗攻击的的斗争过程中,对ARP病毒相关基础知识、危害认识也越来越深刻,对如何在校园网内及时发现、有效防范查杀攻击源的具体处理上也有了一定的心得,现作一整理,供兄弟学校的各网管员们参考借鉴。
1.要了解APR病毒需先掌握的几个概念 1.1:IP地址
IP地址是出现频率非常高的词。它类似于电话通迅中的电话号码,在我们的校园网中,为了区别每一台不同的计算机,我们需要给每一台计算机都配臵一个号码,这个号码我们就将它叫做IP地址,有了这个IP地址我们在利用网络进行上网、传递文件,进行局域网聊天时才不会将发送给A计算机的信息错发到其
它的计算机上。一般情况下,在校园网内一台计算机只分配一个IP地址,IP地址采用十进制数字表示,如192.168.0.25。1.2、MAC地址:
在现实生活中,我们每个人由于工作等原因会经常的搬家,每台计算机的IP地址在使用中就会发生变化。IP地址发生变化了,为什么不会影响我们在网上收发信息呢?这主要是因为我们计算机的网卡MAC地址是不发生变化的。MAC地址也叫物理地址,它类似于我们每个人的身份证,是全球唯一的,只要MAC地址这个计算机的身份证存在,我们在全球庞大的计算机网络中就总能找到自已的这台计算机。MAC地址的长度为48位(6个字节),通常表示为12个16进制数,每2个16进制数之间用冒号隔开,如:00:0F:E2:70:70:BC。XP系统环境下本机的IP与MAC地址信息我们可以执行IPCONFIG –ALL命令进行查询。1.3、ARP(Address Resolution Protocol:地址解析协议)
不管是在校园局域网中还是在广域网中,数据信息要从某种形式的链路上的初始节点出发,从一个节点传递到另一个节点,最终传送到目的节点。如果仅仅依靠IP地址去传递信息是要发生错误的,因为IP地址是要发生变化的,在某些时候我们就需要将IP地址与MAC地址进行捆定,保证网络中信息传递的准确性,完成这个功能的就是ARP地址解析协议。网络中的每台电脑,它都会收集网络上的各台计算机的IP地址与MAC地址信息,将它储存在一个叫“ARP缓存表”的地方,当机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据。
2.ARP欺骗的原理分析
为便于阐述,在这我们假设有一个有三台计算机甲、乙、丙组成的局域网,其中甲感染了ARP木马病毒。正常情况下,甲的地址为:IP:192.168.1.1 MAC: AA-AA-AA-AA-AA-AA,乙的地址为:IP:192.168.1.2 MAC: BB-BB-BB-BB-BB-BB,丙的地址为:IP:192.168.1.3 MAC: CC-CC-CC-CC-CC-CC。当计算机甲上运行了
ARP欺骗程序,向乙或丙发送了ARP欺骗包后,基于乙、丙对甲的完全信任关系,乙或丙计算机会自动更新本地的ARP缓存,将错误的IP与MAC地址信息替代了正确的信息对应表,这样当然也就不能保证乙、丙两台计算机能顺畅地对外通讯了。在校园网中,问题会随着ARP欺骗包针对网关而变本加厉,当局域网中一台机器,反复向其他机器,特别是向网关,发送这样无效假冒的ARP应答信息包时,严重的网络堵塞就会开始。由于网关MAC地址错误,所以从网络中计算机发来的数据无法正常发到网关,自然无法正常上网。这就造成了无法访问外网的问题,另外由于很多时候网关还控制着我们的局域网LAN上网,所以这时我们的LAN访问也就出现问题了
3.校园网ARP病毒的预防措施及感染后的分析及处理 3.1、校园网ARP病毒的五条预防措施:
措施
1、及时升级客户端的操作系统和应用程序补丁。措施
2、安装和更新杀毒软件及ARP专用防火墙。
措施
3、如果网络规模较小,尽量使用手动指定IP设臵,而不是使用DHCP来分配IP地址。
措施
4、如果交换机或路由器支持,在交换机或路由器上绑定MAC地址与IP地址。
措施
5、在校园网正常运行时,备份一份网关与知终端的IP地址与MAC地址正常对应表,最好包含计算机名信息。现今学校一般都通过路由器上网,两地址信息均可在路由器的WEB设臵页面中找到,也可以使用网上常见的一些专业MAC地址扫描工具得到正确的地址信息。3.2、ARP病毒感染后的分析及处理
校园网如果还是不幸中招,出现本文第一段所说的那些症状时,我们首先应该判断是否为ARP病毒的原因,点击“开始”按钮->选择“运行”->输入“arp–d”->点击“确定”按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。arp-d命令用于清除并重建本机arp表。arp–d命令并不能抵御ARP欺骗,执行后仍有可能再次遭受ARP攻击。如果计算机安装有ARP防火墙的话,也会在屏幕的右下角跳出报警信息,当确诊为ARP病毒是时,我们可以采取以下方法进行校园网的修复处理。
第一步:首先保证网络正常运行。在桌面上新建一个名为ARP文本文件,用
记事本写下:
@echo off arp-d
arp-s 网关IP MAC地址
保存后将记事本后缀名改名BAT(批处理文件)。将这个批处理文件发送给各计算机端,当遭受ARP攻击时,将它执行一遍,重新绑定网关的IP-MAC地址信息后就OK了。
第二步:找到感染ARP病毒的机器。
第一种判断方法:如果在你的周围有多台电脑均不能正常上网,出现时常掉线的情况,而你的电脑却安然无恙,数据通信正常,请不要沾沾自喜,这说明你的机器已经中了arp病毒,需要及时断网杀毒。
第二种判断方法:使用arp-a命令任意选两台不能上网的主机,在DOS命令窗口下运行arp-a命令。如图1,两台电脑除了网关的IP,MAC地址对应项,都包含了192.168.0.54的这个IP,则可以断定192.168.0.54这台主机就是病毒源。一般情况下,网内的主机只和网关通信。正常情况下,一台主机的ARP缓存中应该只有网关的MAC地址。如果有其他主机的MAC地址,说明本地主机和这台主机最后有过数据通信发生。如果某台主机(例如上面的192.168.0.54)既不是网关也不是服务器,但和网内的其他主机都有通信活动,且此时又是ARP病毒发作时期,那么,病毒源也就是它了。
第三种判断方法:在故障机上使用ARP -a的命令看得到的网关对应的MAC地址是否与网关真实地址相符,如不符,可去查找与该MAC地址对应的电脑。
第四种判断方法:使用ARP防火墙(例如360ARP防火墙)软件,360ARP防火墙拦截到外部ARP攻击后,可通过拦截界面“追踪攻击源IP”来精准定位局域网内攻击源,方便网管及时查询局域网内攻击源,及时解决问题。
第三步:在学校路由器的WEB页面上网过滤功能设臵中暂时停止病毒源主机的上网行为。考虑到校园网的各终端主机来源比较复杂,有一些来自于老师的笔记本电脑,有时根据MAC地址很难确定是某位老师的电脑,我们可以利用路由器 的MAC地址过滤功能暂停该机的上网功能,待确定计算机主人后再通知其使用ARP专杀工具查杀病毒。这样就保证了校园网的健康运行。目前的路由器一般都有“上网黑白名单”的功能设臵,操作也较简单。
以上的分析查杀过程,在配备简陋的学校校园网内均可实现,基本上可以将ARP病毒的危害降至最低。目前市场上很多的路由器厂商专门推出一些具有ARP病毒防护功能的路由器,它可以在路由器端绑定IP与MAC地址正确信息并按一定频率向网络广播,该种路由器再配合客户端的双向绑定,在ARP的防治上效果非常不错,能还你一个波澜不惊、风平浪静的校园网环境,值得一试!但有些ARP防火墙会将路由器的广播视作是ARP攻击。配备一个功能强大的路由器不仅对ARP的防治有较好的效果,网管员们如仔细分析利用好路由器的系统运行信息,对其它网络病毒的防治诊断也有很好的帮助作用。
台上一分钟,台下十年功,校园网网管员平时的工作默默无闻,网络病毒将我们推上了表演的前台,我们网管员们要想立于不败之地,实现自身价值,一个重要的前提就是平时要做好校园网基本信息知识的积累整理工作,练好内功,加强软实力,这样才能在校园网的一些突发事件面前,做到从容不迫、大将风度。
第四篇:arp病毒欺骗查找与预防方法
arp病毒欺骗查找与预防方法
ARP地址欺骗类病毒(以下简称ARP病毒)是一类特殊的病毒,该病毒一般属于木马(Trojan)病毒,不具备主动传播的特性,不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包,干扰全网的运行,因此它的危害比一些蠕虫还要严重得多。
二、ARP病毒发作时的现象
网络掉线,但网络连接正常,内网的部分PC机不能上网,或者所有电脑不能上网,无法打开网页或打开网页慢,局域网时断时续并且网速较慢等。
三、ARP病毒原理 3.1 网络模型简介
众所周知,按照OSI(Open Systems Interconnection Reference Model 开放系统互联参考模型)的观点,可将网络系统划分为7层结构,每一个层次上运行着不同的协议和服务,并且上下层之间互相配合,完成网络数据交换的功能,如图1:
图1 OSI网络体系模型
然而,OSI的模型仅仅是一个参考模型,并不是实际网络中应用的模型。实际上应用最广泛的商用网络模型即TCP/IP体系模型,将网络划分为四层,每一个层次上也运行着不同的协议和服务,如图2。
图2 TCP/IP四层体系模型及其配套协议
上图中,蓝色字体表示该层的名称,绿色字表示运行在该层上的协议。由图2可见,我们即将要讨论的ARP协议,就是工作在网际层上的协议。3.2 ARP协议简介
我们大家都知道,在局域网中,一台主机要和另一台主机进行通信,必须要知道目标主机 的IP地址,但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的,只能识别其硬件地址即MAC地址。MAC地址是48位的,通常表示为 12个16进制数,每2个16进制数之间用―-‖或者冒号隔开,如:00-0B-2F-13-1A-11就是一个MAC地址。每一块网卡都有其全球唯一的 MAC地址,网卡之间发送数据,只能根据对方网卡的MAC地址进行发送,这时就需要一个将高层数据包中的IP地址转换成低层MAC地址的协议,而这个重要 的任务将由ARP协议完成。
ARP全称为Address Resolution Protocol,地址解析协议。所谓―地址解析‖就是主机在发送数据包前将目标主机IP地址转换成目标主机MAC地址的过程。ARP协议的基本功能就是 通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。这时就涉及到一个问题,一个局域网中的电脑少则几台,多则上百台,这么多的电脑之间,如何能准确的记住对方电脑网卡的MAC地址,以便数据的发送呢?这就 涉及到了另外一个概念,ARP缓存表。在局域网的任何一台主机中,都有一个ARP缓存表,该表中保存这网络中各个电脑的IP地址和MAC地址的对照关系。当这台主机向同局域网中另外的主机发送数据的时候,会根据ARP缓存表里的对应关系进行发送。下面,我们用一个模拟的局域网环境,来说明ARP欺骗的过程。3.3 ARP欺骗过程
假设一个只有三台电脑组成的局域网,该局域网由交换机(Switch)连接。其中一 个电脑名叫A,代表攻击方;一台电脑叫S,代表源主机,即发送数据的电脑;令一台电脑名叫D,代表目的主机,即接收数据的电脑。这三台电脑的IP地址分别 为192.168.0.2,192.168.0.3,192.168.0.4。MAC地址分别为MAC_A,MAC_S,MAC_D。其网络拓扑环境如图 3。
图3 网络拓扑
现在,S电脑要给D电脑发送数据了,在S电脑内部,上层的TCP和UDP的数据包已经传送到 了最底层的网络接口层,数据包即将要发送出去,但这时还不知道目的主机D电脑的MAC地址MAC_D。这时候,S电脑要先查询自身的ARP缓存表,查看里 面是否有192.168.0.4这台电脑的MAC地址,如果有,那很好办,就将 封装在数据包的外面。直接发送出去即可。如果没有,这时S电脑要向全网络发送一个ARP广播包,大声询问:―我的IP是192.168.0.3,硬件地址 是MAC_S,我想知道IP地址为192.168.0.4的主机的硬件地址是多少?‖ 这时,全网络的电脑都收到该ARP广播包了,包括A电脑和D电脑。A电脑一看其要查询的IP地址不是自己的,就将该数据包丢弃不予理会。而D电脑一看IP 地址是自己的,则回答S电脑:―我的IP地址是192.168.0.4,我的硬件地址是MAC_D‖需要注意的是,这条信息是单独回答的,即D电脑单独向 S电脑发送的,并非刚才的广播。现在S电脑已经知道目的电脑D的MAC地址了,它可以将要发送的数据包上贴上目的地址MAC_D,发送出去了。同时它还会 动态更新自身的ARP缓存表,将192.168.0.4-MAC_D这一条记录添加进去,这样,等S电脑下次再给D电脑发送数据的时候,就不用大声询问发 送ARP广播包了。这就是正常情况下的数据包发送过程。
这样的机制看上去很完美,似乎整个局域网也天下太平,相安无事。但是,上述数据发 送机制有一个致命的缺陷,即它是建立在对局域网中电脑全部信任的基础上的,也就是说它的假设前提是:无论局域网中那台电脑,其发送的ARP数据包都是正确 的。那么这样就很危险了!因为局域网中并非所有的电脑都安分守己,往往有非法者的存在。比如在上述数据发送中,当S电脑向全网询问―我想知道IP地址为 192.168.0.4的主机的硬件地址是多少?‖后,D电脑也回应了自己的正确MAC地址。但是当此时,一向沉默寡言的A电脑也回话了:―我的IP地址 是192.168.0.4,我的硬件地址是MAC_A‖,注意,此时它竟然冒充自己是D电脑的IP地址,而MAC地址竟然写成自己的!由于A电脑不停地发送这样的应答数据包,本来S电脑的ARP缓存表中已经保 存了正确的记录:192.168.0.4-MAC_D,但是由于A电脑的不停应答,这时S电脑并不知道A电脑发送的数据包是伪造的,导致S电脑又重新动态 更新自身的ARP缓存表,这回记录成:192.168.0.4-MAC_A,很显然,这是一个错误的记录(这步也叫ARP缓存表中毒),这样就导致以后凡 是S电脑要发送给D电脑,也就是IP地址为192.168.0.4这台主机的数据,都将会发送给MAC地址为MAC_A的主机,这样,在光天化日之下,A 电脑竟然劫持了由S电脑发送给D电脑的数据!这就是ARP欺骗的过程。
如果A这台电脑再做的―过分‖一些,它不冒充D电脑,而是冒充网关,那后果会怎么 样呢?我们大家都知道,如果一个局域网中的电脑要连接外网,也就是登陆互联网的时候,都要经过局域网中的网关转发一下,所有收发的数据都要先经过网关,再 由网关发向互联网。在局域网中,网关的IP地址一般为192.168.0.1。如果A这台电脑向全网不停的发送ARP欺骗广播,大声说:―我的IP地址是 192.168.0.1,我的硬件地址是MAC_A‖这时局域网中的其它电脑并没有察觉到什么,因为局域网通信的前提条件是信任任何电脑发送的ARP广播 包。这样局域网中的其它电脑都会更新自身的ARP缓存表,记录下192.168.0.1-MAC_A这样的记录,这样,当它们发送给网关,也就是IP地址 为192.168.0.1这台电脑的数据,结果都会发送到MAC_A这台电脑中!这样,A电脑就将会监听整个局域网发送给互联网的数据包!
实际上,这种病毒早就出现过,这就是ARP地址欺骗类病毒。一些传奇木马
(Trojan/PSW.LMir)具有这样的特性,该木马一般通过传奇外挂、网页木马等方式使局域网中的某台电脑中毒,这样中毒电脑便可嗅探到整个局域 网发送的所有数据包,该木马破解了《传奇》游戏的数据包加密算法,通过截获局域网中的数据包,分析数据包中的用户隐私信息,盗取用户的游戏帐号和密码。在 解析这些封包之后,再将它们发送到真正的网关。这样的病毒有一个令网吧游戏玩家闻之色变的名字:―传奇网吧杀手‖!
四、ARP病毒新的表现形式
由于现在的网络游戏数据包在发送过程中,均已采用了强悍的加密算法,因此这类ARP 病毒在解密数据包的时候遇到了很大的难度。现在又新出现了一种ARP病毒,与以前的一样的是,该类ARP病毒也是向全网发送伪造的ARP欺骗广播,自身伪 装成网关。但区别是,它着重的不是对网络游戏数据包的解密,而是对于HTTP请求访问的修改。
HTTP是应用层的协议,主要是用于WEB网页访问。还是以上面的局域网环境举 例,如果局域网中一台电脑S要请求某个网站页面,如想请求www.xiexiebang.com这个网页,这台电脑会先向网关发送HTTP请求,说:―我想登陆 www.xiexiebang.com网页,请你将这个网页下载下来,并发送给我。‖这样,网关就会将www.xiexiebang.com页面下载下来,并发送给S 电脑。这时,如果A这台电脑通过向全网发送伪造的ARP欺骗广播,自身伪装成网关,成为一台ARP中毒电脑的话,这样当S电脑请求WEB网页时,A电脑先 是―好心好意‖地将这个页面下载下来,然后发送给S电脑,但是它在返回给S电脑时,会向其中插入恶意网址连接!该恶意网址连接会利用MS06-014和 MS07-017等多种系统漏洞,向S电脑种植木马病毒!同样,如果D电脑也是请求WEB页面访问,A电脑同样也会给D电脑返回带毒的网页,这样,如果一 个局域网中存在这样的ARP病毒电脑的话,顷刻间,整个网段的电脑将会全部中毒!沦为黑客手中的僵尸电脑!案例:
某企业用户反映,其内部局域网用户无论访问那个网站,KV杀毒软件均报病毒:Exploit.ANIfile.o。
在经过对该局域网分析之后,发现该局域网中有ARP病毒电脑导致其它电脑访问网页 时,返回的网页带毒,并且该带毒网页通过MS06-014和MS07-017漏洞给电脑植入一个木马下载器,而该木马下载器又会下载10多个恶性网游木 马,可以盗取包括魔兽世界,传奇世界,征途,梦幻西游,边锋游戏在内的多款网络游戏的帐号和密码,对网络游戏玩家的游戏装备造成了极大的损失。被ARP病 毒电脑篡改的网页如图4。
图4 被ARP病毒插入的恶意网址连接
从图4中可以看出,局域网中存在这样的ARP病毒电脑之后,其它客户机无论访问什么网页,当返回该网页时,都会被插入一条恶意网址连接,如果用户没有打过相应的系统补丁,就会感染木马病毒。
五、ARP病毒电脑的定位方法
下面,又有了一个新的课题摆在我们面前:如何能够快速检测定位出局域网中的ARP病毒电脑?
面对着局域网中成百台电脑,一个一个地检测显然不是好办法。其实我们只要利用ARP 病毒的基本原理:发送伪造的ARP欺骗广播,中毒电脑自身伪装成网关的特性,就可以快速锁定中毒电脑。可以设想用程序来实现以下功能:在网络正常的时候,牢牢记住正确网关的IP地址和MAC地址,并且实时监控着来自全网的ARP数据包,当发现有某个ARP数据包广播,其IP地址是正确网关的IP地址,但是 其MAC地址竟然是其它电脑的MAC地址的时候,这时,无疑是发生了ARP欺骗。对此可疑MAC地址报警,在根据网络正常时候的IP-MAC地址对照表查 询该电脑,定位出其IP地址,这样就定位出中毒电脑了。下面详细说一下几种不同的检测ARP中毒电脑的方法。5.1 命令行法
这种方法比较简便,不利用第三方工具,利用系统自带的ARP命令即可完成。上文已经 说过,当局域网中发生ARP欺骗的时候,ARP病毒电脑会向全网不停地发送ARP欺骗广播,这时局域网中的其它电脑就会动态更新自身的ARP缓存表,将网 关的MAC地址记录成ARP病毒电脑的MAC地址,这时候我们只要在其它受影响的电脑中查询一下当前网关的MAC地址,就知道中毒电脑的MAC地址了,查 询命令为 ARP -a,需要在cmd命令提示行下输入。输入后的返回信息如下:
Internet Address Physical Address Type192.168.0.1 00-50-56-e6-49-56 dynamic 这时,由于这个电脑的ARP表是错误的记录,因此,该MAC地址不是真正网关的MAC地址,而是中毒电脑的MAC地址!这时,再根据网络正常时,全网的IP—MAC地址对照表,查找中毒电脑的IP地址就可以了。由此可见,在网络正常的时候,保存 一个全网电脑的IP—MAC地址对照表是多么的重要。可以使用nbtscan 工具扫描全网段的IP地址和MAC地址,保存下来,以备后用。5.2 工具软件法
现在网上有很多ARP病毒定位工具,其中做得较好的是Anti ARP Sniffer(现在已更名为ARP防火墙),下面我就演示一下使用Anti ARP Sniffer这个工具软件来定位ARP中毒电脑。
首先打开Anti ARP Sniffer 软件,输入网关的IP地址之后,再点击红色框内的―枚举MAC‖按钮,即可获得正确网关的MAC地址,如图5。
图5 输入网关IP地址后,枚举MAC 接着点击―自动保护‖按钮,即可保护当前网卡与网关的正常通信。如图6。
图6 点击自动保护按钮
当局域网中存在ARP欺骗时,该数据包会被Anti ARP Sniffer记录,该软件会以气泡的形式报警。如图7。
图7 Anti ARP Sniffer 的拦截记录
这时,我们再根据欺骗机的MAC地址,对比查找全网的IP-MAC地址对照表,即可快速定位出中毒电脑。5.3 Sniffer 抓包嗅探法
当局域网中有ARP病毒欺骗时,往往伴随着大量的ARP欺骗广播数据包,这时,流量检测机制应该能够很好的检测出网络的异常举动,此时Ethereal 这样的抓包工具就能派上用场。如图8。
图8 用Ethereal抓包工具定位出ARP中毒电脑
从图8中的红色框内的信息可以看出,192.168.0.109 这台电脑正向全网发送大量的ARP广播包,一般的讲,局域网中有电脑发送ARP广播包的情况是存在的,但是如果不停的大量发送,就很可疑了。而这台192.168.0.109 电脑正是一个ARP中毒电脑。
以上三种方法有时需要结合使用,互相印证,这样可以快速准确的将ARP中毒电脑定位出来。
七、ARP病毒的网络免疫措施
由于ARP病毒的种种网络特性,可以采用一些技术手段进行网络中ARP病毒欺骗数据包免疫。即便网络中有ARP中毒电脑,在发送欺骗的ARP数据包,其它电脑也不会修改自身的ARP缓存表,数据包始终发送给正确的网关,用的比较多的办法是―双向绑定法‖。双向绑定法,顾名思义,就是要在两端绑定IP-MAC地址,其中一端是在路由器中,把所有PC的IP-MAC输入到一个静态表中,这叫路由器IP-MAC绑定。令一端是局域网中的每个客户机,在客户端设置网关的静态ARP信息,这叫PC 机IP-MAC绑定。客户机中的设置方法如下:
新建记事本,输入如下命令:
arp-darp-s 192.168.0.1 00-e0-4c-8c-9a-47 其中,―arp –d‖ 命令是清空当前的ARP缓存表,而―arp-s 192.168.0.1 00-e0-4c-8c-9a-47 ‖命令则是将正确网关的IP地址和MAC地址绑定起来,将这个批处理文件放到系统的启动目录中,可以实现每次开机自运行,这一步叫做―固化arp表‖。―双向绑定法‖一般在网吧里面应用的居多。
除此之外,很多交换机和路由器厂商也推出了各自的防御ARP病毒的软硬产品,如:华 为的H3C AR 18-6X 系列全千兆以太网路由器就可以实现局域网中的ARP病毒免疫,该路由器提供MAC和IP地址绑定功能,可以根据用户的配置,在特定的IP地址和MAC地址 之间形成关联关系。对于声称从这个IP地址发送的报文,如果其MAC地址不是指定关系对中的地址,路由器将予以丢弃,是避免IP地址假冒攻击的一种方式。
第五篇:XX学院关于防范病毒攻击的公告
XX学院
关于防范病毒攻击的公告
据国家网络与信息安全信息通报中心监测发现,X年X月X日起,境外有黑客组织对我国政府机构和企事业单位开展勒索病毒邮件攻击。经分析判断,该勒索病毒版本号为X(又名“X病毒”),是X年X月最新升级的X病毒版本,运行后将对用户主机硬盘数据全盘加密,并让受害用户访问网址下载X浏览器,随后通过X浏览器登录攻击者的数字货币支付窗口,要求受害用户缴纳赎金。
该病毒目前主要是通过邮件形式攻击,请广大师生提高警惕不要随意打开不明邮件,具体防范措施如下:
一、不要打开来历不明的邮件附件;
二、及时安装主流杀毒软件,升级病毒库,对相关系统进行全面扫描查杀;
三、在Windows中禁用U盘的自动运行功能;
四、及时升级操作系统安全补丁,升级Web、数据库等服务程序,防止病毒利用漏洞传播;
五、对已感染主机或服务器采取断网措施,防止病毒扩散蔓延。
计算机信息管理中心
X年X月X日
点击咨询 