ApP欺骗攻击及其对策思考

ARP病毒及其对策思考
[摘要:]随着网络技术的发展，网络的作用日益突显，正成为学校建设和发展进程中不可或缺的重要角色，发挥着至关重要的作用，但是网络安全和管理问题也随之而来。

本文总结阐述了当前主要流行的网络病毒——ARP病毒，介绍了ARP协议的含义、ARP病毒攻击的基本原理和表现形式，提出了对ARP病毒的诊断的方法和对策。

[关键词:]ARP 网络病毒校园网嗅探MAC
近年来，随着各类院校（包括中专和基层电大）网络规模的扩大和用户数目的增多，加之校园网用户的专业背景，致使网络黑客攻击频发，网络病毒泛滥，再加上网络病毒层出不穷，花样翻新，着实让负责网络安全的专业技术人员头痛不已，其中，导致网络不稳定，甚至网络瘫痪的病毒以ARP为首，以下主要谈谈对ARP病毒的认识和基本解决方法。

一、ARP病毒简介
要消除ARP病毒（以下简称ARP）对校园网的危害，首先要了解什么是ARP。

ARP 是“Address Resolution Protocol”（地址解析协议）的缩写。

在以太网中，一台主机要和另一台主机进行通信，也就是数据的传输，必须要知道目标主机的IP地址，但在局域网中传送数据的网卡等物理设备不识别IP地址，只能识别其硬件地址即MAC地址。

网卡之间发送数据，只能根据对方网卡的MAC地址进行发送，这时就需要ARP协议将高层数据包中的IP地址（32位）转换成低层MAC地址（48位）。

ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址，其基本功能就是通过目标设备的IP 地址，查询目标设备的MAC地址，以保证通信的顺利进行。

在局域网的任何一台主机中，都有一个ARP缓存表，该表保存着网络中每台电脑的IP 地址和MAC地址的对应关系。

如下表所示：
我们以主机A（192.168.10.1）向主机B（192.168.10.2）发送数据为例。

当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址，如果找到了，也就知道了目标MAC地址。

直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向该主机所在局域网内的所有主机发出这样的询问：“192.168.10.2的MAC地址是什么?”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.10.2的MAC地址是bb-bb-bb-bb-bb-bb”，这样主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了，同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。

ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有
使用就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。

从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就可能实现在以太网上的ARP欺骗。

例如，要对目标A进行欺骗，A去ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上，如果进行欺骗的时候，把C的MAC地址骗为DD-DD-DD-DD-DD-DD，于是A原来希望发送到C上的数据包就都发送给D了，这不正好是D能够接收到A发送的数据包了么，嗅探成功（嗅探，通俗地讲就是黑客将网络中的敏感数据截取下来，可以获取局域网中相关的密码）。

再打开D的IP转发功能，将A发送来的数据包转发给C，看起来好像是A直接将数据发送给了C，实际上通过了D。

ARP常见攻击方式
1、截获网关数据
它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。

2、伪造网关
它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网，在PC看来，就是上不了网了,“网络掉线了”，通常情况下，网络瘫痪就是ARP 通过这种方式在“作怪”。

二、故障现象
ARP欺骗木马的中毒现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常。

比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。

如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp -d后，又可恢复上网。

ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。

三、ARP病毒诊断
当发现大范围的局域网不稳定甚至是瘫痪的现象时，可以通过两个简单的方法来诊断局域网是不是受到了ARP的攻击。

1、点击“开始”->“运行”按钮，输入“arp – d”后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。

Arp – d 命令用于删除arp表中的所有内容。

Arp – d命令并不能抵御ARP欺骗，执行后仍有可能再次遭受ARP攻击。

2、重启路由器。

当重启路由器后，网络能恢复短暂的正常。

在确定局域网受到ARP病毒攻击后，下面使用ARP工具监控和锁定感染ARP病毒的主机。

以笔者所在的校园网为例：在笔者所在的基层电大的某一教学楼感染了ARP病毒以后，先将ARP软件安装在二楼的一台主机上，然后切断一楼和三楼所有的网络连接，打开ARP 防火墙单机版（4.1.1）（注：先安装下载下来的原版程序，安装完成后，把下载的crack文件夹里的文件覆盖到安装文件夹下即可），如下图所示：
前攻击的状态也一览无余，如下图所示：
逐一切断二楼各个办公室的网络连接，当攻击的数字（如上图右侧红色标记所示）不再变化时，就锁定了感染ARP病毒的主机，即刚刚切断网络连接的那个办公室的主机。

四、ARP攻击的故障排除和对策研究
1、升级杀毒软件查杀病毒。

2、安装arp防火墙是一个不错的选择（有的杀毒软件也内置此功能，像安全卫士360就有），也可以安装前面介绍的ARP防火墙单机版，它不仅能监测到网内的ARP攻击，同时
能确保本机不对外发动ARP攻击。

3、最常用也是最有效的防范手段就是对mac地址和ip地址进行静态绑定，在网内把网关和所有主机都做进行mac地址和ip地址的绑定。

因为arp欺骗是通过arp的实时动态规则对目标主机进行欺骗，因此我们把arp表中的全部条目设置为静态绑定就可以有效地防范arp欺骗，但注意一定同时要在网关也进行mac地址和ip地址的静态绑定，这样双向绑定才能起到效果。

具体方法为：在windows命令窗口输入命令arp –s ip mac地址。

这里的-s就是表示静态绑定的参数。

例如：“arp –s 172.16.0.1 00-00-00-00-00-00”，这条命令的意思就是将mac地址00-00-00-00-00-00静态绑定在ip地址172.16.0.1上，而不是通过网络上接收到的arp应答包进行动态更新，这样就不会被更改，也不会被定时删除。

那么，如何知道命令是否执行成功呢，执行完上面这条命令后，可以紧接着执行arp -a ，如果看到这样的提示： internet address physical address type
192.168.10.1aa-aa-aa-aa-aa-aa static(静态) ，就说明已经成功地进行了arp绑定。

4、提高网络安全意识，养成良好的习惯。

关注每一阶段网络病毒的爆发期，及时更新操作系统补丁，升级杀毒软件和防火墙，关闭一些不需要的服务。

5、不上来路不明的网站，不下载来历不明的邮件和软件
对于有些来历不明的网站，它本身就自带一些病毒，等用户一访问就自动下载病毒到本机上。

同样一些来历不明的软件、邮件都有可能含有病毒，在运行这些软件的同时，电脑就已经被病毒感染。

其实，防治ARP病毒有很多措施和方法，像防治非典一样，做到分级隔离，把一个大的局域网分割成几个小的局域网，也能缩小一定的影响、减小一定的损失。

参考文献：
[1] 罗琳.校园ARP欺骗分析与防范检测技术[J].电脑知识与技术，2009(5)：3364-3366.
[2]孔祥翠等，校园局域网防ARP病毒的研究和解决[J]，计算机安全，2008，（4）。

[3] 崔北亮，陈家迁.非常网管：网络管理从入门到精通（修订版）[m].北京：人民邮电出版社，2010.
[4]．中央广播电视大学．国家开放大学建设方案［EB/OL］．.2011．。