一、ARP欺骗现象
局域网内有电脑使用ARP欺骗程序(比如:传奇、QQ盗号的软件等)发送ARP数据包,致使被攻击的电脑不能上网。
中毒机器在局域网中发送假的APR应答包进行APR欺骗, 造成其他客户机无法获得网关和其他客户机的网卡真实MAC地址,导致无法上网和正常的局域网通信.
当局域网内某台电脑A向电脑B发送ARP欺骗数据包时,会欺骗电脑B将其通信的数据发向电脑A,电脑A通过对截获的数据进行分析,达到窃取数据(如QQ、网络游戏、网上银行以及其它脆弱系统帐号等)的目的。
被ARP欺骗的电脑会出现突然不能上网,重新连接后又能上网,但过会还是掉线的反复现象。
二、ARP欺骗分析
1、原理简析
当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。
在路由器的“系统历史记录”中看到大量如下的信息:
MAC Chged 10.128.103.124
MAC Old 00:01:6c:36:d1:7f
MAC New 00:05:5d:60:c7:18
这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC
New地址都一致为病毒主机的MAC地址),同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。
如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时,主机在路由器上恢复其真实的MAC地址)。
2、ARP攻击方式
(1).简单的欺骗攻击
这是比较常见的攻击,通过发送伪造的ARP包来欺骗路由和目标主机,让目标主机认为这是一个合法的主机.便完成了欺骗.这种欺骗多发生在同一网段内,因为路由不会把本网段的包向外转发,当然实现不同网段的攻击也有方法,便要通过ICMP协议来告诉路由器重新选择路由.
(2).交换环境的嗅探
在最初的小型局域网中我们使用HUB来进行互连,这是一种广播的方式,每个包都会经过网内的每台主机,通过使用软件,就可以嗅谈到整个局域网的数据.现在的网络多是交换环境,网络内数据的传输被锁定的特定目标.既已确定的目标通信主机.在ARP欺骗的基础之上,可以把自己的主机伪造成一个中间转发站来监听两台主机之间的通信.
(3).MAC Flooding
这是一个比较危险的攻击,可以溢出交换机的ARP表,使整个网络不能正常通信
(4).基于ARP的DOS
这是新出现的一种攻击方式,D.O.S又称拒绝服务攻击,当大量的连接请求被发送到一台主机时,由于主机的处理能力有限,不能为正常用户提供服务,便出现拒绝服务.这个过程中如果使用ARP来隐藏自己,在被攻击主机的日志上就不会出现真实的IP.攻击的同时,也不会影响到本机.
三、ARP欺骗鉴定方法
1、个人用户鉴定方法
(1).检查本机的“ARP欺骗”木马染毒进程
同时按住键盘上的“CTRL”和“ALT”键再按“DEL”键,选择“任务管理器”,点选“进程”标签。察看其中是否有一个名为“MIR0.dat”的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。
(2).检查网内感染“ARP欺骗”木马染毒的计算机
在“开始”-“程序”-“附件”菜单下调出“命令提示符”。输入并执行以下命令:ipconfig
记录网关IP地址,即“Default Gateway”对应的值,例如“59.66.36.1”。再输入并执行以下命令:
arp -a
使用arp -a看到自己网关的MAC地址是否变成了和内网一机器的MAC地址相同,由此可断定内网有机器中了ARP网关欺骗型病毒。前提是知道网关的正确的MAC地址,可以通过在可以正常上网的机器上,使用arp
-a命令查看网关的MAC地址,通过对比察看网关的MAC地址是否被修改。
(3).ARP变种较多,辨别方法并不是一成不变的。应及时了解相关病毒的发作规律及特征。
2、网管人员鉴定方法
(1).察看CPU利用率
附:6月21日Center6509_super720日志
Center6509_super720#sh proc cp
CPU utilization for five seconds: 38%/28%; one minute: 40%; five
minutes: 35%
。。。。。。
Center6509_super720#sh proc cp sorted
CPU utilization for five seconds: 38%/28%; one minute: 40%; five
minutes: 36%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
18 5643845242547773477 0 6.00% 6.36% 6.58% 0 ARP Input
。。。。。。
(2).察看ARP表
对于用三层设备接入校园网的单位,网管可以检查其三层设备上的ARP表。如果有多个IP对应同一个MAC,则此MAC对应的计算机很可能中了本木马。可通过下连二层交换机的转发表查到此MAC对应的交换机端口,从而定位出有问题的计算机。
附:6月21日Center6509_super720日志
Center6509_super720#sh arp | include 211.70.215.
Internet 211.70.215.66 0 000d.879f.484a ARPA Vlan19
Internet 211.70.215.67 0 000d.879f.484a ARPA Vlan19
Internet 211.70.215.65 0 000d.879f.484a ARPA Vlan19
Internet 211.70.215.70 0 000d.879f.484a ARPA Vlan19
Internet 211.70.215.69 0 000d.879f.484a ARPA Vlan19
Internet 211.70.215.86 0 Incomplete ARPA Vlan19
Internet 211.70.215.90 11 000d.879f.484a ARPA Vlan19
Internet 211.70.215.94 0 000d.879f.484a ARPA Vlan19
Internet 211.70.215.92 0 000d.879f.484a ARPA Vlan19
Internet 211.70.215.93 0 000d.879f.484a ARPA Vlan19
。。。。。。
(3).察看路由器日志
通过分析路由器日志,也可以分析出一个MAC对应多个IP的情况。
比如: Center6509_super720#sh logging
(4).抓包分析
可以通过Sniffer等抓包工具抓取来自交换机端口的数据包进行分析,以确定ARP欺骗病毒特征,并定位肇事主机。附1:2006年10月12日Sniffer日志
附2:2007年7月4日Sniffer日志
四、ARP防治策略
1、个人用户防治策略
(1).清空ARP缓存
点击“开始”按钮->选择“运行”->输入“arp -d”->点击“确定”按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。
(2).临时静态ARP缓存表
执行"arp -s 210.31.197.94 00-03-6b-7f-ed-02"
(3).总是静态ARP缓存表
可以建立一批处理文件,绑定IP和MAC,最好在机器和路由器中都绑定。
@echo off
arp -d
arp -s IP MAC
这样,每次开机后,计算机都会执行一次静态ARP地址绑定,从而可以达到有效防治ARP欺骗的目的。
(4).采用针对性较强的杀毒软件
比如,趋势、诺顿、卡巴斯基、瑞星等杀毒软件均可查杀此类病毒。但是要注意:查杀病毒只能避免电脑主机成为ARP攻击方,并不能抵御ARP攻击。
(5).采用防ARP欺骗软件
比如,AntiArpSniffer,这是一款反ARP欺骗攻击软件,目前有试用版本。
(6).目前已知以下程序带有此类ARP病毒(传奇杀手等),请不要使用
传奇2冰橙子1.44版、传奇2及时雨PK版、网吧传奇杀手、QQ第六感、P2P终结者、网络执法官等类似程序。
2、网络管理方法
(1).IP+MAC访问控制
使用可防御ARP攻击的三层交换机,绑定端口-MAC-IP,限制ARP流量,及时发现并自动阻断ARP攻击端口,合理划分VLAN,彻底阻止盗用IP、MAC地址,杜绝ARP的攻击。
(2).网络追踪和限制
附1:综合楼设计院ARP欺骗追踪之端口限制
―――Center6509_super720
Center6509_super720#sh arp | include 211.70.222.135
Internet 211.70.222.135 0 0016.9614.eae3 ARPA Vlan41
Center6509_super720#sh arp | include 0016.9614.eae3
Internet 211.70.222.139 0 0016.9614.eae3 ARPA Vlan41
Internet 211.70.222.138 0 0016.9614.eae3 ARPA Vlan41
Internet 211.70.222.136 0 0016.9614.eae3 ARPA Vlan41
Internet 211.70.222.142 0 0016.9614.eae3 ARPA Vlan41
Internet 211.70.222.141 0 0016.9614.eae3 ARPA Vlan41
Internet 211.70.222.140 0 0016.9614.eae3 ARPA Vlan41
Internet 211.70.222.135 0 0016.9614.eae3 ARPA Vlan41
Internet 211.70.222.134 0 0016.9614.eae3 ARPA Vlan41
Internet 211.70.222.144 0 0016.9614.eae3 ARPA Vlan41
Internet 211.70.222.151 10 0016.9614.eae3 ARPA Vlan41
―――综合楼211.70.208.204
zonghelou4>en
Password:
zonghelou4#sh mac-address-table address 0016.9614.eae3
Vlan MAC Address Type Interface
---------- -------------------- -------- -------------------
41 0016.9614.eae3 DYNAMIC Fa0/2
zonghelou4#conf t
Enter configuration commands, one per line. End with CNTL/Z.
zonghelou4(config)#interface fastEthernet 0/2
zonghelou4(config-if)#sh
―――ter6509_super720
Center6509_super720#sh arp | include 0016.9614.eae3
Center6509_super720#sh arp | include 0016.9614.eae3
Center6509_super720#sh arp | include 0016.9614.eae3
Center6509_super720#sh arp | include 0016.9614.eae3
Center6509_super720#sh arp | include 0016.9614.eae3
Center6509_super720#sh arp | include 0016.9614.eae3
附2:机电学院ARP欺骗追踪
发现ARP欺骗――
Center6509_super720#sh arp | include 202.119.203.146
Internet 202.119.203.146 7 000d.61e2.1d92 ARPA Vlan7
Center6509_super720#sh arp | i
Center6509_super720#sh arp | include 000d.61e2.1d92
Internet 202.119.203.166 7 000d.61e2.1d92 ARPA Vlan7
Internet 202.119.203.164 7 000d.61e2.1d92 ARPA Vlan7
Internet 202.119.203.163 7 000d.61e2.1d92 ARPA Vlan7
Internet 202.119.203.160 7 000d.61e2.1d92 ARPA Vlan7
Internet 202.119.203.161 7 000d.61e2.1d92 ARPA Vlan7
Internet 202.119.203.149 7 000d.61e2.1d92 ARPA Vlan7
Internet 202.119.203.146 7 000d.61e2.1d92 ARPA Vlan7
Internet 202.119.203.144 7 000d.61e2.1d92 ARPA Vlan7
Internet 202.119.203.145 7 000d.61e2.1d92 ARPA Vlan7
Internet 202.119.203.156 7 000d.61e2.1d92 ARPA Vlan7
Internet 202.119.203.157 7 000d.61e2.1d92 ARPA Vlan7
Internet 202.119.203.155 7 000d.61e2.1d92 ARPA Vlan7
Internet 202.119.203.134 7 000d.61e2.1d92 ARPA Vlan7
Internet 202.119.203.135 7 000d.61e2.1d92 ARPA Vlan7
Internet 202.119.203.132 7 000d.61e2.1d92 ARPA Vlan7
Internet 202.119.203.140 7 000d.61e2.1d92 ARPA Vlan7
Internet 202.119.203.141 0 000d.61e2.1d92 ARPA Vlan7
――――――――
定位来源――
Center6509_super720#sh mac-address-table address 000d.61e2.1d92
Legend: * - primary entry
age - seconds since last seen
n/a - not available
vlan mac address type learn age ports
------+----------------+--------+-----+----------+-----------------------
Supervisor:
* 7 000d.61e2.1d92 dynamic Yes 0 Fa3/9
实施限制――
Center6509_super720#sh ru interface fastEthernet 3/9
Building configuration...
Current configuration : 155 bytes
!
interface FastEthernet3/9
description "xindianlab"
no ip address
duplex full
switchport
switchport access vlan 8
switchport mode dynamic auto
end
mac-address-table static 000d.61e2.1d92 vlan 7 interface FastEthernet3/9
策略结果――
Center6509_super720#clear arp-cache
Center6509_super720#sh arp | include 000d.61e2.1d92
Center6509_super720#sh arp | include 000d.61e2.1d92
Center6509_super720#sh arp | include 000d.61e2.1d92
Center6509_super720#sh arp | include 000d.61e2.1d92
Center6509_super720#sh arp | include 000d.61e2.1d92
Center6509_super720#sh arp | include 000d.61e2.1d92
Center6509_super720#sh arp | include 202.119.203.146
Internet 202.119.203.146 0 00e0.4c7e.a615 ARPA Vlan7
Center6509_super720#sh arp | include 202.119.203.146
Internet 202.119.203.146 1 00e0.4c7e.a615 ARPA Vlan7
五、小结与建议
1、个人用户要提高网络安全意识
(1).不要轻易下载、使用盗版和存在安全隐患的软件;或浏览一些缺乏可信度的网站(网页);不要随便打开不明来历的电子邮件,尤其是邮件附件;不要随便共享文件和文件夹,以免个人计算机受到木马病毒的侵入。
(2).用户要及时下载和更新操作系统的补丁程序,安装正版的杀毒软件,增强个人计算机防御计算机病毒的能力。
2、网络管理人员要提高网络安全意识
(1).建立MAC地址数据库
各院系机房要有自己的MAC地址数据库,各院系网络管理人员要有自己的MAC地址数据库,最后学校网络管理部门要有统计上来的,比较全面的MAC地址库。并且做好新开户用户的MAC地址备份。
(2).及时监控提早预防
ARP本身不能造成多大的危害,一旦被结合利用,其危险性就不可估量了.由于ARP本身的问题.使得防范ARP的攻击很棘手,经常查看当前的网络状态,监控流量对一个网管员来说是个很好的习惯.
3、建立相应的规章制度
如果用户未采取任何安全措施或措施不得当,导致个人计算机在校园网上发送大量的病毒数据包,影响了校园网的安全,网络中心应采取有效措施令其离线杀毒或是修复系统。针对互联网络病毒动态,要及时以校园通知的形式,给用户以提醒。
矿大网络中心 边永涛
2007-7-6
