【摘要】本文首先介绍了arp协议的概念和工作原理,接着分析了当前arp病毒的主要类型和特点,最后提出了一些具体的防范措施,来应对arp的欺骗和攻击。本文笔者结合自己的一些网络管理经验,对arp病毒进行了分析和总结,并提出了相应的防范措施。
　　【关键词】apr 病毒攻击 防范措施
　　
　　一、arp协议及工作原理
　　
　　1. arp协议简介
　　arp协议是address resolution protocol地址解析协议的缩写,在局域网中以帧的方式进行传输数据,并且根据帧中目标主机的mac地址来进行寻址。在以太网中,一台主机要和另一台主机进行直接通信,就必须要知道目的主机的mac地址,这个目的mac地址就是通过arp协议获取的,地址解析就是主机在发送帧前将目的主机的ip地址转换成目的主机mac地址的过程,这样才能保证局域网内各主机间可靠快速的通信。
　　2.arp协议的工作原理
　　a.在同一个网段内
　　假设主机a和b在同一个网段,主机a要向主机b发送信息。具体的地址解析过程如下。
　　(1)主机a首先查看自己的arp缓存表,确定其中是否包含有主机b对应的arp表项。如果找到了主机b对应的mac地址,则主机a直接利用arp表中的mac地址,对ip数据包进行帧封装,并将数据包发送给主机b。
　　(2)如果主机a在arp缓存表中找不到对应的mac地址,则将缓存该数据报文,然后以广播方式发送一个arp请求报文。WWW.11665.cOm由于arp请求报文以广播方式发送,该网段上的所有主机都可以接收到该请求,但只有被请求的主机b会对该请求进行处理。
　　(3)主机b比较自己的ip地址和arp请求报文中的目标ip地址,如果相同则将arp请求报文中的发送端主机a的ip地址和mac地址存入自己的arp表中。之后以单播方式发送arp响应报文给主机a。
　　(4)主机a收到arp响应报文后,将主机b的mac地址加入到自己的arp缓存表中以用于后续报文的转发,同时将ip数据包进行封装后发送出去。
　　b.在不同网段间
　　当主机a和主机b不在同一网段时,主机a就会先向网关发出arp请求报文。当主机a从收到的响应报文中获得网关的mac地址后,将报文封装并发给网关。如果网关没有主机b的arp表项,网关会广播arp请求,目标ip地址为主机b的ip地址,当网关从收到的响应报文中获得主机b的mac地址后,就可以将报文发给主机b;如果网关已经有主机b的arp表项,网关直接把报文发给主机b。
　　
　　二、arp的主要欺骗及攻击方式
　　
　　1.arp欺骗
　　网络欺骗是黑客常用的攻击手段之一,网络arp欺骗分为两种,一种是对路由器arp表的欺骗,另一种是对内网主机的网关欺骗。前一种欺骗的原理是攻击者通过截获分析网关数据,并通知路由器一系列错误的内网ip地址和mac地址的映射,按照一定的频率不断进行使真实的地址信息映射无法通过更新保存在路由器中,结果路由器转发数据到错误的mac地址的主机,造成正常主机无法收到信息;后一种arp欺骗的原理是伪造网关,它的原理是把真实网关的的ip地址映射到错误的mac地址,这样主机在向网关发送数据时,不能够到达真正的网关,如果假网关不能上网,那么真实的主机通过假网关也不能上网。
　　2.中间人攻击
　　按照arp协议的设计,一个主机即使收到的arp应答并非自身请求得到的,也会将其ip地址和mac地址的对应关系添加到自身的arp映射表中。这样可以减少网络上过多的arp数据通信,但也为arp欺骗创造了条件。如图1所示,pc-x为x主机,mac-x为x主机的物理地址,ip-x为x主机的ip地址。pc-a和pc-c通过交换机s进行通信。此时,如果有攻击者(pc-b)想探听pc-a和pc-c之间的通信,它可以分别给这两台主机发送伪造的arp应答报文,使pc-a中的arp缓存表中ip-c和mac-b所对应,pc-c中的arp缓存表中ip-a和mac-b所对应。此后,pc-a和pc-c之间看似直接的通信,实际上都是通过攻击者所在的主机间接进行的,如图1虚箭头所示,即pc-b担当了中间人的角色,可以对信息进行窃取和篡改。这种攻击方式就称作中间人攻击。
　　
　　3.arp泛洪攻击
　　攻击主机持续把伪造的ip地址和mac地址的映射对发给受害主机,对于局域网内的所有主机和网关进行广播,抢占网络带宽并干扰正常通信。导致网络中的主机和交换机不停地来更新自己的ip地址和mac地址的映射表,浪费网络带宽和主机的cpu,使主机间都不能正常通信。
　　除了中间人攻击、arp泛洪攻击外,还有dos攻击等。

　　三、arp攻击的主要防范措施
　　
　　1. ip地址和mac地址的静态绑定
　　(1)在用户端进行绑定
　　arp欺骗是通过arp的动态刷新,并不进行验证的漏洞,来欺骗内网主机的,所以我们把arp表全部设置为静态可以解决对内网的欺骗,也就是在用户端实施ip和mac地址绑定,可以再用户主机上建立一个批处理文件,此文件内容是绑定内网主机ip地址和mac地址,并包括网关主机的ip地址和mac地址的绑定,并把此批处理文件放到系统的启动目录下,使系统每次重启后,自动运行此文件,自动生成内网主机ip地址到mac地址的映射表。这种方法使用于小型的网络中。
　　(2)在交换机上绑定
　　在核心交换机上绑定用户主机ip地址和网卡的mac地址,同时在边缘交换机上将用户计算机网卡的ip地址和交换机端口绑定的双重安全绑定方式。这样可以极大程度上避免非法用户使用arp欺骗或盗用合法用户的ip地址进行流量的盗取,可以防止非法用户随意接入网络,网络用户如果擅自改动本机网卡的ip或mac地址,该机器的网络访问将被拒绝,从而降低了arp攻击的概率。
　　2.采用vlan技术隔离端口
　　局域网的网络管理员可根据需要,将本单位网络规划出若干个vlan,当发现有非法用户在恶意利用arp欺骗攻击网络,或因合法用户受病毒arp病毒感染而影响网络时,网络管理员可先找到该用户所在的交换机端口,然后将该端口划一个单独的vlan,将该用户与其它用户进行隔离,以避免对其它用户的影响,当然也可以利用将交换机的该端口关掉来屏蔽该用户对网络造成影响。
　　3.采取802.1x认证
　　802.1x认证可以将使未通过认证的主机隔离,当发现某台主机中毒时,将禁止其认证从而达到将中毒主机隔离网络的目的。
　　例如,在本人所在学校就是需要上网的用户要提前到网络管理中心登记,也就是在网关中心申请一个用户名,并创建密码,并且把自己的mac地址和用户名进行绑定,如果自己的换网卡后,还需要去网络管理中心进行重新绑定。用户上网前首先运行一个客户端软件,输入用户名密码后,通过认证服务器认证成功后才能上网。
　　4.防火墙和杀毒软件
　　可以安装arp防火墙或者开启局域网arp防护,比如360安全卫士等arp病毒专杀工具,并且实时下载安装系统漏洞补丁,关闭不必要的服务等来减少病毒的攻击。