熱點推薦:
您现在的位置: 電腦知識網 >> 網絡技術 >> 正文

如何防止arp攻擊

2013-09-12 15:28:59  來源: 網絡技術 

ARP斷網攻擊故障
  症狀:局域網內電腦大面積不能上網,QQ出現掉線
  症狀解析:這是最常見的ARP病毒攻擊方式,如今許多病毒都會利用這種ARP攻擊方式影響局域網,例如機器狗病毒等,一旦局域網內有機器被感染後,部分電腦就會出現無法正常上網的情況,而且打開網頁時斷時續。
  局域網內傳輸文件斷斷續續無法完成,並出現錯誤;多台電腦的QQ、MSN等即時通訊工具連續掉線;使用ARP查詢的時候會發現不正常的MAC地址,或者是錯誤的MAC地址,還有就是一個MAC地址對應多個IP地址的情況也會出現。
  出現這種情況就是因為ARP病毒在進行欺騙。我們舉一個形象的例子:有5只螃蟹,其中2號螃蟹通過電話向企鵝訂閱了報紙,企鵝告訴負責交換運輸貨物的騾子,將貨物送到2號螃蟹家。
  企鵝給了負責運貨的騾子一份家庭地址列表,但是跟2號螃蟹住在一起的5號螃蟹由於感染了ARP病毒,於是它稀裡糊塗打電話給騾子說,2號螃蟹的家庭地址已經修改了,這樣原本應該送到2號螃蟹家的報紙被騾子送給了冒充螃蟹的松鼠,而2號螃蟹此時還在苦苦等待,看不到報紙。

ARP掛馬故障
  症狀:訪問各種網站殺毒軟件均提示有病毒
  症狀解析:出現這種狀況通常是局域網內有電腦被黑客入侵,黑客會通過惡意ARP欺騙工具發送一個假的ARP封包竄改正常的ARP緩存使得數據無法正確傳輸到目的地。Tw.WINgWIt.CoM
  由於一般的ARP緩存是根據經過的ARP封包不斷地變更本身的ARP列表,假設接收到的ARP封包所提供的數據是偽造的,就會讓數據無法傳輸到實際的目的地。黑客會利用病毒竊取封包數據或修改封包內容。
  病毒通過抓包修改HTTP封包後再送回原客戶端,造成原客戶端在不知情的狀況下連接惡意網頁下載病毒。例如,黑客入侵用戶A之後,修改ARP封包,將用戶B訪問的網頁數據進行修改,將自己的惡意代碼插入正常的網頁中,這樣用戶B即便訪問正常的網頁,也如同訪問掛馬網頁一樣(圖3)。極品時刻表服務器被掛馬就是利用的這種方式。

剖析案例掌握技巧
  現實中的ARP症狀不僅復雜,而且會根據局域網的結構出現各種問題,特別是在電腦過多的情況下,往往會大大增加排查難度。下面的這個案例就是我真實處理的。
  現場狀況:記得機器狗變種大規模爆發時,公司局域網各個網段頻繁出現問題,我經常在不同樓層間跑動,最嚴重的一次是3個網段的多個部門都出現斷網情況。我趕到現場後,發現故障電腦打開網頁速度緩慢,內部交換文件也時斷時續。
  我懷疑是ARP病毒在搞鬼了,調出命令提示符窗口,在窗口中輸入Ping命令,Ping局域網內另外一台已經開機的電腦的IP地址,但是發現無法Ping通,此時已經基本肯定是中了ARP病毒。為了保險起見,我又在命令提示符窗口中輸入命令“ARP –d”,這個命令的意思就是“告訴”電腦刪除ARP緩存。
  在運行完這個命令後,電腦可以打開網頁了,但是不一會網絡連接就出現了問題,打開浏覽器輸入網址後就開始莫名其妙地彈出大量廣告窗口。此時雖然不能夠斷定是機器狗病毒,但是我已經可以斷定局域網內有ARP攻擊了。但是由於局域網內電腦數量過於龐大,ARP攻擊源頭可能不止一個,如何查找到多個ARP攻擊源頭就成為了需要解決的難題。
  解決方法:由於局域網內電腦過多,如果采用傳統的手工定位,逐一對比MAC地址幾乎不太可能,因此我決定使用工具來協助解決問題。而且根據剛才的檢查狀況,局域網內部肯定有ARP病毒流竄,並造成了封包無法送到正確地址的問題。
  我使用了一個名為ARP Checker的免費ARP欺騙檢測工具,安裝好這個工具後,只需要選擇“始終檢測”一項,軟件就能夠針對指定網段內的所有IP地址發送Ping與Telnet的封包,多數電腦會無法響應而出現time out的現象,而有響應的電腦就有可能是中了ARP病毒的電腦。因為這種類型的病毒必須確保數據會傳送回受感染的電腦,而受感染電腦的ARP緩存通常會變成固定式,不會因為接收到假的ARP封包而修改ARP緩存。
  很快檢測結果出來了(圖4),其中一個網段內有三台電腦被定位,可能是ARP源頭。定位好源頭之後,我首先將毒源電腦網絡連接斷開,然後再用殺毒軟件逐一進行殺毒,將病毒清理干淨。

  預防方法:根據我的經驗,目前ARP病毒大多是通過網頁掛馬的方式感染用戶電腦,因此局域網內最好能夠進行IP地址綁定,使用工具設定電腦ARP緩存為固定模式,這樣病毒就無法修改ARP緩存,電腦就能夠將數據傳送至正確的地址了。
  如果電腦數量太過龐大無法進行逐一綁定,可以啟用網絡設備中的動態ARP檢查功能。它可以檢查ARP交換情況並拒絕假的ARP封包。以俠諾FVR420V路由器為例,首先打開浏覽器輸入路由器IP地址,進入登錄界面,接著輸入用戶名和密碼進入管理頁面,在管理頁面左邊的選項欄中點擊“防火牆配置”,然後選擇“防止ARP病毒攻擊”一項,再根據網絡具體情況輸入防止ARP攻擊每秒發送的幀即可。

 
From:http://tw.wingwit.com/Article/Network/201309/131.html
  • 上一篇文章:

  • 下一篇文章:
  • Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.