解决ARP攻击造成的局域网断网问
?
网络通讯与安全.?本栏目赍任编辑:冯蕾
解决ARP攻击造成的局域网断网问题
李勇
(抚顺广电有线网络传输中心,辽宁抚顺113006)
摘要:本文介绍了ARP病毒的特点及病毒发作时对局域网的影响,重
点介绍了如何查找ARP病毒的根源及清除方法,最后介绍了
日常对付ARP病毒的防护方法
关键词:ARP攻击:局域网:互联网:MAC地址:IP地址
中图分类号:TP393文献标识码:B文章编
号:1009—3044{2007)17—31238—01
.
SolvestheLoc~iIAreaNetworkwhichtheARPA~ackCreatestoBreakthenetQuestion
LIYong
fFushunBroadElectricityCableNet,vorkTrammissionCenter,Fushun1130
06,China)
Abstract:ThisarticleintroducedtheARPvirusScharacteristicandthevirusm
anifestsuddenlywhentOthelocalareanetworktheinfluence,
introducedwit}1emphasishowsearchestheARPvirustheoriginandtheeGm
inationmethod.finallyintroduceddavycopeswitht}1eARPvirus—
theprotectionmethod.
KeywordS:AR_Pattack;Localareanetwork;Intemet;/VIACaddress;IPadd
ress
最近.抚顺广播电视局大楼内的局域网总是不稳定.连连出
现断网的现象.给同事们网络办公带来很多不便.由于整个大楼
通过局域网共享intemetr的方式连接互联网.起初我们还以为是
楼内Internet出口的故障呢?可是掉线情况越来越频繁,经过我们
认真的走访发现楼内有的电脑正常.没有发生过掉线现象这下
我们认定问题出现在单位内部.并断定是病毒在捣鬼!根据局域
网内计算机频繁掉线的现象.我们认为单位内的某台电脑可能中
了ARP病毒(ARP是”AddressResolutionProtoeol”“地址解析
”
的缩写).这种病毒有些杀毒软件很难根除,病毒发作时其症状表
现为计算机网络连接正常.却无法打开网页:或由于ARP欺骗的
木马程序(病毒)发作时发出大量的数据包.导致局域网内用户上
网不稳定.极大地影响了用户的正常使用,给整个局域网的安全
带来严重的隐患.于是我们便在整个网络内展开了ARP病毒的
捕杀过程.一
ARP病毒发作时候的具体特征:
当局域网内某台主机运行ARP欺骗的木马程序时.会欺骗局
域网内所有主机和交换机.让所有上网的流量必须经过病毒主
机其他用户原来直接通过交换机上网现在转由通过病毒主机上
网.切换的时候用户会断一次线由于ARP欺骗的木马程序发作
的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处
理能力的限制.用户会感觉上网速度越来越慢当ARP欺骗的木
马程序停止运行时.用户会恢复从交换机上网(此时交换机MAC
地址表正常).切换过程中用户会再断一次线.该病毒发作时,仅
影响同网段内机器的正常上网
1找出病毒的根源
首先我们通过局办公室的协助打开局域网内所有的电脑,随
后下载了一款名为”AntiAmSnir”的工具,这是一款ARP防火
墙软件.该软件通过在系统内核层拦截虚假ARP数据包来获取中
毒电脑的IP地址和MAC地址此外.该软件能有效拦截ARP病
毒的攻击.保障该电脑数据流向正确.
使用”AntiArpSnir”查找感染毒电脑时.启动该程序.随后
我们在右侧的”网关地址”项中输入该局域网内的网关IP.随后单
击”枚取MAC”这时该程序会自动获取到网关电脑网卡的MAC地
址(见图1).MAC获取后单击”自动保护”按钮,这样”AntiArp
Snir”便开始监视通过该网关上网的所有电脑了
片刻功夫.看到系统的任务栏中的”AntiArpSniffer”图标上
弹出一个”ARP欺骗数据包”提示信息(见图2).这就说明该软件
已经侦测到ARP病毒于是我打开”AntiArpSniffer”程序的主窗
口,在程序的”欺骗数据详细
”列表中看到一条信息(见图3),
这就是”AntiArpSniffer”程序捕获的ARP病毒信息.
攀黪鬣鬻嚣鬻螺搿笏箱侧鞠噬鬻搬?臻删嘲蚓翊
耐.器嚣…磁…—一???
l-_
L甥i
?毯鍪
谗蠹翘燕
洹
—-.I
图1
图2
}嚣嚣煞:2霉?::一,?l:
簟一谴
}…;
;
.洹霉
爱攀;童
„蓬匾.
1.?1I-莲
图3
其中”网关IP地址”和”网关MAC地址”两项中是网关电脑
的的真实地址.后面的欺骗机MAC地址就是中ARP病毒的MAC
地址ARP病毒将该局域网的网关指向了这个IP地址.导致其他
电脑无法上网
2获取欺骗机IP
“AntiArpSniffer”虽然能拦截ARP病毒.但是不能有效的根
(下转第1276页)
收稿日期:2007—08—14?
作者简介:李勇(1971一),男,助理工程师,主要从事有线宽带的安装和维护工作.
?
网络通讯与安全本栏目责任编辑:冯蕾
不同,说明文件已经破坏,需要从备份文件中恢复.
3编程实现消息认证过程
首先,消息摘要这一步选用的是SHA一1算法.因为它产生一
个160位的摘要,因而相对于SHA,MD5等算法它更为安全.核心
程序如下:
voidSHA0
{inti;
SHA1一
CTXcontext;
unsignedchardigest[20/,buffer[163841;//filename[121;
charfilename[12];
nLEfile;
FILEfilel”,//new
prinff(“(一)发送方发送报文:”);
prinff(“\Il1.请输入被摘要文件名:”1.
scanf(“%s”.filename);
SHA1Init(&context);
while(!feof(file))fnote:whatifferror(file)/
i:fread(buffer,1,16384,file);
SHA1Update(&context,buffer,i);}
SHAIFinaIfdigest,&context);
fclose(file);
if(!(filel=fopen(“digest.txtttttwb”))){
fputs(“Unabletoopenfile.”,stderr);
exit(一1);}
prinff(Ifj商要成功显示摘要:%s”,digest);
fclose(file);?
fclose(file1);}
其次,用国际数字签名
的RSA数字签名算法对消息摘要
进行签名,用形成签名文件,这一步在程序中是调用的RSA的私
钥,即Enerypt0,具体程序由于篇幅略.然后用一次性会话密钥对
报文及其签名文件进行加密再用接受方的公钥对一次性会话密
钥进行加密,具体实现为BEnerypt0.最后将密文和加密后的会话
密钥一起发送给接受方
4结束语
不要追求绝对的安全,不同程度的安全.相应的要求付出不
同的代价,在成本和风险之间做出一个合理的折中选择.就好比
你的存折里只有存款200元.而你如果用超过200元的代价来保
护它是不值得的.因此本文采用的消息认证
对于现实生活中
的应用具有非常重要的指导意义
参考文献:
f1]BruceSchneier,应用密码学一协议,算法与C源程序[MI.
机械工业出版社.2000.
f2]t育民,刘建伟.通信网的安全一理论与技术[M1.西安电
子科技大学出版杜.1999.
f31冯登国.裴定一.密码学导弓l『M1.科学出版杜,1999.
『41冯登国.计算机通信网络安全fM1.清华大学出版社,2001.
f51袁津生.计算机网络安全基础fM1.人民邮电出版社.2000.
【61李海泉.计算机网络安全与加密技术fM1.科学出版社,2001.
(上接第1238页)
除病毒要想清除病毒小武决定还要找到感染ARP病毒的电脑
才行.通过”AntiArpSni雎r”程序我们已经获取了欺骗机的MAC.
这样只要找到该MAC对应的IP地址即可
获取IP地址.我俯下载了网管工具”网络执法官”.运行该程
序后.在”指定监控范围”中输人单位局域网IP地址段.随后单击
“添加/修改”按钮.这样刚刚添加的IP地址段将被添加到下面的
IP列表中.如果局域网内有多段IP.还可以进行多次添加.
添加后.单击”确定”按钮.进人到程序主界面.”网络执法官”
开始对局域网内的所有电脑进行扫描.随后显示出所有在线电脑
信息,其中包括网卡MAC地址,内网IP地址,用户名,上线时间
以及下线时间等在这样我就可以非常方便地通过MAC查找对
应的IP地址了(见图4).
,睢蛰疆朋融基岫—b
堇璺璺运行后.自动扫描电脑中的
ARP病毒.功夫不大就将该电舾上的ARP病毒清除了
4常用的防护方法
12.76电精知识与技术
终于将ARP病毒根除了.为了更好的防止ARP病毒的攻击.
我们做了如下的防护方法:
(1)IP地址和MAC地址的静态绑定.在网内把主机和网关都
做IP和MAC绑定
ARP欺骗是通过ARP的动态实时规则来欺骗内网机器.所
以我们把ARP全部设置为静态可以解决对内网PC的欺骗?.同时
在网关也要进行IP地址和MAC地址的静态绑定.这样的双向绑
定才是比较保险的方法如下:
对每台主机进行IP和MAC地址静态绑定
通过arp—S命令(arp—SIPMAC地址)实现.
例如:”arp—S192.168.10.1AA—AA—AA—AA—AA—AA”.
如果设置成功在PC上面通过执行arp-a可以看到相关的提示:
IntemetAddressPhysicalAddressType
192.168.1.1AA—AA—AA—AA—AA—AAstatic(静态1
一
般不绑定.在动态的情况下:
IntemetAddressPhysicalAddressType
192.168.1.1AA—AA—AA—AA—AA—AAdynamic(动态1
这种静态绑定,在电脑每次重起后.都必须重新再绑定,但可
以做一个批处理文件.放在启动文件夹下.随系统启动运行
(2)禁用系统的自动播放功能,防止病毒从U盘,移动硬盘,
MP3等移动存储设备进人到计算机.禁用Windows系统的自动
播放功能的方法:在运行中输人gpedit.msc后回车.打开组策略
编辑器.依次点击:计算机配置一>管理模板一>系统一>关闭自动播
放一>已启用一>所有驱动器一>确定
(3)部署卡巴斯基网络版的杀毒软件.定期升级病毒库,定期
进行全网杀毒
通过以上方法.局域网内又恢复了正常?
参考文献:
fl1秦志光,张凤荔.计算机病毒原理与防范fM1.北京:人民邮电
出版社.2007.
【21段海新,杨波,壬德强.计算机病毒防范艺术fM1.北京:机械
工业出版社.2007.
『3]RogerA.Grimes,张志斌,贾旺盛.恶意传播代码——Win.
dows病毒防护『M1.北京:机械工业出版社,2004.