解决ARP攻击造成的局域网断网问题

解决ARP攻击造成的局域网断网问 ? 网络通讯与安全.?本栏目赍任编辑:冯蕾 解决ARP攻击造成的局域网断网问题 李勇 (抚顺广电有线网络传输中心,辽宁抚顺113006) 摘要:本文介绍了ARP病毒的特点及病毒发作时对局域网的影响,重 点介绍了如何查找ARP病毒的根源及清除方法,最后介绍了 日常对付ARP病毒的防护方法 关键词:ARP攻击:局域网:互联网:MAC地址:IP地址 中图分类号:TP393文献标识码:B文章编 号:1009—3044{2007)17—31238—01 . SolvestheLoc~iIAreaNetworkwhichtheARPA~ackCreatestoBreakthenetQuestion LIYong fFushunBroadElectricityCableNet,vorkTrammissionCenter,Fushun1130 06,China) Abstract:ThisarticleintroducedtheARPvirusScharacteristicandthevirusm anifestsuddenlywhentOthelocalareanetworktheinfluence, introducedwit}1emphasishowsearchestheARPvirustheoriginandtheeGm inationmethod.finallyintroduceddavycopeswitht}1eARPvirus— theprotectionmethod. KeywordS:AR_Pattack;Localareanetwork;Intemet;/VIACaddress;IPadd ress 最近.抚顺广播电视局大楼内的局域网总是不稳定.连连出 现断网的现象.给同事们网络办公带来很多不便.由于整个大楼 通过局域网共享intemetr的方式连接互联网.起初我们还以为是 楼内Internet出口的故障呢?可是掉线情况越来越频繁,经过我们 认真的走访发现楼内有的电脑正常.没有发生过掉线现象这下 我们认定问题出现在单位内部.并断定是病毒在捣鬼!根据局域 网内计算机频繁掉线的现象.我们认为单位内的某台电脑可能中 了ARP病毒(ARP是”AddressResolutionProtoeol”“地址解析” 的缩写).这种病毒有些杀毒软件很难根除,病毒发作时其症状表 现为计算机网络连接正常.却无法打开网页:或由于ARP欺骗的 木马程序(病毒)发作时发出大量的数据包.导致局域网内用户上 网不稳定.极大地影响了用户的正常使用,给整个局域网的安全 带来严重的隐患.于是我们便在整个网络内展开了ARP病毒的 捕杀过程.一 ARP病毒发作时候的具体特征: 当局域网内某台主机运行ARP欺骗的木马程序时.会欺骗局 域网内所有主机和交换机.让所有上网的流量必须经过病毒主 机其他用户原来直接通过交换机上网现在转由通过病毒主机上 网.切换的时候用户会断一次线由于ARP欺骗的木马程序发作 的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处 理能力的限制.用户会感觉上网速度越来越慢当ARP欺骗的木 马程序停止运行时.用户会恢复从交换机上网(此时交换机MAC 地址表正常).切换过程中用户会再断一次线.该病毒发作时,仅 影响同网段内机器的正常上网 1找出病毒的根源 首先我们通过局办公室的协助打开局域网内所有的电脑,随 后下载了一款名为”AntiAmSnir”的工具,这是一款ARP防火 墙软件.该软件通过在系统内核层拦截虚假ARP数据包来获取中 毒电脑的IP地址和MAC地址此外.该软件能有效拦截ARP病 毒的攻击.保障该电脑数据流向正确. 使用”AntiArpSnir”查找感染毒电脑时.启动该程序.随后 我们在右侧的”网关地址”项中输入该局域网内的网关IP.随后单 击”枚取MAC”这时该程序会自动获取到网关电脑网卡的MAC地 址(见图1).MAC获取后单击”自动保护”按钮,这样”AntiArp Snir”便开始监视通过该网关上网的所有电脑了 片刻功夫.看到系统的任务栏中的”AntiArpSniffer”图标上 弹出一个”ARP欺骗数据包”提示信息(见图2).这就说明该软件 已经侦测到ARP病毒于是我打开”AntiArpSniffer”程序的主窗 口,在程序的”欺骗数据详细”列表中看到一条信息(见图3), 这就是”AntiArpSniffer”程序捕获的ARP病毒信息. 攀黪鬣鬻嚣鬻螺搿笏箱侧鞠噬鬻搬?臻删嘲蚓翊 耐.器嚣…磁…—一??? l-_ L甥i ?毯鍪 谗蠹翘燕 洹 —-.I 图1 图2 }嚣嚣煞:2霉?::一,?l: 簟一谴 }…; ; .洹霉 爱攀;童 „蓬匾. 1.?1I-莲 图3 其中”网关IP地址”和”网关MAC地址”两项中是网关电脑 的的真实地址.后面的欺骗机MAC地址就是中ARP病毒的MAC 地址ARP病毒将该局域网的网关指向了这个IP地址.导致其他 电脑无法上网 2获取欺骗机IP “AntiArpSniffer”虽然能拦截ARP病毒.但是不能有效的根 (下转第1276页) 收稿日期:2007—08—14? 作者简介:李勇(1971一),男,助理工程师,主要从事有线宽带的安装和维护工作. ? 网络通讯与安全本栏目责任编辑:冯蕾 不同,说明文件已经破坏,需要从备份文件中恢复. 3编程实现消息认证过程 首先,消息摘要这一步选用的是SHA一1算法.因为它产生一 个160位的摘要,因而相对于SHA,MD5等算法它更为安全.核心 程序如下: voidSHA0 {inti; SHA1一 CTXcontext; unsignedchardigest[20/,buffer[163841;//filename[121; charfilename[12]; nLEfile; FILEfilel”,//new prinff(“(一)发送方发送报文:”); prinff(“\Il1.请输入被摘要文件名:”1. scanf(“%s”.filename); SHA1Init(&context); while(!feof(file))fnote:whatifferror(file)/ i:fread(buffer,1,16384,file); SHA1Update(&context,buffer,i);} SHAIFinaIfdigest,&context); fclose(file); if(!(filel=fopen(“digest.txtttttwb”))){ fputs(“Unabletoopenfile.”,stderr); exit(一1);} prinff(Ifj商要成功显示摘要:%s”,digest); fclose(file);? fclose(file1);} 其次,用国际数字签名的RSA数字签名算法对消息摘要 进行签名,用形成签名文件,这一步在程序中是调用的RSA的私 钥,即Enerypt0,具体程序由于篇幅略.然后用一次性会话密钥对 报文及其签名文件进行加密再用接受方的公钥对一次性会话密 钥进行加密,具体实现为BEnerypt0.最后将密文和加密后的会话 密钥一起发送给接受方 4结束语 不要追求绝对的安全,不同程度的安全.相应的要求付出不 同的代价,在成本和风险之间做出一个合理的折中选择.就好比 你的存折里只有存款200元.而你如果用超过200元的代价来保 护它是不值得的.因此本文采用的消息认证对于现实生活中 的应用具有非常重要的指导意义 参考文献: f1]BruceSchneier,应用密码学一协议,算法与C源程序[MI. 机械工业出版社.2000. f2]t育民,刘建伟.通信网的安全一理论与技术[M1.西安电 子科技大学出版杜.1999. f31冯登国.裴定一.密码学导弓l『M1.科学出版杜,1999. 『41冯登国.计算机通信网络安全fM1.清华大学出版社,2001. f51袁津生.计算机网络安全基础fM1.人民邮电出版社.2000. 【61李海泉.计算机网络安全与加密技术fM1.科学出版社,2001. (上接第1238页) 除病毒要想清除病毒小武决定还要找到感染ARP病毒的电脑 才行.通过”AntiArpSni雎r”程序我们已经获取了欺骗机的MAC. 这样只要找到该MAC对应的IP地址即可 获取IP地址.我俯下载了网管工具”网络执法官”.运行该程 序后.在”指定监控范围”中输人单位局域网IP地址段.随后单击 “添加/修改”按钮.这样刚刚添加的IP地址段将被添加到下面的 IP列表中.如果局域网内有多段IP.还可以进行多次添加. 添加后.单击”确定”按钮.进人到程序主界面.”网络执法官” 开始对局域网内的所有电脑进行扫描.随后显示出所有在线电脑 信息,其中包括网卡MAC地址,内网IP地址,用户名,上线时间 以及下线时间等在这样我就可以非常方便地通过MAC查找对 应的IP地址了(见图4). ,睢蛰疆朋融基岫—b 堇璺璺运行后.自动扫描电脑中的 ARP病毒.功夫不大就将该电舾上的ARP病毒清除了 4常用的防护方法 12.76电精知识与技术 终于将ARP病毒根除了.为了更好的防止ARP病毒的攻击. 我们做了如下的防护方法: (1)IP地址和MAC地址的静态绑定.在网内把主机和网关都 做IP和MAC绑定 ARP欺骗是通过ARP的动态实时规则来欺骗内网机器.所 以我们把ARP全部设置为静态可以解决对内网PC的欺骗?.同时 在网关也要进行IP地址和MAC地址的静态绑定.这样的双向绑 定才是比较保险的方法如下: 对每台主机进行IP和MAC地址静态绑定 通过arp—S命令(arp—SIPMAC地址)实现. 例如:”arp—S192.168.10.1AA—AA—AA—AA—AA—AA”. 如果设置成功在PC上面通过执行arp-a可以看到相关的提示: IntemetAddressPhysicalAddressType 192.168.1.1AA—AA—AA—AA—AA—AAstatic(静态1 一 般不绑定.在动态的情况下: IntemetAddressPhysicalAddressType 192.168.1.1AA—AA—AA—AA—AA—AAdynamic(动态1 这种静态绑定,在电脑每次重起后.都必须重新再绑定,但可 以做一个批处理文件.放在启动文件夹下.随系统启动运行 (2)禁用系统的自动播放功能,防止病毒从U盘,移动硬盘, MP3等移动存储设备进人到计算机.禁用Windows系统的自动 播放功能的方法:在运行中输人gpedit.msc后回车.打开组策略 编辑器.依次点击:计算机配置一>管理模板一>系统一>关闭自动播 放一>已启用一>所有驱动器一>确定 (3)部署卡巴斯基网络版的杀毒软件.定期升级病毒库,定期 进行全网杀毒 通过以上方法.局域网内又恢复了正常? 参考文献: fl1秦志光,张凤荔.计算机病毒原理与防范fM1.北京:人民邮电 出版社.2007. 【21段海新,杨波,壬德强.计算机病毒防范艺术fM1.北京:机械 工业出版社.2007. 『3]RogerA.Grimes,张志斌,贾旺盛.恶意传播代码——Win. dows病毒防护『M1.北京:机械工业出版社,2004.