您现在的位置是:首页 > IT基础架构 > 网络与安全 >
像防SARS一样防御ARP病毒攻击
2008-10-07 18:38:00作者:华英雄来源:
摘要ARP攻击已经是很久的历史问题了,然而,现在它依然严重危胁着很多企业,解决ARP攻击的方法较多,但往往不能根治,于是,我们需要引入软硬相结合的方式来解决。此时,我们就以H3C的路由交换系统为平台,为大家讲解如何对ARP攻击进行立体式的防护。...
问诊:你是否中了ARP病毒攻击?
ARP病毒就像传染病,其在网络领域的危害程度不亚于SARS病毒。
ARP病毒与SARS病毒对比情况分析:
|
SARS病毒
|
ARP病毒
|
危害
|
人类死亡
|
网络失效
|
传染源
|
非典患者及隐形感染者、动物(例如:果子狸)
|
感染ARP病毒的计算机
|
传播途径
|
直接接触、空气中飞沫传播
|
局域网
|
易感对象
|
不分年龄、性别,人群对该病毒普遍易感
|
局域网内所有运行ARP协议的设备
|
疾病类型
|
传染病
|
网络传染病
|
你是否中了ARP病毒?
上网速度慢,或者网络内共享文件很慢
―――表现为利用网络抓包工具,抓到局域网中有大量ARP报文。
全网同样配置下,唯独某台电脑无法上网
―――表现为掉线后,重启电脑或者禁用网卡再启用就恢复正常,但一会又掉线
大面积同时掉线,或时通时断(即通常说的“卡”)
―――表现为某一片区域,某台网络设备下挂的所有PC出现上网不正常。
电脑挨个掉线,或时通时断(即通常说的“卡”)
―――表现为正在使用某一类应用程序的PC依次掉线。
总结:如果网络出现上述现象,多半网络就是中了ARP病毒。
病理解析:什么是ARP病毒攻击?
ARP病毒是什么呢?ARP全名叫Address Resolution Protocol,地址解析协议。网络设备之间是通过ARP协议查找到彼此的IP地址和MAC地址对应关系,从而实现局域网内设备间的正常通信。
ARP病毒攻击的核心也就是破坏网络设备的ARP表内容,使得设备无法查到IP对应的正确MAC地址,导致报文发送错误,网络通信瘫痪。通俗地理解,我们可把IP地址看成人名,MAC地址看成电话号码,那么ARP就是电话簿。如果电话簿上某人的电话号码错了,我们也就无法联系上他。
由于ARP病毒不同于其它病毒,它的攻击是基于基础网络协议的天然缺陷,所以ARP病毒攻击的防御不同于常见病毒,单靠传统杀毒软件和防火墙往往是头疼医头、脚疼医脚难以根除。而且,ARP病毒不仅攻击PC机,还可攻击路由器、核心交换机、接入交换机等各种网络设备,传播和危害范围很广。所以,仅靠单一设备、单一解决方案防御ARP病毒是不够的。
ARP病毒攻击都可能带来哪些危害?
一、 所有PC机无法和网关通信----仿冒网关攻击
现象:全网同样配置下,唯独某台电脑无法上网。重启PC机后恢复正常,但过一段时间网络又瞬间瘫痪。查看每台PC机的ARP表,发现网关的MAC地址错误。正如下图所示,该PC机的ARP表中网关10.165.16.1的MAC地址已被修改另外一台PC机的地址,显然该PC机无法再同网关通信了,无法上网了。
原因:攻击者伪造ARP报文,发送源IP地址为网关IP地址,源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机,使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。这样一来,主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。这样,如果某台PC机的ARP表被攻击者修改,它就无法正常上网了。
而且,攻击者还可能使用第三方PC机的MAC作为伪造MAC。这样即使在被攻击者PC机上查到了伪造MAC地址,也很难定位哪台PC是真正的攻击者。
“仿冒网关”攻击示意图
通俗地理解:老总和三个员工(张三、李四、王五),每个人的电话簿都记录了其他人的号码。王五这次没升经理,心里不平衡,修改所有人电话簿中老总的电话号码,张三、李四等都无法向老总汇报工作。甚至,王五把张三电话簿中老总的号码修改为李四的,让张三还误认为是李四干的。造成公司内疑神疑鬼,员工不合,极大地影响了工作氛围。
二、 所有PC机无法和网关通信----欺骗网关攻击
现象:网络中PC逐台掉线,甚至全网内PC都无法上网。查看路由器ARP表项,发现很多错误地址。重启路由器后恢复正常,但过一段时间PC又开始掉线,导致很多用户怀疑是路由器故障。正如下图所示,网关路由器的ARP表中各台 PC机的MAC地址已不正确,这些PC机无法再同网关通信,无法上网。
原因:攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给网关;使网关更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来,网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
通俗地理解:老总本来想带张三一起去国外考察,王五嫉妒张三,于是他修改了老总电话簿中张三的号码。老总联系不上张三,好机会就这样丢失了。甚至,王五修改了老总电话簿的全部号码,老总就一个员工也找不到了,公司业务一片混乱。
三、 窃听通信隐私----“中间人”攻击
现象:某台PC上网突然掉线,一会又恢复了,但恢复后一直上网很慢。查看该PC机的 ARP表,网关MAC地址已被修改,而且网关上该PC机的MAC也是伪造的。该PC机和网关之间的所有流量都中转到另外一台机子上了。同样,也会表现为局域网内PC机之间共享文件等正常通信非常慢。
原因: ARP “中间人”攻击,又称为ARP双向欺骗。如图1-4所示,如果有恶意攻击者(Host B)想探听Host A和Host C之间的通信,它可以分别给这两台主机发送伪造的ARP应答报文,使Host A和Host C用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后,Host A 和Host C之间看似“直接”的通信,实际上都是通过黑客所在的主机间接进行的,即Host B担当了“中间人”的角色,可以对信息进行了窃取和篡改。
ARP“中间人”攻击示意图
通俗地理解:王五想偷听张三和李四间的悄悄话,于是修改了张三和李四电话簿中的号码,他们之间的通话都先中转到王五这里了。
四、 常有人掉线,网络还很慢----ARP报文泛洪攻击
现象:经常有人反馈上不了网,或网速很慢,查看ARP表项也都正确,但在网络中抓报文分析,发现大量ARP请求报文。(正常情况时,网络中ARP报文所占比例是很小的)
原因:恶意用户利用工具构造大量ARP报文发往交换机、路由器或某台PC机的某个端口,导致CPU忙于处理ARP协议,负担过重,造成设备其他功能不正常甚至瘫痪。
通俗地理解:李四为保障电话薄正确,会定时检查和刷新电话簿,王五就高频率地发送信息修改李四的电话簿,导致李四也只能不断刷新电话簿,而无暇再去推进其他工作了。
以上是ARP病毒的四种基本攻击类型,实际中ARP病毒还可变种为更多的攻击方式。例如,有的ARP病毒就专门在网吧中盗窃别人的QQ、网络游戏账号,使用的就是改进的仿冒网关攻击。但万变不离其宗,只要能够防御四种基本攻击方式,ARP病毒就无计可施了。
(本文不涉密)
责任编辑:
下一篇:导致网络拥塞鲜为人知的三个原因