相信很多人都曾經到網吧上網沖浪。不過在使用過程中是否出現過別人可以正常上網而自己卻無法訪問任何頁面和網絡信息的情況呢?雖然造成這種現象的情況有很多,但是目前最常見的就是ARP欺騙了,很多黑客工具甚至是病毒都是通過ARP欺騙來實現對主機進行攻擊和阻止本機訪問任何網絡信息的目的,那么什么ARP病毒欺騙,它的原理和危害是什么呢?我們的IR6200+又是怎樣怎樣針對ARP病毒進行防治的呢?下面我就做一個比較詳細的闡述。
提到ARP病毒就不能說一下ARP協議,ARP協議是“Address Resolution Protocol”(地址解析協議)的縮寫。在局域網中,網絡中實際傳輸的是“幀”,幀里面是有目標主機的MAC地址的。在以太網中,一個主機要和另一個主機進行直接通信,必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢?它就是通過地址解析協議獲得的。所謂“地址解析”就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP地址,查詢目標設備的MAC地址,以保證通信的順利進行。所以說從某種意義上講ARP協議是工作在更低于IP協議的協議層。這也是為什么ARP欺騙更能夠讓人在神不知鬼不覺的情況下出現網絡故障,它的危害更加隱蔽。
接下來闡述下ARP欺騙的原理。首先可以肯定一點的就是發送ARP欺騙包是通過ARP病毒程序自動發送的,正常的TCP/IP網絡是不會有這樣的錯誤包發送的,而人工發送又比較麻煩。也就是說當ARP病毒程序沒有運行的話,網絡上通信應該是一切正常的,保留在各個連接網絡計算機上的ARP緩存表也應該是正確的,只有病毒程序啟動開始發送錯誤ARP信息以及ARP欺騙包時才會讓某些計算機訪問網絡出現問題。
第一步:假設這樣一個網絡,一個Hub或交換機連接了3臺機器,依次是計算機A,B,C。
A的地址為:IP:192.168.1.1 MAC: AA-AA-AA-AA-AA-AA B的地址為:IP:192.168.1.2 MAC: BB-BB-BB-BB-BB-BB C的地址為:IP:192.168.1.3 MAC: CC-CC-CC-CC-CC-CC
第二步:正常情況下在A計算機上運行ARP -A查詢ARP緩存表應該出現如下信息。
Interface: 192.168.1.1 on Interface 0x1000003 Internet Address Physical Address Type 192.168.1.3 CC-CC-CC-CC-CC-CC dynamic
第三步:在計算機B上運行ARP欺騙程序,來發送ARP欺騙包。
B向A發送一個自己偽造的ARP應答,而這個應答中的數據為發送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本來應該是CC-CC-CC-CC-CC-CC,這里被偽造了)。當A接收到B偽造的ARP應答,就會更新本地的ARP緩存(A可不知道被偽造了)。而且A不知道其實是從B發送過來的,A這里只有192.168.10.3(C的IP地址)和無效的D的mac地址。
第四步:欺騙完畢我們在A計算機上運行ARP -A來查詢ARP緩存信息。你會發現原來正確的信息現在已經出現了錯誤。
Interface: 192.168.1.1 on Interface 0x1000003 Internet Address Physical Address Type 192.168.1.3 DD-DD-DD-DD-DD-DD dynamic
從上面的介紹我們可以清楚的明白原來網絡中傳輸數據包最后都是要根據MAC地址信息的,也就是說雖然我們日常通訊都是通過IP地址,但是最后還是需要通過ARP協議進行地址轉換,將IP地址變為MAC地址。當ARP欺騙包針對網關時,問題會變的更加嚴重,當局域網中一臺機器,反復向其他機器,特別是向網關,發送這樣無效假冒的ARP應答信息包時,嚴重的網絡堵塞就會開始。由于網關MAC地址錯誤,所以從網絡中計算機發來的數據無法正常發到網關,自然無法正常上網。這就造成了無法訪問外網的問題,另外由于很多時候網關還控制著我們的局域網LAN上網,所以這時我們的LAN訪問也就出現問題了,這就造成了整個網絡的掉線。
在對ARP病毒的欺騙原理了解之后,如何防止ARP病毒危害就顯得至關重要了。我們的新版IR6200+在對ARP病毒的防治上針對老版本軟件的一些不足做了相當大的修改,無論從病毒的防止效果還是實際的操作方法上都有了很大的提高,下面我就把新版IR6200+的防ARP策略及操作做一下簡單介紹:
1、在路由器上激活防止ARP病毒攻擊功能:進入路由器的配置界面,啟用防火墻后,選中ARP攻擊選項中的兩項,然后點應用。在啟用之后對于一些常見的由于ARP欺騙導致的拒絕服務的攻擊就能起到防止作用,此外在啟用之后路由器會定時向內網發送正確的ARP包,這樣可以對內網一些受到ARP欺騙而被更改的ARP列表進行更正,避免了由于錯誤的信息而導致的掉線。
2、在路由器端進行靜態IP/MAC綁定,我們新版的IR6200+針對原先老版本軟件逐條添加可能導致漏添而使部分電腦無法上網現象,從根本上改變了路由器端綁定用戶IP/MAC地址的方法,用戶只需要將要綁定機器的IP/MAC地址添加到一個TXT文檔內,然后直接導入到路由器內即可。在綁定成功完成后,如果又有新的機器需要綁定,只需將要添加的機器的IP/MAC輸入到對應的位置,點擊添加按鈕即輕松完成,而不必在重新進行導入。另外,為了便于對內網機器的管理,只需將“只允許ARP綁定的電腦訪問互聯網”選中后,點應用就可以阻止沒有綁定的機器訪問網絡。
3、對每臺主機上綁定網關和內網機器的IP和其MAC地址 。
在每臺PC機進入dos操作,輸入arp –s 192.168.1.1(網關IP) 00-0f-3d-83-74-28(網關MAC),回車后完成每臺PC機的綁定。
針對網絡內的其它主機用同樣的方法輸入相應的主機IP以及MAC地址完成IP與MAC綁定。但是此動作,如果重起了電腦,作用就會消失,所以可以把此命令做成一個批處理文件,放在操作系統的啟動里面,批處理文件可以這樣寫:
@echo off
arp –d
arp –s 192.168.1.1 00-0f-3d-83-74-28
arp –s 192.168.1.2 00-0B-2F-1B-16-3F
單靠以上的操作基本可以解決問題,但是我們建議可以通過下面幾點來進一步控制ARP的攻擊。
1、病毒源,對病毒源頭的機器進行處理,殺毒或重新裝系統。此操作比較重要,解決了ARP攻擊的源頭PC機的問題,可以保證內網免受攻擊。
2、網吧管理員檢查局域網病毒,安裝殺毒軟件(金山毒霸/瑞星,必須要更新病毒代碼),對機器進行病毒掃描。
3、給系統安裝補丁程序,通過Windows Update安裝好系統補丁程序(關鍵更新、安全更新和Service Pack)。
4、給系統管理員帳戶設置足夠復雜的強密碼,最好能是12位以上,字母+數字+符號的組合;也可以禁用/刪除一些不使用的帳戶。
5、經常更新殺毒軟件(病毒庫),設置允許的可設置為每天定時自動更新。安裝并使用網絡防火墻軟件,網絡防火墻在防病毒過程中也可以起到至關重要的作用,能有效地阻擋自來網絡的攻擊和病毒的入侵。部分盜版Windows用戶不能正常安裝補丁,不妨通過使用網絡防火墻等其它方法來做到一定的防護。
6、關閉一些不需要的服務,條件允許的可關閉一些沒有必要的共享,也包括C$、D$等管理共享。完全單機的用戶也可直接關閉Server服務。
7、不要隨便點擊打開QQ、MSN等聊天工具上發來的鏈接信息,不要隨便打開或運行陌生、可疑文件和程序,如郵件中的陌生附件,外掛程序等。
ARP攻擊防制是一個任重而道遠的過程,必須高度重視這個問題,而且不能大意馬虎,隨時警惕ARP攻擊,以減少受到的危害,提高工作效率,降低經濟損失。
(新聞稿 2007-11-03)