ARP病毒的分析与防治思路

2013-3-19 23:14 发布者: admin 阅读:14031

先来看看ARP病毒是怎么回事。 
简单的说就是:这种病毒自身可以伪造一些ARP回应包。这些包的源IP地址一般是重要设备的IP地址,而那个源MAC地址可能是自己的MAC,也可能是一个无用的MAC地址。而目的IP地址和目的MAC地址都是广播地址,这样的话,这个新的ARP条目就会发送到网络中的任何一个设备中。然后,这些设备就会更新自己的ARP缓存,这样一来呢,就达到欺骗的效果了。以后我们的机器在往重要的设备上发送数据的时候,就会先检查自己的ARP缓存啊,确实存在这么一个ARP条目,殊不知已经是被掉包的了。所以呢,我们发送的数据就不会按照我们原来的意愿,到达真正的目的地。 
从上面的这些话当中,我们可以提炼出:中毒后的机器会频繁的自动产生一些假的ARP包,来达到让别的设备更新自己的ARP缓存的目的,以达到欺骗的目的。 
我们可以分下实现这个ARP病毒需要分几个步骤: 
1.机器得自己产生ARP报文。 
2.并且一定要频繁,更新设备ARP缓存的间隔一定要比正常情况下的小,且小的多。 
3.别的设备得接受,并且承认这种频繁来更新的ARP条目。 
知道了它的工作过程,那么我们就从各个步骤进行分析,下对策。 
首先说呢,ARP这个协议本身就不怎么地,本身就是不安全的。就是在没有ARP请求包的情况下,机器也可以发送ARP回应包。这样看来的话,就好像是UDP对应起TCP一样,是属于那种“无连接状态”的。也正是这种协议本身的安全缺陷,才让欺骗这么容易的进行。没事的情况下,设备还具备发送这样的ARP包的能力呢,别说中毒了,那就发送的更狂了,并且发送的还都是一些经过特定修改的。修改ARP回应包的源Ip地址,修改成重要设备的地址。修改了这个IP地址,才可以对这个对应的IP地址的设备进行阻碍,以后发送往这个设备发送的数据都会发送到这个中毒的机器来。也许你会说,中毒的可以发,人家那个正常的设备也可以发啊。是啊,所以为不让其他的设备承认真正的设备发送的ARP包,这个中毒的机器才使得自己拼命的发,一个劲的发,拼命的发。这样的话,让那个真正的设备发送的ARP包没有机会更新其他设备的ARP缓存。如果我们不该找个ARP包的源MAC地址的话,也就是说这个MAC地址是这个中毒的机器的MAC地址,那么以后发送到那个源IP地址的设备的数据都会发送到这个中毒的机器来。如果这个MAC地址是网关的地址的话,那么其他的机器上网的数据不是发送到真正的网关了,而是发送到这个中毒的机器来。如果在这个机器上再安装个分析软件的话,就完全可以知晓网络中的一切信息交流。如果这个MAC地址是个无效的。那么以后发送到那个源IP地址的数据流就会被无奈的丢弃啦。因为在LAN中传输数据用的是MAC啊,。现在每个机器都是知道了那个IP地址的是那个MAC地址,殊不知这个MAC是静心策划的无效MAC。这样一来的话,就会导致发送到那个IP地址的数据全部被丢弃。造成的后果如何就看这个ARP包的源Ip地址是什么设备的IP地址 了。如果是网关的话,那么全网的机器就都上不去网了。如果是一个普通机器的Ip地址呢,那么这个机器就上不去了。我们说的,这种ARP病毒包会频繁的发送,虽然正常的ARP包被接受的几率很小很小了,但是也会有被接受的可能啊,所以,ARP病毒会导致网络中的机器上网断断续续的。厉害了,就完全出现网络断开的现象咯。不知不觉,一个“首先”就分析了1和2两个步骤。那么我们对于上述的这些过程,该如何阻挠呢?细看,这些都是病毒的实质的工作方式。我们不可能更改他们啊。那么我们就想想是否可以阻止这样的数据包进入网络。如果进入不了网络,那就完全么事咯。这个问题就需要我们在机器联网的地方做手脚了。那就是接入层交换机上的端口咯。也就说得让交换机的端口只允许一个MAC地址的数据包通过,并且这个数据包还是的MAC地址还是下面连接的机器的真正的MAC地址。这样一来呢,如果再找个端口上进出其他MAC地址的数据包,这个端口就会采取相应的措施:关闭端口(永久性关闭或者将端口周期性的进入到err-disable状态)、限制(将非匹配MAC地址的数据包全部丢弃掉)、保护(当端口学习的MAC地址数到达了设置在这个端口上可以学习的MAC的最大数量的时候,丢弃后面来的任何不同于先前这些MAC地址的数据包。)
最近,我单位碰到一个非常奇怪的问题,一台P4品牌电脑,内置英特尔网卡,一直以来用得挺好,浏览互联网,内网的通信都很正常。突然有一天,发现这台计算机在浏览互联网时时通时断,ping互联网上的地址时,也是通一下,断一下,但ping内网时什么问题也没有,和内网的通信也非常正常,就是和互联网通信时有这种现象,非常令人费解。这台电脑的IP地址为192.168.24.55,防火墙的 IP地址为192.168.24.7。 

检查物理链路 
我单位所有访问互联网的电脑都是通过Netscreen NS25防火墙来连接的,如果说是防火墙的问题,而其他的电脑访问互联网都挺正常,没有时通时断的现象。根据这台电脑ping的现象来看,问题似乎应该在下三层,而时通时断的现象好像是典型的物理层的问题,那么首先开始检查链路。 


关注公众号:拾黑(shiheibook)了解更多!

关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接