快速导航
 
 
您当前的位置:首页 > 技术协助
ARP工作原理及如何防范ARP欺骗木马
发布时间:2016-11-01  
 
近期,校园网用户计算机感染ARP欺骗木马病毒的数量又呈大面积上升趋势,ARP病毒严重侵袭校园网,导致校园网用户无法正常访问网络。为此,信息与网络中心与校报联系,特开辟“ARP工作原理及如何防范ARP欺骗木马”专栏,旨在提高广大校园网用户防范意识,营造良好的网络环境。
一、ARP欺骗木马病毒攻击校园网现状
近一段时间,根据我中心每日监测所得平均数据,平均每日感染ARP木马病毒的用户数都在30~40之间。办公区、家属区、学生公寓各网段均有类似情况。
1.何谓ARP病毒?
  ARP地址欺骗类病毒(简称ARP病毒)是一类特殊的病毒,该病毒一般属于木马(Trojan)病毒,不具备主动传播的特性,不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包,干扰全网的运行,因此它的危害比一些蠕虫还要严重得多。
  2.ARP病毒发作时的现象及危害
网络掉线,但网络连接正常,整个网段内部分计算机不能上网,或者所有计算机无法正常上网,无法打开网页或打开网页慢,访问页面时常常弹出广告窗口,局域网时断时续并且网速较慢等。
网络异常、IP冲突;数据窃取、个人隐私泄漏(如MSN聊天记录、邮件等)、账号被盗用(如QQ账号、银行账号等);数据篡改(如访问的网页被添加了恶意内容,俗称“挂马”);非法控制(如某些网页打不开、某些网络应用程序用不了)。
二、ARP欺骗原理
1.什么是ARP?
ARP是地址转换协议(Address Resolution Protocol)的英文缩写,它是一个链路层协议,工作在OSI模型的第二层,在本层和硬件接口间进行联系,同时对上层(网络层)提供服务。
    二层的以太网交换设备并不能识别32位的IP地址,它们是以48位以太网地址(就是常说的MAC地址)传输以太网数据包。也就是说IP数据包在局域网内部传输时并不是靠IP地址而是靠MAC地址来识别目标的,因此IP地址与MAC地址之间就必须存在一种对应关系,而ARP协议就是用来确定这种对应关系的协议。
Windows操作系统,在命令行窗口输入"arp -a"命令可查看本机当前的ARP缓存表,ARP缓存表保存的就是IP地址与MAC地址的对应关系。
2.ARP通讯原理
ARP数据包根据接收对象不同,可分为两种:(1)广播包(Broadcast)。广播包目的MAC地址为FF-FF-FF-FF-FF-FF,交换机设备接收到广播包后,会把它转发给局域网内的所有主机。(2)非广播包(Non-Broadcast)。非广播包后只有指定的主机才能接收到。
   ARP数据包根据功能不同,也可以分为两种:(1)ARP请求包(ARP Request)。ARP请求包的作用是用于获取局域网内某IP对应的MAC地址。(2)ARP回复包(ARP Reply)。ARP回复包的作用是告知别的主机,本机的IP地址和MAC是什么。
当主机A需要与主机B进行通讯时,它会先查一下本机的ARP缓存中,有没有主机B的MAC地址。如果有就可以直接通讯。如果没有,主机A就需要通过ARP协议来获取主机B的MAC地址,具体做法相当于主机A向局域网内所有主机喊一嗓子:“喂~谁是192.168.0.2?我是192.168.0.1,我的MAC地址是AA-AA-AA-AA-AA-AA。你的MAC地址是什么,快告诉我”,这时候主机A发的数据包类型为:广播-请求。
    当主机B接收到来自主机A的“ARP广播-请求”数据包后,它会先把主机A的IP地址和MAC地址对应关系保存/更新到本机的ARP缓存表中,然后它会给主机A发送一个“ARP非广播-回复”数据包,其作用相当于告诉主机A:“嘿,我是192.168.0.2,我的MAC地址是BB-BB-BB-BB-BB-BB”。当主机A接收到主机B的回复后,它会把主机B的IP地址和MAC地址对应关系保存/更新到本机的ARP缓存表中,之后主机A和B就可以进行通讯了。
3.ARP欺骗
主机在两种情况下会保存、更新本机的ARP缓存表,(1)接收到“ARP广播-请求”包时。(2)接收到“ARP非广播-回复”包时。
    从中我们可以看出,ARP协议是没有身份验证机制的,局域网内任何主机都可以随意伪造ARP数据包,ARP协议设计天生就存在严重缺陷。
假设局域网内有以下三台主机(其中GW指网关),主机名、IP地址、MAC地址分别如下:
        主机名   IP地址          MAC地址
        GW       192.168.0.1     
01-01-01-01-01-01
        PC02     192.168.0.2     02-02-02-02-02-02
        PC03     192.168.0.3     03-03-03-03-03-03
4.ARP病毒新的表现形式
这种新型的ARP病毒与以前的一样的是,也向全网发送伪造的ARP欺骗广播,自身伪装成网关。区别是,它着重的是对HTTP请求访问的修改。HTTP是应用层的协议,主要是用于WEB网页访问。这种新型的ARP病毒,常见的一种攻击方式就是网页木马。
4.1什么是“网页木马”?
用户在浏览某些网页的时候,网页中可能会包含一些恶意的代码,这就是俗称的“网页木马”,此种行为通常被称为“挂马”。
网页中包含的恶意代码通常类似为:<iframe src=http://xxx/xxx width=50 height=0></iframe>
“网页木马”并非万能的,它一般是通过系统中的漏洞(例如浏览器的漏洞、浏览器插件的漏洞等)来对用户的主机进行攻击,进而获取用户主机中的敏感数据,例如QQ号、网银账号、游戏ID等。如果你的主机已经安装了最新的安全补丁,大多数网页木马都无法对你的主机造成伤害。但是,也有不少网页木马是通过系统未公开的漏洞来攻击用户主机,即是说,即使你的主机安装齐全所有安全补丁,也无法做到100%免疫。
4.2网页中为何会被插入恶意代码?
     通常有三种情况:
(1)用户的局域网被ARP欺骗。用户所处的那个局域网内,有主机被黑客控制或者感染了病毒。服务器返回给用户的网页数据,在传输过程中被ARP欺骗程序、病毒程序所篡改,插入了恶意代码。表现形式:局域网的用户,在访问所有网站时,网页中都会包含恶意代码。
还是以文局域网环境举例,如果局域网中主机PC02想请求www.sina.com.cn网页,PC02会先向网关发送HTTP请求,说:“我想登陆www.sina.com.cn网页,请将这个网页下载下来,并发送给我。”这样,网关就会将www.sina.com.cn页面下载下来,并发送给PC02。这时,如果PC03通过向全网发送伪造的ARP欺骗广播,自身伪装成网关的话,这样当PC02请求WEB网页时,PC03先是“好心好意”地将这个页面下载下来,然后发送给PC02但是它在返回给PC02时,会向其中插入恶意网址连接!该恶意网址连接会利用MS06-014和MS07-017等多种系统漏洞,向PC02发送木马病毒!同样,如果局域网中其他计算机发出类似请求时,PC03也会同样给其返回带病毒的页面,这样,如果一个局域网中存在这样的ARP病毒计算机的话,顷刻间,整个网段的计算机都可能会感染病毒!沦为僵尸电脑!
(2)服务器被ARP欺骗。服务器所处的那个局域网内,有主机被黑客控制或者感染了病毒,服务器返回给用户的网页数据,在传输过程中被ARP欺骗程序、病毒程序所篡改,插入了恶意代码。表现形式:互联网上所有用户访问这台服务器上的网页时,网页上都会包含有恶意代码。
(3)服务器被黑。服务器被入侵或感染病毒,硬盘上的网页文件被修改,被插入恶意代码。这种情况比较少见。表现形式:互联网上所有用户访问这台服务器上的网页时,网页上都会包含有恶意代码。
4.3实际举例
感染新型ARP病毒后的情况一种。(也就是上文用户的局域网被ARP欺骗的情形。)
内部局域网用户无论访问那个网站,杀毒软件均报病毒:Exploit.ANIfile.o。实际情况是,该局域网中有ARP病毒计算机导致其它计算机访问网页时,返回的网页带有病毒,并且该病毒网页通过MS06-014和MS07-017漏洞给计算机植入木马下载器,而该木马下载器又会下载10多个恶性木马。
局域网中存在这样的ARP病毒计算机之后,其它客户机无论访问什么网页,当返回该网页时,都会被插入一条恶意网址连接,如果用户没有打过相应的系统补丁,就会感染木马病毒。
   三、用户计算机感染木马病毒原因
    1. 用户计算机上未安装任何杀毒和防护软件。
    2. 没有及时为系统升级,未安装系统补丁程序。
    3. 访问非法网站、获取不良信息。
    四、防范措施与处理办法
由于这一病毒的原理是利用了网络协议自身的漏洞,危害较大,难以完全杜绝。我中心针对这种利用网络协议自身漏洞的ARP欺骗病毒,自行研制了侦测ARP病毒的软件和“路由器端IP-ARP防护系统ARP Bind1.0软件。侦测软件时时对校园网用户的流量进行监测,发现流量异常用户,认证系统将会自动把流量异常账号添加入黑名单,做隔离下线处理,以防止其发散ARP欺骗病毒数据包影响网段内其他计算机正常访问校园网。我中心主页上时时公布有因arp攻击被隔离下线的用户帐号。
除了中心对该病毒采取一定的处理措施外,我们还需要各用户的配合和支持,良好的校园网络运行环境需要大家的努力共同维护。
安全建议:
1. 请您给系统安装补丁程序。确保Windows Update定期升级、安装系统补丁程序。
2. 请给您的系统管理员帐户设置足够复杂的强密码,最好能是 12 位以上,字母 + 数字 + 符号的组合;也可以禁用 / 删除一些不使用的帐户
    4. 请不要随便点击打开 QQ 、 MSN 等聊天工具上发来的链接信息,不要随便打开或运行陌生、可疑文件和程序,如邮件中的陌生附件,外挂程序等。
 5. 请时常关注本机的启动项和服务项,如果发现异常启动项和服务项内容需及时停止和禁用。
6. 请务必安装arp防火墙:推荐用户安装“360安全卫士”并在“保护”栏内启用“局域网ARP攻击拦截”【默认是“关闭”状态】。360安全卫士下载(本地下载)官方网站下载
8. 查找、浏览信息,下载软件,请用户尽量访问大型门户网站,避免或减少访问陌生网站,以减少感染病毒机率。使用搜索引擎时,请尽量使用百度、google等知名搜索引擎。
感染病毒后的建议处理措施:
对于ARP病毒计算机的查杀办法,首先可以利用杀毒软件杀毒,但是由于现在病毒变种极其繁多,有可能遇到杀毒软件查不出来的情况,这时候就需要借助手工杀毒的办法了,下面介绍一些经验。
根据一些经验,较老类型的ARP病毒运行比较隐蔽,计算机中毒时并无明显异常现象,这类病毒运行时自身无进程,通过注入到Explorer.exe进程来实现隐藏自身。其注册表中的启动项也很特殊,并非常规的Run键值加载,也不是通过服务加载,而是通过注册表的AppInit_DLLs 键值加载实现开机自启动的,这一点比较隐蔽,因为正常的系统AppInit_DLLs键值是空的。也正由于这个特点,利用Autoruns这个工具软件就可以快速扫描出病毒文件体。
这就是ARP病毒文件主体,该文件虽然扩展名为log,看似很像是系统日志文件,但其实,它是一个不折不扣的病毒。除了Log形式的病毒文件,还有一些以Bmp作为扩展名的病毒文件,同样,这些病毒文件也不是图片文件,而是EXE格式的可执行文件,在同目录下还有同名的dll文件,这些都是病毒体。
%WinDir% KB*.log
或者 %WinDir% *.bmp
%WinDir%同名.dll
如何区别正常的log日志文件,bmp图片文件和病毒文件呢?其实很简单,用记事本程序打开该文件,查看其文件头是否有“MZ”的标记即可。
找到这些文件后,可以先清除注册表中的相关键值,然后重启系统到安全模式下,手动删除文件即可。
对于最近多发的,修改WEB请求页面的新型ARP病毒,则改变了病毒文件的表现形式,现对简单,利用系统进程查看和启动项查看注册表的Run键值,可以明显发现病毒的文件,
结束语:
此类ARP病毒(木马)攻击危害大,病毒变种形式多样,给校园网用户带来极大不便。我中心将继续密切关注网络运行状态,一旦确认arp攻击源,无论是无意中毒还是有意攻击,将对其采取断网措施,待用户PC机病毒清除后再行解封。为了营造良好上网环境,请各位用户理解、配合,积极采取措施,良好上网环境需要大家共同维护!
版权所有:唐山工业职业技术学院 冀ICP备字10014572号 开发维护:大数据和网络中心
地址:唐山市曹妃甸大学城渤海大道25号 邮政编码:063299 电话:0315-8832094