【文章內(nèi)容簡介】 臺共捕獲約 90萬個惡意代碼，比去年同期增長 %。每年都有相當數(shù)量具有一定影響力的新計算機病毒出現(xiàn)，它 們造成的破壞和損失也更大，人們花費在病毒防治方面的精力和技術也越多。 如 2020年 ARP（ Address Resolution Protocol）病毒就表現(xiàn)很突出，江民公司發(fā)布的《 07年上半年病毒報告及十大病毒》中ＡＲＰ病毒排名第四，瑞星公司發(fā)布的 《 2020年上半年電腦病毒疫情和互聯(lián)網(wǎng)安全報告》中 ARP病毒排名第六。造成信息和網(wǎng)絡安全問題的因素很多，主要可歸納為兩方面。一方面是技術方面的問題，目前的計算機操作系統(tǒng)和應用軟件或多或少存在一定的安全漏洞，而攻擊者恰恰利用了這些漏洞，由于計算機病毒防治技術相對要落后 于病毒攻擊，因此會造成病毒在一定范圍內(nèi)蔓延；另一方面是管理方面的問題，由于管理 人員的技術水平不足和管理不善造成的安全問題也層出不窮，系統(tǒng)漏洞修復的滯 后和安全防護措施的不夠給攻擊者提供了機會。再加之，互聯(lián)網(wǎng)是一個開放的系統(tǒng)，任何微小的漏洞和病毒都會快速蔓延，甚至殃及全球，因此網(wǎng)絡安全問題不 容忽視。 ARP病毒很大程度上是因為技術方面的問題而導致的，因此，可以通過 技術改進加以防范。 ARP 病毒的攻擊與防范 2 研究 背景及意義 ARP協(xié)議是一個基礎協(xié)議，它的應用非常廣泛。 ARP由口層復用，用于解析 局域網(wǎng)內(nèi)任意合法第 3層協(xié)議地址和第 2層硬 件地址之間的映射關系。 ARP協(xié)議工 作在局域網(wǎng)中，早期的協(xié)議設計者認為局域網(wǎng)是可信賴的，同時為了考慮傳輸效 率，沒有加入安全機制 ?，F(xiàn)在的網(wǎng)絡規(guī)模已經(jīng)今非昔比，局域網(wǎng)已經(jīng)不再是原始意義上的局域網(wǎng)絡，但 ARP協(xié)議仍然扮演著同樣重要的角色，攻擊者正是利用了這一特點，利用該協(xié)議實現(xiàn)攻擊目的。 ARP欺騙攻擊通過偽造 IP地址和 MAC地址映射來實現(xiàn)，它造成目標主機 ARP高速緩存信息錯誤，從而影響網(wǎng)絡通信、實施網(wǎng)絡欺騙。 目前， “ ARP” 騙技術正在被越來越多的病毒所使用，成為局域網(wǎng)安全的新殺手?！恫《绢A報》（ 20202020）報道，國家計算機病毒應急處理中心通過互聯(lián)網(wǎng)絡監(jiān)測發(fā)現(xiàn)，一種新型 “地址解析協(xié)議欺騙 ”（簡稱： ARP欺騙）的惡意木馬程序的正在互聯(lián)網(wǎng)絡中傳播，并且它會在局域網(wǎng)絡中尋找 網(wǎng)絡數(shù)據(jù)響應包，在包內(nèi)加入惡意木馬程序的代碼信息，最終導致局域網(wǎng)中用戶 計算機系統(tǒng)感染木馬程序，使得計算機系統(tǒng)中的信息篡改或丟失。該 “ ARP欺騙 ” 的惡意木馬程序入侵某個局域網(wǎng)中的計算機系統(tǒng)后，它會試圖通過 “ ARP欺騙 ” 手段截獲所在局域網(wǎng)絡內(nèi)其它計算機系統(tǒng)的通信信息，導致該局域網(wǎng)出現(xiàn)突然掉線，過一段時間后又會恢復正常的現(xiàn)象。同時，網(wǎng)內(nèi)的其他計算機系統(tǒng) 也會受到影響，出現(xiàn) IP地址沖突、頻繁斷網(wǎng)、瀏覽器頻繁出錯，以及一些系統(tǒng)內(nèi)常用軟件出現(xiàn)故障等現(xiàn)象。除外，它會對局域網(wǎng)絡中所有的數(shù)據(jù)包進行分析，過濾出網(wǎng) 頁瀏覽請求的應答數(shù)據(jù)包，并在數(shù)據(jù)包里面插入惡意代碼，一旦計算機系統(tǒng)中的 IE瀏覽器存在漏洞，那么計算機用戶瀏覽網(wǎng)頁的同時就會自動下載并運行惡意木馬程序。 “ ARP欺騙” 類惡意木馬程序的危害性比較大，特別是對校園網(wǎng)、網(wǎng)吧等局 域網(wǎng)會造成大范圍的破壞和影響，輕則影響網(wǎng)絡使用，重則導致網(wǎng)絡癱瘓，是個不容忽視的問題。 目前，很多研究者已經(jīng)給出了針對 ARP欺騙攻擊的防治方法， 在一定程度上減少了 ARP問題的發(fā)生，這類方法主要是通過保護 ARP高速緩存等方法來實現(xiàn)，它們沒有從根本上解決 ARP欺騙問題，因為 ARP欺騙問題的發(fā)生是因為 ARP協(xié)議本身存在在不可信網(wǎng)絡中運行的漏洞。本文將從 ARP協(xié)議本身出發(fā)，分析 ARP協(xié) 議的不安全因素，并針對存在的問題給出解決的具體方法，達到從根本上解決 ARP病毒問題ARP 病毒的攻擊與防范 3 的目的。 本文研究內(nèi)容和組織結構 本文主要目的是通過研究 ARP協(xié)議缺陷，來闡述 ARP攻擊原理。然后根據(jù)此原理剖析 ARP偵聽、病毒掛載等眾多攻擊手段。文章的創(chuàng)新點在于闡述了 MAC地址綁定等 常用方法只能針對單機防護，而在大型公眾上網(wǎng)環(huán)境中必須以 MAC地址集中管理、 ARP廣播包探測等綜合管理手段相輔助，進行整體防護。文章最后以上海東方數(shù)字社區(qū)為實例說明綜合防護手段的實施方法。 第一章緒論。本章介紹了本文的課題研究背景，闡述了課題的研究目的以及意義，然后說明了本文的主要創(chuàng)新點和全文結構。 第二章 ARP攻擊原理綜述。本章首先用實例說明 ARP攻擊的危害性，然后詳細介紹 ARP協(xié)議概念、 ARP幀結構、以及其他相關概念。此章最后論證了 ARP協(xié)議缺陷是 ARP攻擊癥結所在。 第三章 ARP欺騙攻擊的實現(xiàn)。本章 通過 Socket程序代碼說明如何實現(xiàn) ARP欺騙攻擊，然后通過程序代碼敘述 、偵聽、病毒掛載、 Windows系統(tǒng)攻擊、交換機攻擊等多種混合類攻擊的實現(xiàn)原理。 第四章 ARP欺騙攻擊的防范。針對如何在擁有上千個終端大型社區(qū)網(wǎng)絡中有效防止 ARP攻擊蔓延，本章比較了常用的 MAC地址綁定、系統(tǒng)安全加固等方法指出要在大范圍內(nèi)防止 ARP攻擊需要用綜合手段，并提出 ARP攻擊探測、 MAC地址中央管理等適用于大型網(wǎng)絡的新方法。 第 五 章總結與展望。本章對全文的研究工作進行總結，提出了主要結論，并介紹了課題今后 進一步的改進和發(fā)展方向。 第 2 章 ARP 攻擊原理綜述 工作原理 以太網(wǎng)中的ＡＲＰ協(xié)議簡介 IEEE的 802標準委員會和 802項目組定義了兩種主要的 LAN傳輸方法 ——以 太網(wǎng)和令牌環(huán)網(wǎng)。以太網(wǎng)在 LAN標準，令牌環(huán)網(wǎng)則在 。這兩種方法的使用范圍都很廣泛，本文的研究針對以 太網(wǎng)進ARP 病毒的攻擊與防范 4 行。 以太網(wǎng)利用了總線和星形拓撲結構的優(yōu)點，采用了 CSMA/CD技術，網(wǎng)絡上 想要發(fā)送幀的結點與另外的結點競爭資源，沒有哪個結點的優(yōu)先級比其他結點高，幀按照物理地址 查找其特定的目標，以太網(wǎng)通過一個廣播信道向所有結點發(fā)送數(shù)據(jù)，處于同一廣播域的結點都會收到該數(shù)據(jù)。雖然每臺主機都 由一個 IP地址， 但是 IP地址是運行 TCP/IP協(xié)議機器的通用標識， IP地址自身不能使報文到達其目 的地，數(shù)據(jù)傳輸必須依靠網(wǎng)絡適配器唯一的硬件地址，該地址也被稱為 MAC地址或者數(shù)據(jù)鏈路地址，該地址通常在網(wǎng)絡適配器生產(chǎn)廠家唯一編址，具有全球唯 一性 。以太網(wǎng)中的硬件地址采用 48位長度表示， ARP協(xié)議為 IP地址到對應的硬件地址之間提供動態(tài)映射腳，因此，擔負 IP地址和硬件地址轉(zhuǎn)換的 ARP協(xié)議具有非常重要的地位。 協(xié)議原理 ARP協(xié)議起初是為 DEC/Intel/Xerox的 10兆以太網(wǎng)設計的，現(xiàn)在已允許用在其它類型的網(wǎng)絡上。當來自上層的數(shù)據(jù)要發(fā)送時，需要知道目標主機的硬件地址，這時就需要通過 IP地址找到相應的硬件地址，網(wǎng)絡接口輸出函數(shù)會調(diào)用 ARP協(xié)議 進行ARP解析。 ARP解析函數(shù)發(fā)送 ARP請求（作為廣播包發(fā)送），目標主機收到 ARP請求后發(fā)送 ARP應答（作為單播包發(fā)送），當發(fā)送主機收到 ARP應答后就可發(fā)送數(shù)據(jù)。為了避免頻繁發(fā)送 ARP請求和應答，實現(xiàn)時在主機中都會有一個 ARP高速緩存用來存放已經(jīng)解析成功的 ARP信息，所以通常數(shù)據(jù)發(fā)送前先查找 ARP高 速緩存，找不到時才會發(fā)送 ARP請求。 分組格式 RFC826定義了 ARP分組的格式，在以太網(wǎng)上使用的 ARP分組格式見圖 21。 該分組由以太網(wǎng)首部和以太網(wǎng) ARP字段兩部分組成。 ． 圖 21ARP的分組格式 （ 1） 以太網(wǎng)首部：以太網(wǎng)首部包括以太網(wǎng)目的地址、以太網(wǎng)源地址和幀類型三ARP 病毒的攻擊與防范 5 部分，以太網(wǎng)目的地址是通信目的端的 MAC地址，長度為 48位，目的地址為全 1是廣播地址，這時，電纜上的所有以太接口都要接收此數(shù)據(jù)并進行處理。以太網(wǎng)源地址是通信源端的 MAC地 址，長度為 48位。幀類型表示以太網(wǎng)首部所攜帶數(shù)據(jù)的類型，如果是 IP幀則為 0x0800，如果是ＡＲＰ幀則為 0x0806。 （ 2） 以太網(wǎng) ARP字段：包括 ARP首部和 ARP數(shù)據(jù)兩部分。其中 ARP首部包括硬件類型、協(xié)議類型、硬件地址長度、協(xié)議地址長度和操作碼五部分，硬件類型 字段值為 1表示是以太網(wǎng)地址，協(xié)議類型字段值為 0x8000表示 IP地址，硬件地址長度為 6表示是以太網(wǎng)硬件地址，協(xié)議地址長度字段值為 4表示是 IP地址，操作碼指出了 ARP操作的四種類型，其中 ARP請求值為 1， ARP應答值為 2， RARP請求 和應答分別人 3和 4（可參見 RARP協(xié)議的相關資料，本文不進行介紹）； ARP數(shù)據(jù)部分包括了發(fā)送方硬件地址、發(fā)送方 IP地址、目的硬件地址和目的 IP地址，它們根據(jù)不同情況進行填充， ARP請求包填充除目的硬件地址以外的所有數(shù)據(jù)，而ＡＲＰ應答數(shù)據(jù)則填充全部數(shù)據(jù)。 發(fā)包和收包流程 （ 1） 發(fā)包 ① 當網(wǎng)絡層往下傳來一個包，路由選擇將確定該包下一跳的協(xié)議地址（目的主機的口地址），為了正確發(fā)送該數(shù)據(jù)包，必須知道目的主機的硬件地址，這 時就需要進行 IP地址至 MAC地址的解析，為此需要發(fā)送 ARP請求，即發(fā)送 一 個幀 類型字段為 0x0806的以太網(wǎng)包，該包中以太網(wǎng)目的地址全為１（ ARP請求以廣播 形式發(fā)送），除了目的硬件地址外全部填充，其中以太網(wǎng)源地址、發(fā)送者硬件地址和發(fā)送者 IP地址填充本機的信息， ARP操作碼填充 1，協(xié)議地址長度填充 4，硬件地址長度填充 6，目的 IP地址填充路由確定的下一跳協(xié)議地址，目的硬件地址 的值是想要得到的值。ARP請求包會被廣播到所有在以太網(wǎng)電纜上的主機，如果目的主機得到該 ARP請求包則會發(fā)送一個 ARP應答包，如果一定時間沒有收到 ARP應答包，則會繼續(xù)發(fā)送若干次，如果還沒有收到應答包，則認為該主機不可達到，停止發(fā)送 ARP請求。為了提高通信效率，通常主機中會保存已經(jīng)解析到的 IP和 MAC地址的映射，通常稱之為ARP高速緩存 。它保存了 IF索引（物理接口索引）、 IP和 MAC地址的映射，以及該映射的類型信息等，類型有 4種可能的值，值 2意味著表項是無效 的，值 3意味著映射是動態(tài)的（表項可能改變），值 4說明是靜態(tài)項（表項不變化）， 值 1意味著不是上ARP 病毒的攻擊與防范 6 面的任何一種情況。動態(tài)表項有一定的生存期，動態(tài) ARP表項如果在一定時間沒有被使用，則會因超時被刪除，如果在生存期內(nèi)被使用，則生存期會被重置為最大值。通常，在數(shù)據(jù)發(fā)送前先會查找 ARP高速緩存尋 找相應的 MAC地址，如果沒有找到才會發(fā)送相應的 ARP請求。 ② 免費 ARP 主機在啟動時會主動發(fā)送一個 ARP請求包，該包中發(fā)送端的協(xié)議地址和目的端的協(xié)議地址一致。免費 ARP包可以檢測在以太網(wǎng)中是否存在 IP地址沖突，可以 使其他機器更新其相應信息，使得網(wǎng)絡通信快速恢復。如果發(fā)送免費 ARP的主機 正好改變了硬件地址（有可能是更換網(wǎng)絡適配器，然后重新啟動），那么這個免 費 ARP就可以使其它主機 ARP高速緩存中舊的硬件地址進行相應的更新。 （ 2） 收包 ① 當接口收到 ARP請求包后會進行檢查，檢查該包的硬件地址類型及長度 和協(xié)議 地址類型及長度是不是符合本接口，如果符合，那么在 ARP高速緩存中查 找發(fā)送者 IP地址相關的映射，如果找到一個相符的表項，那么更新此表項（覆蓋 原來的硬件地址為新的硬件地址）。 ② 判斷本機是不是通信的目標主機，如果是，并且沒有進行過 ① 中的更新， 那么更新 ＡＲＰ 高速緩存。 ③ 如果收到的是一個 ARP請求，那么生成一個相應的 ARP應答包，并且將這個ARP應答包發(fā)送給對方， ARP應答包以單播的形式發(fā)送，它填充了 ARP包中 的 所有內(nèi)容。 ARP 攻擊的危害 ARP欺騙不同于通常攻擊可造成的巨大破壞。 ARP欺騙可以造成內(nèi)部 網(wǎng)絡的混亂，某些被欺騙的計算機無法正常訪問內(nèi)外網(wǎng)，讓網(wǎng)關無法和客戶端正常通信。實際上他的危害還不僅僅如此，一般來說 IP地址的沖突我們可以通過多種方法和手段來避免，而 ARP協(xié)議工作在更低層，隱蔽性更高。系統(tǒng)并不會判斷 ARP緩存的正確與否，無法像 IP地址沖突那樣給出提示。而且很多黑客工具，可以隨時發(fā)送 ARP欺騙數(shù)據(jù)包和 ARP恢復數(shù)據(jù)包，這樣就可以實現(xiàn)在一臺普通計算機上通過發(fā)送 ARP數(shù)據(jù)包的方法來控制網(wǎng)絡中任何一臺計算機的網(wǎng)絡連接截獲其通訊數(shù)據(jù)并可做篡改以加入病毒代碼進行傳播，甚至還可以直接對網(wǎng)關進行攻擊，讓所有 連接網(wǎng)絡的計算ARP 病毒的攻擊與防范 7 機都無法正常上網(wǎng)。這點在以前是不可能的，因為普通計算機沒有管理權限來控制網(wǎng)關所以說。 ARP欺騙的危害是巨大的，而且非常難對付，非法用戶和惡意用戶可以隨時發(fā)送 ARP欺騙和恢復數(shù)據(jù)包，這樣就增加了網(wǎng)絡管理員查找攻擊源的難度。歸納 ARP欺騙類攻擊的危害性如下： (1)攻擊點范圍廣：不需要攻占具體服務器，在不獲得目標主機的權限的條件下，只要在網(wǎng)絡環(huán)境的任何一個點上安放一臺 “肉機 ”便可以感染整個網(wǎng)段； (2)攻擊非常隱蔽：不需要改動任何目標主機的頁面或者是配置 ,在網(wǎng)絡傳輸?shù)倪^ 程中間直接插入病毒的代碼； (3)發(fā)覺困難：如沒有機房網(wǎng)絡管理人員協(xié)助協(xié)查，服務器系統(tǒng)管理員光靠系統(tǒng)日志無法在短時間內(nèi)找到攻擊源； (4)恢復復雜：網(wǎng)站管理員即時發(fā)現(xiàn)被攻擊后，但是從系統(tǒng)層面上無法自己清除； (5)攻擊手段變化多樣：黑客可以最大化的利用 ARP欺騙，將他與其他攻擊方法組合后運用于多種攻擊，如