校园网ARP木马的入侵与防范 尹 慧 (运河高等师范学校计算机系,江苏徐州221300) 摘要:校园网络在高校及教育系统中已发挥出越来越重要的作用,推进了学校教学和管理的现代化、信息化, 改善了办学条件,同时也提高了教学质量。校园网络重要功能实现的条件必须是网络的稳定、安全、高效运行。然而, 现实的网络安全问题却日趋严重.校园网内木马泛滥,特别是近年来ARP木马的出现,使得网络速度变慢,甚至阻 塞,无法正常运行,直接影响到学校的教学秩序。 关键词:校园网络:ARP木马:Sniffer 中图分类号:G434 文献标识码:A 文章编号:1672—7800(2010)11—0083—02 畅通必要条件。 1校园网存在ARP木马的表象 2.2 AI 协议的工作原理及缺陷 2.2.1 ARP协议的工作原理 校园网的瞬间掉线或大面积的断网的情况多数是由于 ARP欺骗所导致_1]。ARP欺骗攻击已经成为破坏校园网正常运 局域网中同一网段两台PC通讯。一台PCB要和另一台 行的首要原因ARP欺骗木马的中毒现象表现为:使用局域网 PCA通讯,首先需要知道PCA的MAC地址。 时突然掉线,之后恢复正常。比如客户端状态频频变红,用户频 PCB先查找机器缓存中存贮的ARP表(IP和MAC对应关 繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。 系表),该表为动态刷新的。如果没有必须先发出一个ARP请 如果局域网中是通过身份认证上网的,会突然出现可认证,但 求的广播报文.询问:IP地址是PCA的MAC地址是多少? 不能上网的现象(无法ping通网关),重启计算机或在MS— 局域网里的PC都会收到ARP请求报文.并查看自己的 DOS窗口下运行命令ARP—d后,又可恢复上网。ARP欺骗木 IP是否是PCA,如果是则响应,反馈ARP响应报文,响应报文 马只需成功感染一台计算机。就可能导致整个局域网无法上 中有PCA的MAC地址:MACA。工作原理(见图1) 网,严重的甚至可能使整个网络瘫痪。该木马发作时除了会导 致同一局域网内的其他用户上网出现时断时续的现象外.还 会窃取用户密码。如盗取QQ密码,盗取各种网络游戏密码和 账号,盗窃用户网上银行账号等等,这些都是木马的惯用手段, 给用户造成了很大的不便或巨大的经济损失。 ARPII ̄应: ARP请求: IPA¨MACA IB ? IPA-. MACA 2 Al 欺骗分析 图1 ARP工作原理 2.2.2 ARP协议的缺陷 2.1 ARP协议 按照RFC的规定,PC在发ARP响应时,不需要一定要先 ARP(Address Resolution Protoco1)地址解析协议[2 3用于将 收到ARP请求报文,局域网中任何一台PC都可以向网络内其 计算机的网络IP地址转化为物理MAC地址。ARP协议的基本 它PC通告:自己就是PCA和MACA的对应关系,这就给攻击 功能就是通过目标设备的IP地址,查询目标设备的MAC地 者带来可乘之机E 。 址,以保证通信的顺利进行。在每台安装有TCP/IP协议的计算 由于ARP协议的缺陷,导致攻击者很容易发送虚假的ARP 机里都有一个ARP缓存表,表里的IP地址与MAC地址是一 请求报文和响应报文,来扰乱局域网中被攻击主机的ARP表. 一对应的,如果系统ARP缓存表被修改不停的通知路由器一 从而使得网络中的合法主机无法正常上网或通讯中断。 系列错误的内网IP或者直接伪造一个虚假网关进行欺骗时. 2.3 Al 木马欺骗原理 网络就会出现大面积的掉线问题。ARP攻击在现今的网络中 利用ARP协议的缓存更新不需要验证的特点,就可以冒用 频频出现.有效的防范ARP形式的网络攻击己成为确保网络 一个合法IP,对同网络的数据进行嗅探,而这正是ARP欺骗病 收稿日期:2010—10—20 作者简介:尹慧(1977一),男,江苏徐州人,运河高等师范学校计算机系助教,研究方向为计算机程序设计。 2010 ̄11期(下半月)软件导刊.教育技术83_ 毒所采用的手段。假设有3台主机分别为A,B,C,其中主机C 已经感染了ARP地址欺骗病毒 正常情况下.主机A与主机B 正确的不同时就可以确定ARP欺骗病毒已经在网络内发作。 例如正常情况下网络内网关地址192.168.1.99对应的MAC地 通信对于主机C是不可见的,但是,主机C利用ARP欺骗技术, 实现了交换网络下的嗅探。其主要步骤如下:①主机c向主机A 发送一个非法ARP响应,将主机A的ARP缓存中B的MAC地 址篡改为C的MAC地址;②主机C向主机B发送一个非法 ARP响应.将主机B的ARP缓存中A的MAC地址篡改为C的 址是00—09一OF一87—02—7C.然而执行后却发现192.168.1.99对 应的MAC地址为00—19…OF 17 02一lc。网关地址MAC信息错 误或变化确认是ARP病毒造成的。 (3)将错误的MAC地址记录下来,为日后通过Sniffer排查 做准备。 3.2从Snifer下手揪出ARP病毒 MAC地址;⑧在主机C上启动IPForward(IP转发)功能 。于是, 主机A与主机B之间的通道由主机A到主机B变成主机A到 主机C再到主机B.主机C作为“中介”,转发主机A与主机B 通信产生的所有数据包。这样.主机C竟然劫持了所有主机A (1)按照实际需要将用来分析故障的笔记本连接到交换机 的镜像端口上。运行Sniffer,在Sniffer软件中打开dashboard面 板,这个面板主要是扫描当前网络中数据包的宏观信息,即什 和主机B之间通信的数据,这就是ARP地址欺骗的过程。 么样的数据包有多少个。一般来说病毒都是以广播数据包来传 当主机冒充网关的情形下,由丁局域网中的电脑连接外网 播的.所以只需要查看每秒网络内的广播数据包数量就可以判 时,也就是登录互联网的时候,都要经过局域网中的网关转发 断病毒危害的严重与否。在dashboard面板中可以看到bmad. 一下,所有收发的数据都要先经过网关,再由网关发向互联网。 casts/s处显示的信息为26个.也就是说对当前网络抓取结果 这也就意味着电脑C能截获并篡改所有局域网到互联网、互 是一秒钟有26个广播数据包。和平常比要多一些。 联网到局域网的数据。欺骗过程如图2所示。 (2)在Sniffer软件中切换到host table主机列表中.具体查 看到底哪个计算机发送的广播数据包最多。如果网络内有蠕虫 病毒,那么这台主机的广播量要远远大于其他主机。例如本例 中就会看到有一台计算机的广播数据包为14344个,是其他正 常计算机发送包的1000倍还多。可以判断该计算机有问题。 (3)在Sniffer软件中切换到协议分析标签(protocol distri— bution,从图中可以看到网络内ARP数据包占用的比例比较 大,达到了12%以上,这是不正常的。一个正常的网络应该 192 l68l z 99%以上数据包都是IP数据包,ARP数据包小于1%。 MAC B 图2 ARP欺骗过程 (4)对嫌疑犯进行监控,针对发送广播量最大的主机进行 从影响网络连接通畅的方式来看.ARP欺骗分为两种,一 抓包分析,能够发现他不断的欺骗网关,向外发送的数据包目 种是对路由器ARP表的欺骗:另一种是对内网PC的网关欺 的地址都是连续的,声称他是192.168.2.0/24网段的主机.从而 骗。①ARP欺骗的原理是一截获网关数据。它通知路由器一系 造成其他主机无法和正确网关进行正常通讯,都被他欺骗。 列错误的内网MAC地址.并按照一定的频率不断进行,使真实 (5)了解到出现问题计算机的MAC地址后通过查询Snif- 的地址信息无法通过更新保存在路由器中。结果路由器的所有 fer监控的数据,特别是查看该MAC和真正网关地址通讯时数 数据只能发送给错误的MAC地址,造成正常PC无法收到信 据包的内容找到它的IP地址。当然如果企业有DHCP服务器 息;②ARP欺骗的原理是伪造网关。它的原理是建立假网关, 的话.也可以到DHCP服务器的地址租约池中查看该MAC地 让被它欺骗的PC向假网关发数据,而不是通过正常的路由器 址对应的IP地址信息。总之可以通过多种方法来通过MAC找 途径上网。在PC看来,即网络掉线。 到Ip地址,从而最终确定病毒的根源。 (6)找到这个有问题的MAC地址和IP地址后,针对该计 3分析确定ARP地址欺骗攻击者位置 算机进行断网隔离杀毒。杀毒完毕连接到网络中问题全部解 决,网络恢复正常。 3.1 确认ARP欺骗病毒发作 当校园网络中出现了网络速度变得非常缓慢,部分计算机 参考文献: 能够正常上网,但是会出现偶尔丢包的等现象时,就需要在本 [1] 徐非.ARP协议的网络安全性研究[J].上海电力学院学报,2008 机通过ARP显示指令来确认病毒的发作了。 (2):164—167. (1)通过“开始一>运行”,输入CMD指令后回车,进入命令 [2]Riehard StevensW.TCP/IP详解(卷l:协议)[M].北京:机械工业 提示窗口。 出版社.2000. (2)在命令提示窗口中输入ARP—a命令来查询本地计算 [3] 张舜,林红.ARP协议的缺陷及ARP欺骗的防范[J].科协论坛 机的ARP缓存信息。在显示列表中的physical address列就是 (下半月),20o8(6):81—81. 某IP对应的MAC地址。如果没有进行任何MAC与IP地址绑 [4]邓清华,陈松乔_A即协议欺骗攻击及其防范[J].微机发展,2003 定工作的话,ARP模式列显示的都是dynamic动态获得。当发 (8):126—128. 现ARP—a指令执行后显示信息网关地址对应的MAC地址和 [5] 雷振甲_网络工程师教程[M.北京:清华大学出版社,2004. (责任编辑:邬江华) _84 2010 ̄1^期(下半月}软件导刊.教育技术