資源描述:
《解析arp病毒攻擊技術與防御策略 》由會員上傳分享�,免費在線閱讀,更多相關內容在工程資料-天天文庫�。
1、解析ARP病毒攻擊技術與防御策略【摘要】ARP病毒位列十大病毒排行榜第四位�,而且目前ARP地址欺騙技術已經(jīng)被越來越多的病毒所采用,成為病毒發(fā)展的一個新趨勢���。本文還較深入和直觀地介紹了ARP協(xié)議的基本原理��、基本工作過程�����、ARP欺騙技術以及其對策�����, 【關鍵詞】arp協(xié)議arp欺騙 近年來�����,arp攻擊十分頻繁�����,ARP病毒位列十大病毒排行榜第四位���,而且目前ARP地址欺騙技術已經(jīng)被越來越多的病毒所采用,成為病毒發(fā)展的一個新趨勢���。如何防范arp攻擊越來越受到了網(wǎng)管的重視�����?���! ∫弧RP協(xié)議工作原理 在TCP/IP協(xié)議中�����,每一個網(wǎng)絡結點是用IP地址標識的�,IP地址是一
2、個邏輯地址�����。而在以太網(wǎng)中數(shù)據(jù)包是靠48位MAC地址(物理地址)尋址的��。因此��,必須建立IP地址與MAC地址之間的對應(映射)關系����,ARP協(xié)議就是為完成這個工作而設計的?��! CP/IP協(xié)議棧維護著一個ARPcache表�,在構造網(wǎng)絡數(shù)據(jù)包時,首先從ARP表中找目標IP對應的MAC地址����,如果找不到,就發(fā)一個ARPrequest廣播包�����,請求具有該IP地址的主機報告它的MAC地址���,當收到目標IP所有者的ARPreply后��,更新ARPcache.ARPcache有老化機制���。 ARP協(xié)議是建立在信任局域網(wǎng)內所有結點的基礎上的��,它很高效���,但卻不安全。它是無狀態(tài)的協(xié)議����,不會檢查自己是否發(fā)
3����、過請求包��,也不管(其實也不知道)是否是合法的應答����,只要收到目標MAC是自己的ARPreply包或arp廣播包(包括ARPrequest和ARPreply),都會接受并緩存�。這就為ARP欺騙提供了可能,惡意節(jié)點可以發(fā)布虛假的ARP報文從而影響網(wǎng)內結點的通信�,甚至可以做“中間人”?��! 《?��、ARP病毒分析 當局域網(wǎng)內某臺主機運行ARP欺騙的木馬程序時,會欺騙局域網(wǎng)內所有主機和路由器�,讓所有上網(wǎng)的流量必須經(jīng)過病毒主機。其他用戶原來直接通過路由器上網(wǎng)現(xiàn)在轉由通過病毒主機上網(wǎng)����,切換的時候用戶會斷一次線。切換到病毒主機上網(wǎng)后,如果用戶已經(jīng)登陸了傳奇服務器����,那么病毒主機就會經(jīng)常
4、偽造斷線的假像�����,那么用戶就得重新登錄傳奇服務器����,這樣病毒主機就可以盜號了?�! ∠旅婢虰KDR_NPFECT.A病毒進行分析 1.病毒的組件 本文研究的病毒樣本有三個組件構成: %32\driverspf.sys(119�����,808bytes)……“發(fā)ARP欺騙包的驅動程序” %32\msitinit.dll(39�,952bytes)……“命令驅動程序發(fā)ARP欺騙包的控制者” 2.病毒運作基理 LOADHACHINE\SOFTicrosoft\CurrentVersion\RunOnce]dyTest=LOADHW.EXE注:由于該項位于RunOn
5、ce下�����,該注冊表啟動項在每次執(zhí)行后�,即會被系統(tǒng)自動刪除。三、查找ARP攻擊源頭 定位ARP攻擊源頭 主動定位方式:因為所有的ARP攻擊源都會有其特征——網(wǎng)卡會處于混雜模式����,可以通過ARPKiller這樣的工具掃描網(wǎng)內有哪臺機器的網(wǎng)卡是處于混雜模式的����,從而判斷這臺機器有可能就是“元兇”?�! ”粍佣ㄎ环绞剑涸诰钟蚓W(wǎng)發(fā)生ARP攻擊時����,查看交換機的動態(tài)ARP表中的內容,確定攻擊源的MAC地址����;也可以在局域居于網(wǎng)中部署Sniffer工具,定位ARP攻擊源的MAC����。 使用NBTSCAN可以取到PC的真實IP地址����、機器名和MAC地址,如果有“ARP攻擊”在做怪,可以找到裝有A
6���、RP攻擊的PC的IP����、機器名和MAC地址�。 命令:“nbtscan-r192.168.16.0/24”(搜索整個192.168.16.0/24網(wǎng)段���,即192.168.16.1-192.168.16.254)��;或“nbtscan192.168.16.25-137”搜索192.168.16.25-137網(wǎng)段��,即192.168.16.25-192.168.16.137��。輸出結果第一列是IP地址��,最后一列是MAC地址��?���! ∷?��、arp防御對策 各種網(wǎng)絡安全的對策都是相對的�,主要要看網(wǎng)管平時對網(wǎng)絡安全的重視性了。下面介始一些相應的對策: 1.在系統(tǒng)中建立靜態(tài)ARP表���,建
7、立后對本身自已系統(tǒng)影響不大的����,對網(wǎng)絡影響較大,破壞了動態(tài)ARP解析過程��。靜態(tài)ARP協(xié)議表不會過期的����,我們用“arp–d”命令清除ARP表,即手動刪除���。但是有的系統(tǒng)的靜態(tài)ARP表項可以被動態(tài)刷新��,如Solaris系統(tǒng)��,那樣的話依靠靜態(tài)ARP表項并不能對抗ARP欺騙攻擊�����,相反縱容了ARP欺騙攻擊�����,因為虛假的靜態(tài)ARP表項不會自動超時消失�。 2.在相對系統(tǒng)中禁止某個網(wǎng)絡接口做ARP解析(對抗ARP欺騙攻擊)�,可以做靜態(tài)ARP協(xié)議設置(因為對方不會響應ARP請求報文)如:arp-sXXX.XXX.XX.X08-00-20-a8-2e
