浅谈如何防治ARP病毒
近期,现一种新的“ARP欺骗”木马病毒在互联网上迅速扩散.主要表现为用户频繁断网、IE浏览器频繁出错以及一些常用软件出现故障等问题。Arp病毒在局域网中感染较多,清理和防范都比较困难,给不少的网络管理员造成了很多的困扰。
一ARPSpoofing攻击原理分析
在局域网中,通过ARP议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞或者实现“mailinthemiddle”进行ARP重定向和嗅探攻击。用伪造源MAC地址发送ARP响应包,对ARP高速缓存机制的攻击。每个主机都用一个ARP高速缓存存放最近IP地址到MAC硬件地址之间的映射记录。MSWindows高速缓存中的每一条记录(条目)的生存时间一般为6O秒,起始时间从被创建时开始算起。默认情况下,ARP从缓存中读取IP—MAC条目,缓存中的IP.MAC条目是根据ARP响应包动态变化的。因此,只要网络上有ARP响应包发送到本机,即会更新ARP高速缓存中的IP.MAC条目。攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IPMAC条目,造成网络中断或中间人攻击。ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是l92.168.10.3(C的IP地址).MAC地址是DD.DD—DD.DD.DD。DD(C的MAC地址本来应该是CC.CC—CC.CC.CC.CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A可不知道被伪造了)。当攻击源大量向局域网中发送虚假的ARP信息后,就会造成局域网中的机器ARP缓存的崩溃。
二、ARP病毒分析
当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器』:网现在转由通过病毒主机上网.切换的时候用户会断一次线。切换到病毒主机上网后,如果用户已经登陆了某网银或网络信箱等服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录服务器,这样病毒主机就可以盗号了。由于ARP欺骗的木马程宁发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MACNew地址都一致为病毒主机的MAC地址),同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。如果是在路由器的“系统历史记录”中看到大量MACOld地址都一致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时,主机在路由器上恢复其真实的MAC地址)。
三、定位ARP攻击源头和防御方法
1.定位ARP攻击源头主动定位方式:
因为所有的ARP攻击源都会有其特征一.网卡会处于混杂模式.可以通过ARPKilIer这样的T具扫描网内有哪台机器的网卡是处于混杂模式的,从而判断这台机器有可能就是“元凶”。定位好机器后,再做病毒信息收集,提交给趋势科技做分析处理。标注:网卡可以置于一种模式叫混杂模式(promiscuous),在这种模式下工作的网卡能够收到一切通过它的数据,而不管实际上数据的目的地址是不是它。这实际就是SnifferT作的基本原理:让网卡接收一切它所能接收的数据。被动定位方式:在局域网发生ARP攻击时,查看交换机的动态ARP表中的内容,确定攻击源的MAC地址;也可以在局域居于网中部署SnifferT具,定位ARP攻击源的MAC。也可以直接Ping网关IP,完成Ping后,用ARP.a查看网关IP对应的MAC地址.此MAC地址应该为欺骗的MAC。使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址.如果有“ARP攻击”在做怪,可以找到装有ARP攻击的PC的IP、机器名和MAC地址。命令:“nbtscan—rl92168.16.0/24”(搜索整个l92.168.16.0/24网段,即l92.168.16.1一l92.168.16.254);或“nbtscanl92.168.16.25.137”搜索192.168.16.25—137网段,即192.168.16.25.192.168.16.137。输出结果第一列是IP地址,最后一列是MAC地址。通过上述方法,我们就能够快速的找到病毒源,确认其MAC..)机器名和IP地址。
2.防御方法
a.使用可防御ARP攻击的层交换机,绑定端口.MAC.IP,限制ARP流量,及时发现并自动阻断ARP攻击端口,合理划分VLAN,彻底阻止盗用IP、MAC地址.杜绝ARP的攻击。
b.对于经常爆发病毒的网络,进行Internet访问控制,限制用户对网络的访问。此类ARP攻击程序一般都是从Intemet下载到用户终端.如果能够加强用户上网的访问控制,就能极大的减少该问题的发生。
c.在发生ARP攻击时.及时找到病毒攻击源头,并收集病毒信息,可以使用趋势科技的SIC2.0,同时收集可疑的病毒样本文件,一起提交到趋势科技的TrendLabs进行分析,TrendLabs将以最快的速度提供病毒码文件,从而可以进行ARP病毒的防御。
四、针对未感染病毒。而受到影响的计算机解决方法:
l、Windows用户可通过在命令行方式(开始“.”程序“.”附件“菜单下调出”命令提示符“)下执行”arps网关IP网关MAC地址“命令来减轻中毒计算机对本机的影响。网关IP和MAC地址可在网络工作正常时通过命令行方式下的“arp.a'’命令来得到。
2、使用AntiARPSniffer软件保护本地计算机正常运行。输入网关地址(网关地址获取方式:[开始]..>[程序]..>[附件]菜单下调出“命令提示符”,输入ipeonfig,其中DefaultGateway即为网关地址);点击获取网关MAC地址,点击自动防护保证当前网卡与网关的通信不被第三方监听。点击恢复默认,然后点击防止地址冲突,如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数右击[我的电脑】..>[管理】.一>点击[事件查看器】..>点击[系统】一一>查看来源为fTcpIP]...>双击事件可以看到显示地址发生冲突,并记录了该MAC地址,请复制该MAC地址并填入AntiARPSniffer的本地MAC地址输入框中(请注意将:转换为.),输入完成之后点击瞄护地址冲突].为了使MAC地址生效请禁用本地网卡然后再启用网卡,在CMD命令行中输入Ipconfig/all,查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符,如果成功将不再会显示地址冲突。
分享到:
相关推荐
ARP病毒感染通常发生在局域网环境中,通过篡改ARP缓存来实施中间人攻击,导致数据包被恶意截取或篡改。这种病毒通常难以检测,因为它们能够绕过传统的防火墙和安全措施。 "arp病毒检测工具"是一种专门设计用于检测...
### ARP病毒处理方法详解 ARP病毒,一种在网络中利用ARP协议进行欺骗的恶意软件,虽然不具有自我复制的能力,但其通过向网络中发送伪造的ARP数据包,能够造成网络性能下降,甚至导致网络中断,严重影响用户体验和...
华为交换机排查 ARP 病毒命令及操作 华为交换机排查 ARP 病毒命令及操作是指在华为交换机上检查和排除 ARP 病毒的命令和操作过程。ARP 病毒是一种网络病毒,它可以使网络中的设备无法正常工作,导致网络流量减慢...
ARP病毒,也被称为ARP欺骗病毒,是利用ARP协议漏洞的一种恶意软件,它能篡改网络中的ARP缓存,导致数据包被错误地发送到攻击者指定的设备,从而实现数据窃取、网络中断或进一步的恶意操作。 ARP病毒的传播方式通常...
ARP(Address Resolution Protocol)病毒是一种网络层的恶意软件,它利用了ARP协议的缺陷来实施攻击。ARP协议是TCP/IP协议栈的一部分,主要用于将IP地址转换为物理MAC地址,以便在局域网(LAN)中进行数据传输。当...
ARP病毒是一种利用ARP协议漏洞进行攻击的恶意软件,它能够篡改ARP缓存,导致网络通信中断或者数据被窃取。这种病毒常出现在企业网络或家庭网络中,对网络安全构成严重威胁。 ARP_TSC(可能是“ARP Traffic Secure ...
ARP病毒主机的查找方法 一、查网络设备。用telnet或超级终端进入核心交换机或路由器
然而,ARP病毒是利用ARP协议的缺陷进行攻击的一种恶意软件,它通常会篡改ARP缓存,导致数据包被错误地发送到攻击者,从而对网络安全构成威胁。 在局域网环境中,ARP病毒可能导致网络连接不稳定、数据包丢失、甚至...
《H3C ARP病毒攻击防御宝典》是一本专注于网络安全领域的专业文献,主要针对H3C设备和ARP病毒攻击的防御策略进行深入讲解。ARP(Address Resolution Protocol,地址解析协议)是TCP/IP协议栈中的一个重要组件,用于...
标题中的“ARP病毒免疫器 批处理预防arp”指的是通过批处理脚本来防范ARP病毒的一种技术。ARP(Address Resolution Protocol)是地址解析协议,用于在局域网中将IP地址映射为MAC地址。ARP病毒通常利用ARP协议的缺陷...
arp病毒一直是网管最头疼的事情,一旦局域网内一台计算机中毒,导致广播报文泛滥,直接使局域网掉线甚至中断,本软件经的起事实考验,是解决arp病毒的利器。本人多次实践推崇这款。
趋势科技ARP病毒专杀工具2008.03.04
ARP病毒专杀工具TSC是一款专门针对网络中的ARP病毒设计的高效清除软件。ARP(Address Resolution Protocol,地址解析协议)是TCP/IP协议栈中的一个重要组件,用于将IP地址转换为MAC地址,以便在网络中进行数据传输。...
原理:无论何种ARP病毒变种,行为方式有两种,一是 ... 第一招:使用Sniffer抓包 在网络内任意一台主机上运行抓包软件,捕获所有到达本机的数据包。如果发现有某个IP不断发送请求包,那么这台电脑一般就是病毒源。...
局域网ARP病毒查看工具是一种专门用于检测和防范局域网内ARP病毒的软件。ARP,全称为Address Resolution Protocol(地址解析协议),是TCP/IP协议栈中的一个重要组件,主要用于将网络层的IP地址转换为数据链路层的...
ARP病毒查杀是网络安全领域中的一个重要话题,尤其在局域网环境下。ARP(Address Resolution Protocol,地址解析协议)是TCP/IP协议栈中的一个关键组件,它用于将IP地址转换为MAC地址,以便于数据在网络中正确传输。...
标题中的"(ARP病毒专杀工具)TSC.rar"指出这是一个专门设计用来清除ARP病毒的工具。ARP,全称为地址解析协议(Address Resolution Protocol),是TCP/IP协议栈中的一个重要组件,负责将IP地址转换为物理(MAC)地址,...
高手告诉你如何清除ARP病毒 高手告诉你如何清除ARP病毒
然而,ARP病毒利用了ARP协议的特性,对网络设备进行欺骗攻击,导致数据包被拦截或篡改,严重威胁网络安全。 ARP病毒入侵原理主要包括以下步骤: 1. **欺骗攻击**:ARP病毒会发送伪造的ARP响应,将自身的MAC地址绑定...