网纵论坛
标题: 详细解读ARP病毒的攻击与影响 [打印本页]
作者: pjm 时间: 2013-7-19 15:56
标题: 详细解读ARP病毒的攻击与影响
上网速度慢,或者网络内共享文件很慢
―――表现为利用网络抓包工具,抓到局域网中有大量ARP报文。
全网同样配置下,唯独某台电脑无法上网
―――表现为掉线后,重启电脑或者禁用网卡再启用就恢复正常,但一会又掉线
大面积同时掉线,或时通时断(即通常说的“卡”)
―――表现为某一片区域,某台网络设备下挂的所有PC出现上网不正常。
电脑挨个掉线,或时通时断(即通常说的“卡”)
―――表现为正在使用某一类应用程序的PC依次掉线。
总结:如果网络出现上述现象,多半网络就是中了ARP病毒。
什么是ARP病毒攻击?
ARP病毒是什么呢?ARP全名叫Address Resolution Protocol,地址解析协议。网络设备之间是通过ARP协议查找到彼此的IP地址和MAC地址对应关系,从而实现局域网内设备间的正常通信。
下图所示的IP地址和MAC地址对应表(简称ARP表),就是该PC机通过ARP协议生成的。当该PC机要和网关10.165.16.1通信时,就在这个表中找到网关的MAC地址,从而正确将报文发送出去。
ARP病毒攻击的核心也就是破坏网络设备的ARP表内容,使得设备无法查到IP对应的正确MAC地址,导致报文发送错误,网络通信瘫痪。通俗地理解,我们可把IP地址看成人名,MAC地址看成电话号码,那么ARP就是电话簿。如果电话簿上某人的电话号码错了,我们也就无法联系上他。
由于ARP病毒不同于其它病毒,它的攻击是基于基础网络协议的天然缺陷,所以ARP病毒攻击的防御不同于常见病毒,单靠传统杀毒软件和防火墙往往是头疼医头、脚疼医脚难以根除。而且,ARP病毒不仅攻击PC机,还可攻击路由器、核心交换机、接入交换机等各种网络设备,传播和危害范围很广。所以,仅靠单一设备、单一解决方案防御ARP病毒是不够的。
ARP病毒攻击都可能带来哪些危害?
一、所有PC机无法和网关通信----仿冒网关攻击
现象:全网同样配置下,唯独某台电脑无法上网。重启PC机后恢复正常,但过一段时间网络又瞬间瘫痪。查看每台PC机的ARP表,发现网关的MAC地址错误。正如下图所示,该PC机的ARP表中网关10.165.16.1的MAC地址已被修改另外一台PC机的地址,显然该PC机无法再同网关通信了,无法上网了。
原因:攻击者伪造
ARP报文,发送源IP地址为网关IP地址,源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机,使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。这样一来,主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。这样,如果某台PC机的ARP表被攻击者修改,它就无法正常上网了。
而且,攻击者还可能使用第三方
PC机的MAC作为伪造MAC。这样即使在被攻击者PC机上查到了伪造MAC地址,也很难定位哪台PC是真正的攻击者。 “仿冒网关”攻击示意图
通俗地理解:老总和三个员工(张三、李四、王五),每个人的电话簿都记录了其他人的号码。王五这次没升经理,心里不平衡,修改所有人电话簿中老总的电话号码,张三、李四等都无法向老总汇报工作。甚至,王五把张三电话簿中老总的号码修改为李四的,让张三还误认为是李四干的。造成公司内疑神疑鬼,员工不合,极大地影响了工作氛围。
二、所有PC机无法和网关通信----欺骗网关攻击
现象:网络中
PC逐台掉线,甚至全网内PC都无法上网。查看路由器ARP表项,发现很多错误地址。重启路由器后恢复正常,但过一段时间PC又开始掉线,导致很多用户怀疑是路由器故障。正如下图所示,网关路由器的ARP表中各台PC机的MAC地址已不正确,这些PC机无法再同网关通信,无法上网。
原因:攻击者伪造
ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给网关;使网关更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来,网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网。“欺骗网关”攻击示意图
通俗地理解:老总本来想带张三一起去国外考察,王五嫉妒张三,于是他修改了老总电话簿中张三的号码。老总联系不上张三,好机会就这样丢失了。甚至,王五修改了老总电话簿的全部号码,老总就一个员工也找不到了,公司业务一片混乱。
三、窃听通信隐私----“中间人”攻击
现象:某台PC上网突然掉线,一会又恢复了,但恢复后一直上网很慢。查看该PC机的ARP表,网关MAC地址已被修改,而且网关上该PC机的MAC也是伪造的。该PC机和网关之间的所有流量都中转到另外一台机子上了。同样,也会表现为局域网内PC机之间共享文件等正常通信非常慢。
原因: ARP “中间人”攻击,又称为ARP双向欺骗。如图1-4所示,如果有恶意攻击者(Host B)想探听Host A和Host C之间的通信,它可以分别给这两台主机发送伪造的ARP应答报文,使Host A和Host C用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后,Host A 和Host C之间看似“直接”的通信,实际上都是通过黑客所在的主机间接进行的,即Host B担当了“中间人”的角色,可以对信息进行了窃取和篡改。
ARP“中间人”攻击示意图
通俗地理解:王五想偷听张三和李四间的悄悄话,于是修改了张三和李四电话簿中的号码,他们之间的通话都先中转到王五这里了。
四、常有人掉线,网络还很慢----ARP报文泛洪攻击
现象:经常有人反馈上不了网,或网速很慢,查看ARP表项也都正确,但在网络中抓报文分析,发现大量ARP请求报文。(正常情况时,网络中ARP报文所占比例是很小的)
原因:恶意用户利用工具构造大量ARP报文发往交换机、路由器或某台PC机的某个端口,导致CPU忙于处理ARP协议,负担过重,造成设备其他功能不正常甚至瘫痪。
通俗地理解:李四为保障电话薄正确,会定时检查和刷新电话簿,王五就高频率地发送信息修改李四的电话簿,导致李四也只能不断刷新电话簿,而无暇再去推进其他工作了。
以上是ARP病毒的四种基本攻击类型,实际中ARP病毒还可变种为更多的攻击方式。例如,有的ARP病毒就专门在网吧中盗窃别人的QQ、网络游戏账号,使用的就是改进的仿冒网关攻击。但万变不离其宗,只要能够防御四种基本攻击方式,ARP病毒就无计可施了。
欢迎光临 网纵论坛 (http://v.netzone.com/) |
Powered by Discuz! X3.2 |