《arp缓存更新的机制》由会员分享,可在线阅读,更多相关《arp缓存更新的机制(9页珍藏版)》请在金锄头文库上搜索。
1、 趋势科技(中国)技术支持中心 仅供内部及授权客户或合作伙伴参考第 1 页预防和处理 ARP 攻击病毒1 前言:病毒原理和行为说明 .22 预防在先,重要的规避措施 .43 第一步,监控攻击行为和源头 .42.1. 第三方 IDS 或者有 IDS 功能的防火墙 .42.2. 第三方工具 .42.3. 趋势 OfficeScan 客户端防火墙 .74 第二步,恢复网络 .75 第三步,分析并提取 ARP 攻击源可疑样本 .7此文档的位置:http:/ 800-820-8839 未开通 800 服务地区的用户请拨打( 021-61006656)趋势科技技术支持中心2006-08-20 趋势科技(中
2、国)技术支持中心 仅供内部及授权客户或合作伙伴参考第 2 页1 前言:病毒原理和行为说明此类病毒利用的是 ARP Spoofing 攻击原理。在局域网中,是通过 ARP 协议来完成 IP地址转换为第二层物理地址(即 MAC 地址)的。ARP 协议对网络安全具有重要的意义。通过伪造 IP 地址和 MAC 地址实现 ARP 欺骗,能够在网络中产生大量的 ARP 通信量使网络阻塞或者实现“man in the middle” 进行 ARP 重定向和嗅探攻击。用伪造源 MAC 地址发送 ARP 响应包,对 ARP 高速缓存机制的攻击。每个主机都用一个 ARP 高速缓存存放最近 IP 地址到 MAC 硬
3、件地址之间的映射记录。MS Windows 高速缓存中的每一条记录(条目)的生存时间一般为 60 秒,起始时间从被创建时开始算起。默认情况下,ARP 从缓存中读取 IP-MAC 条目,缓存中的 IP-MAC 条目是根据 ARP响应包动态变化的。因此,只要网络上有 ARP 响应包发送到本机,即会更新 ARP 高速缓存中的 IP-MAC 条目。攻击者只要持续不断的发出伪造的 ARP 响应包就能更改目标主机 ARP 缓存中的 IP-MAC 条目,造成网络中断或中间人攻击。ARP 协议并不只在发送了 ARP 请求才接收 ARP 应答。当计算机接收到 ARP 应答数据包的时候,就会对本地的 ARP 缓存
4、进行更新,将应答中的 IP 和 MAC 地址存储在 ARP 缓存中。因此,B 向 A 发送一个自己伪造的 ARP 应答,而这个应答中的数据为发送方 IP 地址是 192.168.10.3(C 的 IP 地址) ,MAC 地址是 DD-DD-DD-DD-DD-DD(C 的 MAC 地址本来应该是 CC-CC-CC-CC-CC-CC,这里被伪造了) 。当 A 接收到 B 伪造的 ARP 应答,就会更新本地的 ARP 缓存(A 可不知道被伪造了) 。当攻击源大量向局域网中发送虚假的 ARP 信息后,就会造成局域网中的机器 ARP 缓存的崩溃。Switch 上同样维护着一个动态的 MAC 缓存,它一般
5、是这样,首先,交换机内部有一个对应的列表,交换机的端口对应 MAC 地址表 Port n Mac 记录着每一个端口下面存在 趋势科技(中国)技术支持中心 仅供内部及授权客户或合作伙伴参考第 3 页那些 MAC 地址,这个表开始是空的,交换机从来往数据帧中学习。因为 MAC-PORT 缓存表是动态更新的,那么让整个 Switch 的端口表都改变,对 Switch 进行 MAC 地址欺骗的Flood,不断发送大量假 MAC 地址的数据包,Switch 就更新 MAC-PORT 缓存,如果能通过这样的办法把以前正常的 MAC 和 Port 对应的关系破坏了,那么 Switch 就会进行泛洪发送给每一
6、个端口,让 Switch 基本变成一个 HUB,向所有的端口发送数据包,要进行嗅探攻击的目的一样能够达到。也将造成 Switch MAC-PORT 缓存的崩溃,如下下面交换机中日志所示:Internet 172.20.156.1 0 000b.cd85.a193 ARPA Vlan256Internet 172.20.156.5 0 000b.cd85.a193 ARPA Vlan256Internet 172.20.156.254 0 000b.cd85.a193 ARPA Vlan256Internet 172.20.156.53 0 000b.cd85.a193 ARPA Vlan256
7、Internet 172.20.156.33 0 000b.cd85.a193 ARPA Vlan256Internet 172.20.156.13 0 000b.cd85.a193 ARPA Vlan256Internet 172.20.156.15 0 000b.cd85.a193 ARPA Vlan256Internet 172.20.156.14 0 000b.cd85.a193 ARPA Vlan256当局域网内某台主机运行 ARP 欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用
8、户会断一次线。切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。由于 ARP 欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当 ARP 欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。在路由器的“系统历史记录”中看到大量如下的信息:MAC Chged 10.128.103.124MAC Old 00:01:6c:36:d1:7fMAC New 00:05:5d:60:c7:18这个消息代表了用户的 MA
9、C 地址发生了变化,在 ARP 欺骗木马开始运行的时候,局域网所有主机的 MAC 地址更新为病毒主机的 MAC 地址(即所有信息的 MAC New 地址都一致为病毒主机的 MAC 地址) ,同时在路由器的“用户统计”中看到所有用户的 MAC 地址信息都一样。如果是在路由器的“系统历史记录”中看到大量 MAC Old 地址都一致,则说明局域网 趋势科技(中国)技术支持中心 仅供内部及授权客户或合作伙伴参考第 4 页内曾经出现过 ARP 欺骗(ARP 欺骗的木马程序停止运行时,主机在路由器上恢复其真实的 MAC 地址) 。2 预防在先,重要的规避措施建议用户在可实施的情况根据以下的建议,对网络环境
10、进行重新配置,以避免 ARP 攻击在网络环境中发生。a) 不要把你的网络安全信任关系建立在 IP 基础上或 MAC 基础上,(rarp 同样存在欺骗的问题),理想的关系应该建立在 IP+MAC 基础上。 b) 设置静态的 MACIP 对应表,不要让主机刷新你设定好的转换表。c) 除非很有必要,否则停止使用 ARP,将 ARP 做为永久条目保存在对应表中。d) 使用 ARP 服务器。通过该服务器查找自己的 ARP 转换表来响应其他机器的 ARP 广播。确保这台 ARP 服务器不被黑。e) 使用proxy代理 IP 的传输。f) 使用硬件屏蔽主机。设置好你的路由,确保 IP 地址能到达合法的路径。
11、(静态配置路由ARP 条目),注意,使用交换集线器和网桥无法阻止 ARP 欺骗。g) 管理员定期用响应的 IP 包中获得一个 rarp 请求,然后检查 ARP 响应的真实性。h) 管理员定期轮询,检查主机上的 ARP 缓存。 3 第一步,监控攻击行为和源头当然,不是所有的网络里面都可以有效的规避此类病毒行为的发作,这个时候可以建立相应的预警机制,使管理员在第一时间发现此类攻击行为,并得知攻击源。有多种工具和方式,以下几种方法罗列供参考,可视自己的网络设备条件酌情使用。2.1. 第三方 IDS 或者有 IDS 功能的防火墙打开 IDS 或者防火墙关于检测 ARP 欺骗(Spoofing )攻击的
12、设置,并设置触发措施来通知到管理员,从而在第一时间得知 ARP 欺骗攻击,并得知攻击源的 Mac 地址。详细方法请参考相关的 IDS 和防火墙的说明或者技术支持2.2. 第三方工具使用 AntiArpSniffer 定位 ARP 攻击源。在你的网络里面,找一台机器运行此工具,并定期来监控此工具的检测情况。工具下载地址:http:/ 趋势科技(中国)技术支持中心 仅供内部及授权客户或合作伙伴参考第 5 页a) 功能简介:帮助侦测定位网络中 Arp 攻击的来源,并保证遭受 Arp 攻击的网络中的主机在执行该工具的自动保护功能后能正常的与网关通信b) 使用说明:防御 ARP 欺骗 开启 Anti ARP Sniffer,输入网关 IP 地址,点击枚取 MAC如你网关填写正确将会显示出网关的 MAC 地址。 趋势科技(中国)技术支持中心 仅供内部及授权客户或合作伙伴参考第 6 页 点击 自动保护 即可保护当前网卡与网关的正常通信。追踪 ARP 攻击者:当局域网内有人试图与本机进行 ARP 欺骗,其数据会被 Anti ARP Sniffer 记录。在欺骗数据详细记录表中选择需要追踪的行,然后点击追捕欺骗机,就能查找到攻击源。1点击相应的记
