《浅谈企业网ARP病毒的危害及防治》由会员分享,可在线阅读,更多相关《浅谈企业网ARP病毒的危害及防治(6页珍藏版)》请在金锄头文库上搜索。
1、浅谈企业网浅谈企业网 ARPARP 病毒的危害及防治病毒的危害及防治(第四采油厂第四油矿)摘摘 要:要:局域网中感染 ARP 病毒的情况也越来越多。而且该病毒危害较大。病毒的防范措施。掌握其防范和清除方法十分必要。清除方法,浅谈 ARP 病毒的危害及防治。主题词:主题词:ARP 病毒,危害,防范措施,清除方法引 言随着网络技术的发展,局域网的使用日益广泛,局域网中感染 ARP 病毒的情况也越来越多,而且该病毒危害较大,清理和防范较难,给网络管理员和用户造成了诸多困扰。因此,了解 ARP 病毒,掌握其防范和清除方法十分必要。1 ARP 病毒的影响最近一段时期,在互联网中出现了一种以网络 ARP
2、协议为工作原理的病毒,它以破坏局域网的网络链接为目标,欺骗网关,阻断入网计算机,造成计算机无法连接网络或网络时断时续,此病毒一经产生便大规模地在网络中蔓延,造成了很大的影响。采油厂企业网属于大型局域网,它采用以太网的通信规则进行数据的交换和传输。在企业网的日常管理和安全维护中,我们发现了多起 ARP 病毒入侵网络的现象,它们常常使网络时断时续、主机 IP 地址冲突、网页连接错误,给员工日常的办公和油田生产数据的传输带来了较大的影响。因此,ARP 病毒的防治已成为采油厂企业网管理和维护的首要任务。 1.11.1 ARPARP 病毒的起源病毒的起源许多局域网出现网络运行不稳定,频繁断网、IE 浏览
3、器接连出错、IP 地址冲突等问题。国家计算机病毒应急处理中心通报一种新型“地址解析协议欺骗”(简称:ARP 欺骗)的恶意木马程序正在网络中传播。论文检测,清除方法。这是 ARP 病毒第一次公开出现在大众视线中,从此,ARP 病毒逐渐在校园网、部门网、企业网、社区网以及网吧等局域网中蔓延。1.2ARP1.2ARP 病毒的原理病毒的原理 ARP 病毒是利用局域网中 ARP 协议工作原理进行网络破坏的。ARP 协议是“Address Resolution Protocol” (地址解析协议)的缩写。每台交换机或安装有 TCP/IP 协议的电脑里都有一个 ARP 缓存表,表里的IP 地址与 MAC 地
4、址是一一对应的,如下表所示:Internet Address Physical Address Type10.64.192.12 00-06-29-38-cf-54 dynamic10.64.192.16 00-d0-b7-a8-26-38 dynamic10.64.192.29 00-17-08-5c-b0-a1 dynamic10.64.192.228 00-17-a4-44-74-19 dynamic 1.31.3 ARPARP 病毒的分类病毒的分类ARP 病毒在发展的过程中演化出了许多变种,经过研究,按照 ARP 病毒的原理主要可分为以下四类:类型一:发送 arp 数据包,伪装网段内其
5、他主机的 MAC 地址,使得被伪装的主机无法接入企业网。导致部分(被伪装)主机无法接入企业网。 类型二 :发送 arp 数据包,欺骗网关 MAC 地址,使得网段内所有主机访问企业网时访问病毒感染主机。导致同一网段内所有主机无法接入企业网。 类型三 :发送 arp 数据包,欺骗网关 MAC 地址为自身的 MAC,使得网段内所有主机访问企业网时通过病毒主机,同时病毒主机会转发 http 请求,但是会在 http 响应包中加入病毒网站地址。导致同一网段内所有主机访问正常 WEB 地址时,被定向到了病毒网站,如果此时这些主机系统有漏洞,会导致感染病毒,访问网站的同时,防病毒软件可能会报告发现病毒。 类
6、型四:对同一网段的指定 IP 地址发送 arp 数据包,进行欺骗,导致部分受影响的主机进行 http 访问时通过病毒主机,病毒主机会在 http 响应包中加入病毒网站地址。导致同一网段的部分主机在正常 http 访问时,会被指向到病毒网站,但是更改 IP 地址后,现象消失。 2 ARP 病毒的危害主机中了 ARP 病毒后,有些行为就不受用户的意愿控制了,会给用户本身和网络造成很大的危害。2.12.1 ARPARP 病毒对病毒对 PCPC 的危害的危害ARP 病毒会使 PC 出现网络异常、IP 冲突,打开网页速度慢甚至无法打开网页,或者打开网页时莫名的弹出广告窗口等。可能造成用户数据被窃取(如重
7、要资料、涉密文件等) 、个人隐私泄漏(如 MSN 聊天记录、邮件等)、账号被盗用(如 QQ 账号、网银账号等)等恶性事件;也可能造成请求数据被篡改(如访问的网页被添加了恶意内容,俗称“挂马”)和用户主机遭非法控制(如某些文件打不开、某些网络应用程序用不了)等情况。2.22.2 ARPARP 病毒对网络的危害病毒对网络的危害先说 ARP 攻击病毒,只要局域网内有一台主机中了该病毒,它就会不断地在全网内发送虚假的 ARP 请求包和应答包,造成网络拥堵,全网主机无法正常通信。其次 ARP 欺骗病毒,无论是四种欺骗方式的哪种,都会造成网络组织和秩序的混乱。论文检测,清除方法。冒充主机欺骗主机与冒充主机
8、欺骗网关会使得被冒充的主机(真主机)无法收到其他设备的数据,冒充网关欺骗主机会使得全网主机都把数据发送给冒充网关(假网关) ,而无法正常向外发送数据(即无法上网) 。3 ARP 病毒的防范措施ARP 病毒的危害很大,防范 ARP 病毒,要从两方面入手,一是接入设备,二是用户主机。3.13.1 接入设备层的防范措施接入设备层的防范措施在对我厂企业网 ARP 病毒的研究中发现,ARP 病毒一般是通过计算机用户浏览带毒网页、下载带毒文件、打开带毒存储设备等方式感染和传播。所以,预防感染 ARP 病毒的关键就是要强化计算机用户的网络安全意识,尽量不要打开陌生的链接,不要下载未知的文件,使用 U 盘、移
9、动硬盘等存储设备时要先进行查毒。3.23.2 用户主机层的防范措施用户主机层的防范措施对于企业网内可能受到中 ARP 病毒计算机影响的主机可以采用以下两种方法防护:3.2.13.2.1 主机主机 MACMAC 地址绑定地址绑定我厂网络地址为静态 IP 地址,为避免中毒计算机发送错误 MAC 地址,可以将目的主机的 IP 地址和 MAC 地址进行绑定。具体操作为:在“命令提示符”下输入“arp s 10.64.192.100(目的主机IP 地址) 00-17-a7-44-74-a7(目的主机 MAC 地址) ”3.2.23.2.2 交换机交换机 MACMAC 地址绑定地址绑定在交换机上进行网关和
10、重要服务器的 IP、MAC 地址绑定,但是如果以后网关或服务器发生变更,将会造成潜在的隐患。3.33.3 安装杀毒软件和防火墙安装杀毒软件和防火墙网络上病毒很多,用户上网,安装杀毒软件和防火墙是十分必要的。常用的具有防 ARP 病毒的杀毒软件有瑞星、金山等。而且防火墙在防 ARP 病毒过程中也可以起到至关重要的作用,能有效地阻挡其攻击和欺骗,日常比较熟悉的有 ARP 防火墙、360 防火墙、AntiARP 等。注意在安装了杀毒软件和防火墙后,要及时更新。3.43.4 养成良好的上网习惯养成良好的上网习惯用户上网时,要提高安全意识,并且养成良好的上网习惯,不打开来历不明的邮件,不浏览不健康的网页
11、;特别是克服好奇心理,对那种弹出来的诱人窗口或链接, (如:恭喜你中了一等奖,发送你的银行卡号码领钱)一般都是带有欺骗类或控制类病毒,千万不要打开。4 ARP 病毒的清除方法ARP 病毒没有明显的特征字,对于一般的杀毒软件来说是很难查杀的。ARP病毒的查杀首先要对局域网内的 ARP 中毒机进行定位,然后再进行清除。4.14.1 ARPARP 病毒机的定位病毒机的定位在 ARP 病毒感染的网络中,通常进行 ARP 欺骗的主机无异常现象,隐蔽性很强,不易被发现,所以在企业网 ARP 病毒的查杀过程中,如何迅速、准确地定位中毒机器是关键。经过对 ARP 病毒欺骗原理的仔细研究并结合我厂企业网实际情况
12、反复试验,现总结出以下几种可以应用在我厂企业网的定位中毒计算机办法:(1)通过访问核心交换机分析定位。从核心交换机读取全厂企业网所有主机的 ARP 缓存表,然后根据 ARP 病毒工作原理,找出具有不同 IP 地址,相同MAC 地址的所有主机,此相同的 MAC 即为进行 ARP 欺骗的中毒计算机的真实 MAC地址,接下来根据已备份全厂计算机的正确 IP-MAC 地址表,即可迅速定位中毒主机。 (2)对受病毒影响的主机进行分析,从中提取证据定位中毒主机。具体操作是:在受 ARP 病毒欺骗的计算机上,点击“开始”“运行”敲入“command”命令弹出 DOS 窗口敲入命令“arp -a” (显示本机
13、 arp 缓存表) ,根据显示的 arp 表可以分析并发现中毒计算机的 IP 地址,完成中毒主机的定位。 (3)利用 Sniffer 软件侦听网络中的 ARP 数据包,分析并定位中毒主机。如果 ARP 欺骗病毒在进行部分网段或整个网段欺骗,那么发送的 ARP 数据包必定为广播包,所以可以在受影响的主机上安装 Sniffer 软件进行侦听,便可发现 ARP 欺骗源。4.24.2ARPARP 病毒的查杀病毒的查杀 定位企业网中发送 ARP 欺骗的主机后,就应该立即将该计算机从网络中断掉,减少病毒对网络的危害。而后,对中毒计算机进行病毒的查杀。目前,我厂对 ARP 病毒的查杀主要有以下几种方式:(1
14、)利用 Symantec Antivirus 防病毒软件查杀。Symantec Antivirus 是中石油统一布置的企业网防病毒软件,是股份公司内控要求的入网计算机必须安装的软件。据我厂 ARP 病毒查杀记录统计表明,经过及时更新病毒库的Symantec 软件可以发现 85%的 ARP 病毒,可以杀掉 70%的 ARP 病毒。(2)采用安全卫士 360 查杀。安全卫士 360 一款免费的病毒查杀、插件清理、补丁检测软件,它可以对系统的进程、服务和启动项等病毒经常入侵的系统项目进行管理,可以利用安全卫士 360 对 ARP 病毒直接查杀或配合 Symantec Antivirus 防病毒软件使
15、用。 (3)下载专杀工具查杀。对于不同种类的 ARP 病毒,各大防病毒软件公司通常会及时发布相应的专杀工具,用户可以在网上下载后杀毒。目前使用较多的为 Antiarp 安全软件、趋势 ARP 病毒专杀等。4.34.3 软件清除软件清除在确定了病毒机之后,断开其网络,再用专门的 ARP 病毒清除软件(ARP 专杀、anti-ARP 等)进行查杀,之后重启机器即可。论文检测,清除方法。随着计算机技术的发展,ARP 病毒也在不断变异中,甚至嵌入其它病毒,给局域网安全带来新的挑战。网络的安全需要广大网络用户和管理员共同努力,密切配合,提高警惕,加强安全意识,营造良好的上网环境,减少 ARP 病毒对网络的影响。参考文献1Tanenbaum,AS 著,潘爱民译计算机网络(第 4 版)M北京: 清华大学出版社,2004;2李俊民,郭丽艳网络安全与黑客攻防宝典M北京:电子工业出版社,2010;3王文寿,王珂网管员必备宝典网络安全M北京:清华大学出版社,2007;4宋志一种基于 PVLAN 的反 ARP 欺骗的技术实现方法J计算机安全,2007,(10);
