一.ARP病毒:
ARP病毒並不是某一種病毒的名稱,而是對利用ARP協議的漏洞進行傳播的一類病毒的總稱。ARP協議是TCP/IP協議組的一個協議,用於進行把網絡地址翻譯成物理地址(又稱MAC地址)。通常此類***的手段有兩種:路由欺騙和網關欺騙。是一種***電腦的***病毒。對電腦用戶私密信息的威脅很大。
二.ARP病毒成因:
主要原因是在局域網中有人使用了ARP欺騙的***程序,比如一些盜號的軟件或者使用了類似於P2P終結者的流量管理軟件!
1. ARP協議
ARP協議是“Address Resolution Protocol”(地址解析協議)的縮寫。在局域網中,網絡中實際傳輸的是“幀”,幀裏面是有目標主機的MAC地址的。在以太網中,一個主機要和另一個主機進行直接通信,必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢?它就是通過地址解析協議獲得的。所謂“地址解析”就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP地址,查詢目標設備的MAC地址,以保證通信的順利進行。
2. ARP協議通信過程
在每檯安裝有TCP/IP協議的電腦裏都有一個ARP緩存表,表裏的IP地址與MAC地址是一一對應的,如附表所示。
我們以主機A(192.168.1.5)向主機B(192.168.1.1)發送數據爲例。當發送數據時,主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了,也就知道了目標MAC地址,直接把目標MAC地址寫入幀裏面發送就可以了;如果在ARP緩存表中沒有找到相對應的IP地址,主機A就會在網絡上發送一個廣播,目標MAC地址是“FF.FF.FF.FF.FF.FF”,這表示向同一網段內的所有主機發出這樣的詢問:“192.168.1.1的MAC地址是什麼?”網絡上其他主機並不響應ARP詢問,只有主機B接收到這個幀時,才向主機A做出這樣的迴應:“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。這樣,主機A就知道了主機B的MAC地址,它就可以向主機B發送信息了。同時它還更新了自己的ARP緩存表,下次再向主機B發送信息時,直接從ARP緩存表裏查找就可以了。ARP緩存表採用了老化機制,在一段時間內如果表中的某一行沒有使用,就會被刪除,這樣可以大大減少ARP緩存表的長度,加快查詢速度。
ARP***通過僞造IP地址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量使網絡阻塞,***者只要持續不斷的發出僞造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目,造成網絡中斷或中間人***。
三.故障現象
例如360ARP 捕獲到ARP ***,記錄如下!
2008-09-21 13:35:04 網關欺騙: 192.168.152.43 00-1D-7D-5A-00-24 PC-200807191119 1
2008-09-21 14:02:10 網關欺騙: 192.168.152.63 00-93-45-40-2E-83 PC-200808311705 1
2008-09-21 14:08:40 網關欺騙: 192.168.152.43 00-1D-7D-5A-00-24 PC-200807191119 2759
2008-09-21 14:08:40 網關欺騙: 192.168.152.63 00-93-45-40-2E-83 PC-200808311705 41
2008-09-21 14:32:48 網關欺騙: 192.168.152.43 00-1D-7D-5A-00-24 A-96B4910D911A4 291
2008-09-21 14:32:48 網關欺騙: 192.168.152.63 00-93-45-40-2E-83 PC-200808311705 3
2008-09-21 14:54:54 網關欺騙: 192.168.152.43 00-1D-7D-5A-00-24 A-96B4910D911A4 207
由於ARP欺騙的***發作的時候會發出大量的數據包導致局域網通訊擁塞,用戶會感覺上網速度越來越慢。
病毒主機一開機上網就不斷髮Arp欺騙報文,即以假冒的網卡物理地址向同一子網的其它機器發送Arp報文,甚至假冒該子網網關物理地址矇騙其它機器,使網內其它機器改經該病毒主機上網,使得網內機器無法上網。
四.一般解決方法
1.徹底檢查本電腦ARP病毒
2.在360ARP防火牆中的攔截歷史,查看一下是內網的哪一臺電腦,讓那電腦主人殺 一下病毒(中病毒一般不會只有一臺或兩臺),或者使用抓包軟件,查看網內哪些主機在發大量ARP包,並對這些主機進行控制
3.使用arp -s,在本機上綁定網關IP和ARP映射。
4.使用專業的ARP殺毒工具,例如趨勢公司NVW,可以有效的控制局域網內ARP病毒。
趨勢科技 Network VirusWallTM 網絡防毒牆是一項病毒疫情防制的硬設備,可協
助貴公司企業防制 Internet 蠕蟲之類的網絡病毒,在爆發病毒疫情時隔絕高危險的
網絡脆弱環節,在網絡層部署由趨勢科技提供的安全防制策略,並能在缺乏防毒保護
的裝置等潛在感染源連接網絡時,予以隔離和清除。不同於只監測安全威脅或提供信
息的安全解決方案,Network VirusWall 網絡防毒牆協助企業採取準確、快速的安全
措施,並且主動偵測、預防圍堵與進行善後清理。當企業在 LAN 局域網絡區段部署
Network VirusWall 網絡防毒牆之後,即可大幅降低安全威脅、網絡停機時間與疫情
管理的負擔。Network VirusWall 網絡防毒牆支持趨勢科技的 「企業安全防護策略(EnterpriseProtection Strategy),並且可以透過 TMCM (Trend Micro Control
Manager) 來管理。
下面是趨勢NVW配置ARP防護的界面:
NVW通過在局域網內所有PC上強制安裝一個PEAGENT,通過PEagent實時監測主機,如果發現主機有ARP病毒的行爲特徵,就對此主機進行控制,以此來保護內網其他主機。