局域网中ARP病毒的防御和清除(一)
7月5日,国内较大的计算机反病毒软件供应商江民科技发布了2007年上半年十大病毒排行及病毒
疫情报告。据统计,从2007年1月1日到2007年6月 30日,一种主要是针对局域网用户,通过伪造的ARP
数据包,严重干扰网络的正常运行的ARP病毒,已经仅次于位居第三的“威金”系列病毒(较出名的当
属 “熊猫烧香”),在排行榜中名列第四。病毒疫情报告还显示,我国计算机病毒疫情主要呈现的四
大特征之一的ARP病毒所使用的欺骗技术,正在被越来越多的病毒所使用,成为局域网安全的新杀手,
是病毒未来发展的新趋势。
ARP全称为Address Resolution Protocol,地址解析协议。ARP病毒是一种新型的“ ARP 欺骗”
木马病毒,病毒主机通过伪造的IP地址和MAC地址,向目标主机发出伪造的ARP响应包,从而更改了目
标主机ARP缓存中的IP-MAC条目,欺骗目标主机对本地的ARP缓存进行更新,将应答中的IP和MAC地址存
储在ARP缓存中实现对目标主机的ARP欺骗。当局域网内有病毒主机在运行ARP欺骗的木马程序时,就会
欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机,这势必造成局域网内大面积
的网络中断或中间人攻击(也称会话劫持),具体表现为客户端状态频频变红、用户频繁断网、IE 浏
览器频繁出错以及一些常用软件出现故障等问题,更有甚者,局域网的所有用户原来直接通过路由器
上网,现在转由通过病毒主机上网,切换的时候用户会断一次线。当病毒主机上网后,如果用户已经
登陆了传奇等游戏服务器或者其他需要输入个人私密资料的重要网页,那么病毒主机就会经常伪造断
线的假像,当用户就得重新登录服务器后,病毒主机就可以盗号了,从而给用户带来极大的损失,ARP
病毒的危害之大由此可见一斑了。
一 、ARP病毒电脑的定位
检测ARP中毒电脑的几种常用方法有:
1. 命令行法
我们只要在受影响的电脑中查询一下当前网关的MAC地址,就知道中毒电脑的MAC地址了,在cmd(Wind
ows98中输入“command”)命令提示行下输入查询命令为arp -a。
这时,由于这个电脑的ARP表是错误的记录,因此,该MAC地址不是真正网关的MAC地址,而是中毒电脑
的MAC地址!这时,再根据网络正常时,全网的 IP―MAC地址对照表,查找中毒电脑的IP地址就可以了
。由此可见,在网络正常的时候,保存一个全网电脑的IP―MAC地址对照表是多么的重要。建议下载使
用NBTSCAN 工具扫描全网段的IP地址和MAC地址,保存下来,以备后用。
但是如果情形和我们校园网一样,没有对IP地址和MAC地址进行绑订,甚至MAC地址也没有记录,现在
就算知道了IP地址,也无法找到病毒主机。临时处理对策:在能上网时,进入MS-DOS窗口,输入命令
:arp Ca
查看网关IP对应的正确MAC地址,将其记录下来;如果已经不能上网,则先运行一次命令arp Cd将arp
缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉
(禁用网卡或拔掉网线),再运行arp Ca。
2. 工具软件法
网上有很多ARP病毒定位工具,如CISCO515E,其中做得较好的是ARP防火墙。打开ARP防火墙,输入网
关IP地址后,再点击红色框内的“枚举 MAC”按钮,即可获得正确网关的MAC地址,接着点击“自动保
护”按钮,即可保护当前网卡与网关的正常通信。当局域网中存在ARP欺骗时,该数据包会被 Anti
ARP Sniffer记录,该软件会以气泡的形式报警。这时,我们再根据欺骗机的MAC地址,对比查找全网
的IP-MAC地址对照表,即可快速定位出中毒电脑。
3. Sniffer 抓包嗅探法
当局域网中有ARP病毒欺骗时,往往伴随着大量的ARP欺骗广播数据包,这时,流量检测机制应该能够
很好的检测出网络的异常举动,此时Ethereal 这样的抓包工具就能派上用场。从图中的红色框内的信
息可以看出,192.168.0.XXX 这台电脑正向全网发送大量的ARP广播包,一般的讲,局域网中有电脑发
送ARP广播包的情况是存在的,但是如果不停的大量发送,就很可疑了。而这台192.168.0.XXX 电脑正
是一个ARP中毒电脑。
此外,在Win XP的Support Tools有一个Netcap工具(netcap.exe),它和Netmon.exe一样也能够捕获
网络信息。但只可以看到连接数,却不能看到连接机器名及IP。而Win2000/2003中的网络监视器就可
以抓取网络中的数据包,先查出发送arp数据的电脑的IP(可能是假的)及MAC地址,然后找对应的机器就
很容易找到中毒的机器了。
4.IP地址冲突法
运行 tracert Cd www.baidu.com 找出作崇的主机IP地址;设置与作崇主机相同的IP,然后造成IP
地址冲突,使中毒主机报警然后找到这个主机。
二、ARP病毒的防御和清除
1. 应急处理
客户机中毒后,可先保证网络正常运行,方法有:
●在中毒客户端主机运行 arp -d ,清除arp列表,可暂时恢复该主机正常网络通讯。
●在中毒客户端主机进行针对网关的静态IP-MAC地址绑定,命令arp -s 网关ip 网关mac,为避免计算
机重启后记录失效,可编写一个批处理文件rarp1.bat,内容如下:
@echo off
arp -d
arp -s 您自己的网关Ip地址和MAC地址
将这个批处理软件拖到“windows--开始--程序--启动”中。
●编辑一个arp2.bat文件,内容如下:arp.exe s**.**.**.**(网关ip) ************(网关MAC地
址)end,让网络用户点击。
●编辑一个注册表问题,键值如下:Windows Registry Editor Version
5.00[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]"MAC"="arp
―s网关IP地址网关MAC地址",然后保存成Reg文件以后在每个客户端上点击导入注册表。
●写一个批处理,定时刷新arp缓存表
脚本代码如下:
主程序arp3.bat
@echo off
cscript sleep.vbs
arp -d
exit
辅助计时程序 sleep.vbs
wscript.sleep 30000
就这样,把代码复制到记事本里,然后分别保存为arp3.bat,其中的30000 可以改的更大些。
2、解决思路
● 不要把你的网络安全信任关系建立在IP基础上或MAC基础上,(RARP同样存在欺骗的问题),
理想的关系应该建立在IP+MAC基础上。
●设置静态的MAC-->IP对应表,不要让主机刷新你设定好的转换表。
● 除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
● 使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP
服务器不被黑。
● 使用\'proxy\'代理IP的传输。
● 使用硬件屏蔽主机。设置好你的路由,确保IP地址能到达合法的路径。(静态配置路由ARP条
目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
●管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。
● 管理员定期轮询,检查主机上的ARP缓存。
●下载使用ARP防火墙。(2007-07-18 ARP防火墙单机版 v4.2beta4 发布 ;2007-07-11 ARP防
火墙网络版 v3.1.1 发布)
●可下载系统补丁:WINXP系统ARP病毒补丁 2KB WIN2000系统ARP病毒补丁 30.8MB。
三、几点建议
1、病毒源,对病毒源头的机器进行处理,杀毒或重新装系统。此操作比较重要,解决了ARP攻击的源
头PC机的问题,可以保证内网免受攻击。
2、网吧管理员检查局域网病毒,安装杀毒软件(江民/瑞星,必须要更新病毒代码),对机器进行病
毒扫描。
3、给系统安装补丁程序,通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service
Pack)。
4、给系统管理员账户设置足够复杂的强密码,较好能是12位以上,字母+数字+符号的组合;也可以禁
用/删除一些不使用的账户。
5、经常更新杀毒软件(病毒库),设置允许的可设置为每天定时自动更新。安装并使用网络防火墙软
件,网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的
入侵。部分盗版Windows用户不能正常安装补丁,不妨通过使用网络防火墙等其它方法来做到一定的防
护。
6、关闭一些不需要的服务,条件允许的可关闭一些没有必要的共享,也包括C$、D$等管理共享。完全
单机的用户也可直接关闭Server服务。
7、不要随便点击打开QQ、MSN等聊天工具上发来的链接信息,不要随便打开或运行陌生、可疑文件和
程序,如邮件中的陌生附件,外挂程序。
________________________________________
目前,介绍ARP病毒的文章,网络上很多。我自己从来没想到要写与杀毒有关的的文章,前些天一
个偶然的机会,朋友的电脑重装系统后不能上网,我分析后感觉和新近流行的ARP病毒相象,为此参看
了6万多字的文章,综合多种方法,做了一个整理(有图示步骤的在我U盘,有机会发上来和大家分享
),希请有经验的朋友指正,也让我再学习一下,谢谢!
另外,可以用一些网管软件来检测arp病毒,如国内较为普遍使用的聚生网管系统,可以检测出局域网那个电脑遭遇arp病毒,然后可以用强制隔离功能将其完全隔离,从而保护了局域网的安全。
