由ＡＲＰ攻擊造成局域網中斷引發的病毒原理分析

摘要：該文詳細介紹了利用ARP協議的特性進行欺騙攻擊的原理和過程，ARP病毒是一種地址欺騙的病毒，通過偽造IP地址和MAC地址來完成ARP欺騙，對ARP病毒的攻擊原理做了探討與分析。

關鍵詞：ARP緩存表；中間人攻擊；局域網；MAC地址；IP地址

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044(2009)05-1064-01

The Analysis of Principles on the Viruses Initiated by the Breakdown of the Local Network Caused by ARP Attack

LIU Xun-zhang

(Fushun CATV Station，Fushun 113006，China)

Abstract: The text indetail introduce the principle and the process of cheating and attacking by using ARP protocol， The ARPvirus is one kind of address deceit vrus， the ARPvirus realizes the ARPdeceit through the forge Ipaddress and the MAC address，The article has made the detailed discussion and the analysis to the ARP virus’s attack principle.

Key words: ARP-cache;middle-people's-attacks;LAN;MAC-address;IP-address

最近，撫順廣電寬帶網“東二街片區”網絡總是不穩定，經常出現斷網，或某一時刻網速極慢現象，給網絡用戶帶來很大不變，起初我們還以為是這一片區的2016AF－SM交換機有問題，經過更換新的交換機，好了一段時間后又頻繁掉線，經過我們認真走訪發現這一片區內有的電腦正常，沒有發生過掉線現象，于是，我們懷疑是病毒在搗鬼，根據這一片區計算機頻繁掉線的現象，我們認為可能是這一片區某臺電腦中了ARP病毒，由于這種病毒有些殺毒軟件很難根除，病毒發作時其癥狀表現為計算機網絡連接正常，但無法打開網頁或由于ARP欺騙的木馬程序發作時發出大量的數據包導致局域網用戶上網不穩定，在CMD 中ping 219.149.28.65 -t總是顯示Request Time Out 或隔幾行顯示一二條Reply From 219.149.28.65:Bytes=32 Time=323ms TTL=252，極大地影響了用戶的正常使用，給整個局域網的安全帶來嚴重隱患。

中毒癥狀：

由于局域網內某臺主機運行ARP欺騙的木馬程序時，會欺騙局域網內所有的主機和路由器，讓所有上網的流量必須經過病毒主機，其他用戶原來直接通過路由器上網，現在轉由通過病毒主機上網了，切換的時候用戶會斷一次線，切換到病毒主機上網后，如果用戶已經登陸了服務器，病毒主機就會經常偽造斷線的假像，由于ARP欺騙的木馬程序發作時會發出大量的數據包，導致局域網通訊阻塞以及自身處理能力的局限性，用戶會感覺上網網速很慢，網絡周期性斷開，有時候無法正常上網，有時候好了。局域網內的ARP包爆增，使用ARP查詢的時候會發現不正常的MAC地址或者是和錯誤的MAC地址對應，或者是一個MAC 地址對應多個IP地址。該病毒發作時，僅能影響同網段內機器的正常使用。用ARP－a命令檢查ARP表的時候發現路由器IP和MAC被修改了，這就是ARP病毒攻擊的典型癥狀。

原理分析：

ARP協議是“Address Resolution Protocol ”的縮寫，ARP地址解析協議用于將計算機的網絡IP地址轉化為物理MAC地址，ARP協議對網絡安全具有重要意義。在局域網中網絡實際傳輸的是“幀”，其里面是有目標主機的MAC地址，在網絡中一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC 地址，但這個目標 MAC 地址是如何獲得的呢？它就是通過ARP 協議獲得的。ARP協議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的正常進行。

每一個主機都有一個ARP高速緩存，存放最近的IP地址到MAC硬件地址之間的映射記錄，其記錄的生存時間一般為60S，在默認的情況下，ARP從緩存中讀取IP－MAC條目，緩存中的IP－MAC條目是根據ARP響應包動態變化的。因此，只要網絡上有ARP響應包發送到本機，就會有更新ARP高速緩存中的IP－MAC條目。攻擊者只要持續不斷地發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP－MAC條目，通過偽造的IP 地址和MAC 地址來實現ARP欺騙，當攻擊源大量地向局域網中發送虛假的ARP信息后，能夠在網絡中產生大量的ARP通信量，使網絡阻塞，造成網絡中斷或中間人攻擊。

說起中間人攻擊大家可能馬上想起風靡一時的SMB會話劫持，DNS欺騙等技術，這些都是典型的中間人攻擊手段。其實說它是一種手段不如說它是一種攻擊模式，它可以應用于各個領域，比如在現實中，A通過B傳話給C，那么B在傳話給C的時候，可以夸大其詞，也可以填油加醋后傳給C，在這個過程中中間人B無意中就來了一次中間人攻擊，其實“謠言”就是這么來的，在網絡安全方面，中間人攻擊應用很廣泛，下面就以Http協議代理來介紹一下中間人攻擊。代理服務的一個典型模型如圖1。

上面可以看出：Client發出的請和Web 回的數據都經過Proxy Server轉發，這個Proxy Server就是起到了一個Middle Man的作用，如果中間人夠黑，那么整個代理過程的數據都可以由這個中間人控制。

每臺安裝有TCP/IP協議的電腦里都有一個ARP緩存表，表里的IP地址與MAC地址是一一對應的，如表1所示。

我們以主機A （192.168.0.1）向主機B（192.168.0.2）發送數據為例。當發送數據時，主機A會在自已的ARP緩存表中尋找是否有目標MAC地址。如果找到了，也就知道了目標MAC地址，直接把目標MAC地址寫入幀里面發送就可以了，ARP緩存表中沒有找到相對應的IP地址，主機A就會在網絡上發送一個廣播，目標MAC地址是“FF.FF.FF.FF.FF.FF”，這表示向同一網段內的所有主機發出這樣的詢問：“192.168.0.2的地址是什么？”網絡上其它并不響應ARP的詢問，只有主機B接收到這個幀時，才向主機A做出這樣的回應：“192.168.0.2”的MAC地址是“bb-bb-bb-bb-bb-bb”。這樣，主機A 就知道了主機B的MAC地址，它就可以向主機B發送信息了。同時它還更新了自己的ARP緩存表，下次再向主機B發送信息時，直接從ARP緩存表里查找就可以了，ARP協議并不只在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包時，就會對本地ARP緩存進行更新，將應答中的IP和MAC地址存儲在ARP緩存中。ARP緩存表采用了老化機制，MS Windows高速緩存中的每一條記錄的生存時間 一般為60S，起始時間從被創建時開始算起，在一段時間內如果表中某一行沒有使用，就會被刪除，這樣可以大大減少ARP緩存表的長度，加快查詢速度。

從上面可以看出，ARP協議的基礎就是信任局域網內所有的人，那么就很容易實現在以太網上的ARP欺騙。對目標A 進行欺騙，A去PING主機C 卻發送到了dd-dd-dd-dd-dd-dd這個地址上。如果進行欺騙的時候，把C的MAC地址騙為dd-dd-dd-dd-dd-dd，于是A 發送到C 上的數據包都變成發送給D的了，這不正好是D能夠接收到A發送的數據包了嗎。

A 對這個變化一點都沒有意識到，但是接下來的事情就讓A 產生了懷疑，因為A和C 連接不上了，D對接收到A發送C的數據包可沒有轉交給C。

做“ man in the middle ”進行ARP重定向。打開D的IP轉發功能，A 發送過來的數據包，轉發給C，好比一個路由器一樣，不過，假如D發送ICMP重定向的話就中斷了整個計劃，D 直接進行整個包的修改轉發，捕獲到A發送給C的數據包，全部進行修改后再轉發給C，而C接收到的數據包完全認為是從A發送來的，不過，C發送的數據包又直接傳遞給了A ，倘若再次進行對C的ARP欺騙，現在D就完全成為了A與C的中間橋梁了，對于A 和C 之間的通訊就可以了如指掌了。

Switch上的同樣維護著一個動態的MAC緩存表，它一般是這樣的，首先，交換機內部有一個對應的列表，交換機的端口對應MAC地址表Portn<->，MAC記錄著每一個端口下面存在那些MAC－Port緩存表是動態更新的，那么讓整個Switch的端口表都改變，對Switch進行MAC地址欺騙的Flood，不斷發送大量假MAC地址的數據包，Switch就更新MAC－Port緩存，如果能通示這樣的辦法把以前正常的MAC地址和Port對應的關系破壞了，那么Switch就會進行泛洪發送給每一個端口，讓Switch基本變成一個HUB，向所有的端口發送數據包，要進行嗅探攻擊的目的一樣能夠達到。也將造就Switch MAC－Port緩存的崩潰。

以上是通過在工作中遇到的ARP攻擊造成局域網中斷引發的病毒原理的分析，另外還可以通過一款名為“Anti Arp Sniffer”的軟件工具來查找感染病毒的電腦，以解決問題，這里不再做敘述。

參考文獻：

[1] Refdom.交換網絡中的嗅探和ARP欺騙.Http//WWW.Xfocus.Net/.友佳學院.

[2] ARP病毒解決辦法.Http//WWW.LuXinJie.Com/Net/Fhq/116097998231638.Html.

[3] 秦志光，張鳳荔.計算機病毒原理與防范[M].北京:人民郵電出版社，2007.