ARP防火墻綁定網關MAC地址預防ARP攻擊和P2P終結者
【故障原理】
要了解故障原理,我們先來了解一下ARP協議。
在局域網中,通過ARP協議來完成IP地址轉換為第二層物理地址(即MAC地址)的。ARP協議對網絡安全具有重要的意義。通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量使網絡阻塞。
ARP協議是“Address Resolution Protocol”(地址解析協議)的縮寫。在局域網中,網絡中實際傳輸的是“幀”,幀里面是有目標主機的MAC地址的。在以太網中,一個主機要和另一個主機進行直接通信,必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢?它就是通過地址解析協議獲得的。所謂“地址解析”就是主機在發(fā)送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP地址,查詢目標設備的MAC地址,以保證通信的順利進行。
每臺安裝有TCP/IP協議的電腦里都有一個ARP緩存表,表里的IP地址與MAC地址是一一對應的,如下所示。
主機 IP地址 MAC地址
A 192.168.16.1 aa-aa-aa-aa-aa-aa
B 192.168.16.2 bb-bb-bb-bb-bb-bb
C 192.168.16.3 cc-cc-cc-cc-cc-cc
D 192.168.16.4 dd-dd-dd-dd-dd-dd
我們以主機A(192.168.16.1)向主機B(192.168.16.2)發(fā)送數據為例。當發(fā)送數據時,主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了,也就知道了目標MAC地址,直接把目標MAC地址寫入幀里面發(fā)送就可以了;如果在ARP緩存表中沒有找到相對應的IP地址,主機A就會在網絡上發(fā)送一個廣播,目標MAC地址是“FF.FF.FF.FF.FF.FF”,這表示向同一網段內的所有主機發(fā)出這樣的詢問:“192.168.16.2的MAC地址是什么?”網絡上其他主機并不響應ARP詢問,只有主機B接收到這個幀時,才向主機A做出這樣的回應:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。這樣,主機A就知道了主機B的MAC地址,它就可以向主機B發(fā)送信息了。同時它還更新了自己的ARP緩存表,下次再向主機B發(fā)送信息時,直接從ARP緩存表里查找就可以了。ARP緩存表采用了老化機制,在一段時間內如果表中的某一行沒有使用,就會被刪除,這樣可以大大減少ARP緩存表的長度,加快查詢速度。
從上面可以看出,ARP協議的基礎就是信任局域網內所有的人,那么就很容易實現在以太網上的ARP欺騙。對目標A進行欺騙,A去Ping主機C卻發(fā)送到了DD-DD-DD-DD-DD-DD這個地址上。如果進行欺騙的時候,把C的MAC地址騙為DD-DD-DD-DD-DD-DD,于是A發(fā)送到C上的數據包都變成發(fā)送給D的了。這不正好是D能夠接收到A發(fā)送的數據包了么,嗅探成功。
A對這個變化一點都沒有意識到,但是接下來的事情就讓A產生了懷疑。因為A和C連接不上了。D對接收到A發(fā)送給C的數據包可沒有轉交給C。
做“man in the middle”,進行ARP重定向。打開D的IP轉發(fā)功能,A發(fā)送過來的數據包,轉發(fā)給C,好比一個路由器一樣。不過,假如D發(fā)送ICMP重定向的話就中斷了整個計劃。
D直接進行整個包的修改轉發(fā),捕獲到A發(fā)送給C的數據包,全部進行修改后再轉發(fā)給C,而C接收到的數據包完全認為是從A發(fā)送來的。不過,C發(fā)送的數據包又直接傳遞給A,倘若再次進行對C的ARP欺騙。現在D就完全成為A與C的中間橋梁了,對于A和C之間的通訊就可以了如指掌了。#p#
【故障現象】
當局域網內某臺主機運行ARP欺騙的木馬程序時,會欺騙局域網內所有主機和路由器,讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過路由器上網現在轉由通過病毒主機上網,切換的時候用戶會斷一次線。
切換到病毒主機上網后,如果用戶已經登陸了傳奇服務器,那么病毒主機就會經常偽造斷線的假像,那么用戶就得重新登錄傳奇服務器,這樣病毒主機就可以盜號了。
由于ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數據包導致局域網通訊擁塞以及其自身處理能力的限制,用戶會感覺上網速度越來越慢。當ARP欺騙的木馬程序停止運行時,用戶會恢復從路由器上網,切換過程中用戶會再斷一次線。
【HiPER用戶快速發(fā)現ARP欺騙木馬】
在路由器的“系統歷史記錄”中看到大量如下的信息(440以后的路由器軟件版本中才有此提示):
MAC Chged 10.128.103.124
MAC Old 00:01:6c:36:d1:7f
MAC New 00:05:5d:60:c7:18
這個消息代表了用戶的MAC地址發(fā)生了變化,在ARP欺騙木馬開始運行的時候,局域網所有主機的MAC地址更新為病毒主機的MAC地址(即所有信息的MAC New地址都一致為病毒主機的MAC地址),同時在路由器的“用戶統計”中看到所有用戶的MAC地址信息都一樣。
如果是在路由器的“系統歷史記錄”中看到大量MAC Old地址都一致,則說明局域網內曾經出現過ARP欺騙(ARP欺騙的木馬程序停止運行時,主機在路由器上恢復其真實的MAC地址)。#p#
【在局域網內查找病毒主機】
在上面我們已經知道了使用ARP欺騙木馬的主機的MAC地址,那么我們就可以使用NBTSCAN(下載地址:http://www.utt.com.cn/upload/nbtscan.rar)工具來快速查找它。
NBTSCAN可以取到PC的真實IP地址和MAC地址,如果有”傳奇木馬”在做怪,可以找到裝有木馬的PC的IP/和MAC地址。
命令:“nbtscan -r 192.168.16.0/24”(搜索整個192.168.16.0/24網段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 網段,即192.168.16.25-192.168.16.137。輸出結果第一列是IP地址,最后一列是MAC地址。
NBTSCAN的使用范例:
假設查找一臺MAC地址為“000d870d585f”的病毒主機。
1)將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下。
2)在Windows開始—運行—打開,輸入cmd(windows98輸入“command”),在出現的DOS窗口中輸入:C: btscan -r 192.168.16.1/24(這里需要根據用戶實際網段輸入),回車。
3)通過查詢IP--MAC對應表,查出“000d870d585f”的病毒主機的IP地址為“192.168.16.223”。
【解決思路】
1、不要把你的網絡安全信任關系建立在IP基礎上或MAC基礎上,(rarp同樣存在欺騙的問題),理想的關系應該建立在IP+MAC基礎上。
2、設置靜態(tài)的MAC-->IP對應表,不要讓主機刷新你設定好的轉換表。
3、除非很有必要,否則停止使用ARP,將ARP做為永久條目保存在對應表中。
4、使用ARP服務器。通過該服務器查找自己的ARP轉換表來響應其他機器的ARP廣播。確保這臺ARP服務器不被黑。
5、使用"proxy"代理IP的傳輸。
6、使用硬件屏蔽主機。設置好你的路由,確保IP地址能到達合法的路徑。(靜態(tài)配置路由ARP條目),注意,使用交換集線器和網橋無法阻止ARP欺騙。
7、管理員定期用響應的IP包中獲得一個rarp請求,然后檢查ARP響應的真實性。
8、管理員定期輪詢,檢查主機上的ARP緩存。
9、使用防火墻連續(xù)監(jiān)控網絡。注意有使用SNMP的情況下,ARP的欺騙有可能導致陷阱包丟失。#p#
【HiPER用戶的解決方案】
建議用戶采用雙向綁定的方法解決并且防止ARP欺騙。
1、在PC上綁定路由器的IP和MAC地址:
1)首先,獲得路由器的內網的MAC地址(例如HiPER網關地址192.168.16.254的MAC地址為0022aa0022aa)。
2)編寫一個批處理文件rarp.bat內容如下:
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa
將文件中的網關IP地址和MAC地址更改為您自己的網關IP地址和MAC地址即可。
將這個批處理軟件拖到“windows--開始--程序--啟動”中。
3)如果是網吧,可以利用收費軟件服務端程序(pubwin或者萬象都可以)發(fā)送批處理文件rarp.bat到所有客戶機的啟動目錄。Windows2000的默認啟動目錄為“C:\Documents and SettingsAll Users「開始」菜單程序啟動”。
2、在路由器上綁定用戶主機的IP和MAC地址(440以后的路由器軟件版本支持):
在HiPER管理界面--高級配置--用戶管理中將局域網每臺主機均作綁定。
例
一、有人惡意破壞網絡。
這種事情,一般會出現在網吧,或是一些人為了找到更好的網吧上網座位,強行讓別人斷線。
又或是通過ARP欺騙偷取內網帳號密碼。
二,病毒木馬
如:傳奇網吧殺手等,通過ARP欺騙網絡內的機器,假冒網關。從而偷取對外連接傳奇服務器的密碼。
ARP欺騙的原理如下:
假設這樣一個網絡,一個交換機接了3臺機器
HostA HostB HostC 其中
A的地址為:IP:192.168.1.1 MAC: AA-AA-AA-AA-AA-AA ---------網關
B的地址為:IP:192.168.1.2 MAC: BB-BB-BB-BB-BB-BB -------- 黑客
C的地址為:IP:192.168.1.3 MAC: CC-CC-CC-CC-CC-CC ---------被欺騙者
正常情況下 C:\arp -a
Interface: 192.168.1.3 on Interface 0x1000003
Internet Address Physical Address Type
192.168.1.1 BB-BB-BB-BB-BB-BB dynamic
現在假設HostB開始了罪惡的ARP欺騙:假冒A像c發(fā)送ARP欺騙包
B向C發(fā)送一個自己偽造的ARP欺騙包,而這個應答中的數據為發(fā)送方IP地址是192.168.1.1(網關的IP地址),MAC地址
是BB-BB-BB-BB-BB-BB (A的MAC地址本來應該是AA-AA-AA-AA-AA-AA,這里被偽造了)。當C接收到B偽造的ARP應答,就會更新
本地的ARP緩存(C可不知道被偽造了)。而且C不知道其實是從B發(fā)送過來的,這樣C就受到了B的欺騙了,凡是發(fā)往A的數據就會發(fā)往B,
這時候那么是比較可怕的,你的上網數據都會先流向B,在通過B去上網,如果這時候B上裝了SNIFFER軟件,那么你的所有出去的密碼都將被截獲。
為了以后出現問題的時候好查找,我建議大家平時建立一個MAC和IP的對應表,把局域網內所有網卡的MAC地址和IP、地理位置統統裝入數據庫
,以便當以后發(fā)現ARP 欺騙時找出欺騙者的機器。#p#
二、防范措施和解決方法。
方法一
通過arp –s 來綁定網關的MAC 地址和IP 地址。
這種方法對于XP 和2003系統是有用的,使用arp –s 來綁定的話。那么在ARP表中顯示的是一條靜態(tài)的記錄。
這樣就不會被動態(tài)的ARP 欺騙包給欺騙,而修改。
那么在2000的系統上也是可以使用arp -s來進行綁定得,在SP4的2000系統上需要下載2000 Rollup v2更新補丁包,ARP的補丁已經包含在里面 了,大小應該在38MB那樣。
http://download.microsoft.com/download/7/e/9/7e969f31-e33d-45a2-9d1a-fecbcde29a0e/Windows2000-KB891861-v2-x86-CHS.EXE
并且裝好后,下面幾個文件不能小于下面的版本號。
Date Time Version Size File name
--------------------------------------------------------
19-Jun-2003 20:05 5.0.2195.6602 108,816 Msafd.dll
02-Jun-2004 22:44 5.0.2195.6938 318,832 Tcpip.sys
19-Jun-2003 20:05 5.0.2195.6601 17,680 Wshtcpip.dll
19-Jun-2003 20:05 5.0.2195.6687 120,240 Afd.sys
19-Jun-2003 20:05 5.0.2195.6655 16,240 Tdi.sys
相關文章,大家可以看微軟的KB .http://support.microsoft.com/kb/842168
例:arp -s 192.168.1.1 00-0B-AD-DD-22-35
方法二
有些木馬或是一些駭客總是使用本地網卡上的網關來做欺騙。網關是通往外網或是和不同網絡互聯的一個中間設備。
而通過添加路由表中的記錄,設置優(yōu)先級高于網關默認路由,那么網關的路由在級別高的路由可用時將不會生效。
施行方法:1.先手動修改客戶機的網關地址為任意ip地址,最好是同一網段中,沒使用的一個IP,以免被懷疑。
2.手動添加或是通過批處理,或是腳本來添加永久對出口路由。
此中方法可以欺騙過大部份,菜鳥或是所謂的駭客和大部份ARP欺騙木馬。
缺點是: 如果以后網關以后網卡或是機器改變。那么以后還得重新修改已有得路由。
route delete 0.0.0.0 -----刪除到默認得路由
route add 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1 --- 添加路由
route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1 ------參數-p 就是添加永久的記錄。
route change --修改路由
http://www.99191.com/dispbbs.asp?BoardID=33&ID=2631&replyID=6840&skin=1
方法 三
1. 如果你但前使用得交換機器有網卡和MAC地址綁定功能,那么將你所在得網得IP地址和MAC 地址進行綁定。
但有時候,我們可能沒有這些設備那么要想做就很困難了。
另類方法思路--如何全面解決讓ARP欺騙,ARP木馬無法在本機器安裝,運行。
大部分監(jiān)控,arp 欺騙軟件,都會使用到一個winpcap驅動。那么現在的思路就是讓其無法在本地計算機安裝。
這樣arp欺騙軟件就無法被使用了使用了,此方法可以用于任何程序的安裝。
需要的條件:
1.所在的系統盤為NTFS 分區(qū)格式。
2.知道所要安裝的文件所要在系統中生成的文件。
3.使用注冊表和文件安裝監(jiān)視軟件來監(jiān)視安裝所生成的文件。
方法四:
利用些別人做好的ARP 監(jiān)控工具。
。
實驗:
作業(yè):
1.使用arp -s 來添加一條arp靜態(tài)記錄,使用arp -a 查看添加的記錄。使用arp -d 來刪除剛添加的那條記錄
2.使用route print 來查看現有的路由表,使用route add -p 來添加一條永久記錄,最后使用route delete來刪除剛建的那條記錄。
3.使用組策略禁止本地系統中的記事本程序。
4.利用注冊表和文件安裝監(jiān)視軟件,來查找組策略中設置后,對注冊表中鍵值的修改。
并通過修改注冊表,禁止記事本軟件(notepad.exe)的執(zhí)行。#p#
如何檢查和處理“ ARP 欺騙”木馬的方法
1 .檢查本機的“ ARP 欺騙”木馬染毒進程
同時按住鍵盤上的“ CTRL ”和“ ALT ”鍵再按“ DEL ”鍵,選擇“任務管理器”,點選“進程”標簽。察看其中是否有一個名為“ MIR0.dat ”的進程。如果有,則說明已經中毒。右鍵點擊此進程后選擇“結束進程”。參見右圖。
2 .檢查網內感染“ ARP 欺騙”木馬染毒的計算機
在“開始” - “程序” - “附件”菜單下調出“命令提示符”。輸入并執(zhí)行以下命令:
ipconfig
記錄網關 IP 地址,即“ Default Gateway ”對應的值,例如“ 59.66.36.1 ”。再輸入并執(zhí)行以下命令:
arp –a
在“ Internet Address ”下找到上步記錄的網關 IP 地址,記錄其對應的物理地址,即“ Physical Address ”值,例如“ 00-01-e8-1f-35-54 ”。在網絡正常時這就是網關的正確物理地址,在網絡受“ ARP 欺騙”木馬影響而不正常時,它就是木馬所在計算機的網卡物理地址。
也可以掃描本子網內的全部 IP 地址,然后再查 ARP 表。如果有一個 IP 對應的物理地址與網關的相同,那么這個 IP 地址和物理地址就是中毒計算機的 IP 地址和網卡物理地址。
3 .設置 ARP 表避免“ ARP 欺騙”木馬影響的方法
本方法可在一定程度上減輕中木馬的其它計算機對本機的影響。用上邊介紹的方法確定正確的網關 IP 地址和網關物理地址,然后在 “命令提示符”窗口中輸入并執(zhí)行以下命令:
arp –s 網關 IP 網關物理地址
4.態(tài)ARP綁定網關
步驟一:
在能正常上網時,進入MS-DOS窗口,輸入命令:arp -a,查看網關的IP對應的正確MAC地址, 并將其記錄下來。
注意:如果已經不能上網,則先運行一次命令arp -d將arp緩存中的內容刪空,計算機可暫時恢復上網(攻擊如果不停止的話)。一旦能上網就立即將網絡斷掉(禁用網卡或拔掉網線),再運行arp -a。
步驟二:
如果計算機已經有網關的正確MAC地址,在不能上網只需手工將網關IP和正確的MAC地址綁定,即可確保計算機不再被欺騙攻擊。
要想手工綁定,可在MS-DOS窗口下運行以下命令:
arp -s 網關IP 網關MAC
例如:假設計算機所處網段的網關為192.168.1.1,本機地址為192.168.1.5,在計算機上運行arp -a后輸出如下:
Cocuments and Settings>arp -a
Interface:192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 dynamic
其中,00-01-02-03-04-05就是網關192.168.1.1對應的MAC地址,類型是動態(tài)(dynamic)的,因此是可被改變的。
被攻擊后,再用該命令查看,就會發(fā)現該MAC已經被替換成攻擊機器的MAC。如果希望能找出攻擊機器,徹底根除攻擊,可以在此時將該MAC記錄下來,為以后查找該攻擊的機器做準備。
手工綁定的命令為:
arp -s 192.168.1.1 00-01-02-03-04-05
綁定完,可再用arp -a查看arp緩存:
Cocuments and Settings>arp -a
Interface: 192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 static
這時,類型變?yōu)殪o態(tài)(static),就不會再受攻擊影響了。
但是,需要說明的是,手工綁定在計算機關機重啟后就會失效,需要再次重新綁定。所以,要徹底根除攻擊,只有找出網段內被病毒感染的計算機,把病毒殺掉,才算是真正解決問題。#p#
5 .作批處理文件
在客戶端做對網關的arp綁定,具體操作步驟如下:
步驟一:
查找本網段的網關地址,比如192.168.1.1,以下以此網關為例。在正常上網時,“開始→運行→cmd→確定”,輸入:arp -a,點回車,查看網關對應的Physical Address。
比如:網關192.168.1.1 對應00-01-02-03-04-05。
步驟二:
編寫一個批處理文件rarp.bat,內容如下:
@echo off
arp -d
arp -s 192.168.1.1 00-01-02-03-04-05
保存為:rarp.bat。
步驟三:
運行批處理文件將這個批處理文件拖到“Windows→開始→程序→啟動”中,如果需要立即生效,請運行此文件。
注意:以上配置需要在網絡正常時進行
6.使用安全工具軟件
及時下載Anti ARP Sniffer軟件保護本地計算機正常運行。具體使用方法可以在網上搜索。
如果已有病毒計算機的MAC地址,可使用NBTSCAN等軟件找出網段內與該MAC地址對應的IP,即感染病毒的計算機的IP地址,然后報告單位的網絡中心對其進行查封。
或者利用單位提供的集中網絡防病毒系統來統一查殺木馬。另外還可以利用木馬殺客等安全工具進行查殺。
7.應急方案
網絡管理管理人員利用上面介紹的ARP木馬檢測方法在局域網的交換機上查出受感染該病毒的端口后,立即關閉中病毒的端口,通過端口查出相應的用戶并通知其徹底查殺病毒。而后,做好單機防范,在其徹底查殺病毒后再開放相應的交換機端口,重新開通上網。
附錄一
清華大學校園網絡安全響應小組編的一個小程序
下載地址: ftp://166.111.8.243/tools/ArpFix.rar
清華大學校園網絡安全響應小組編了一個小程序,它可以保護您的計算機在同一個局域網內部有ARP欺騙木馬計算機的攻擊時,保持正常上網。具體使用方法:
1、 程序運行后請先選擇網卡,選定網卡后點擊“選定”按鈕。
2、 選定網卡后程序會自動獲取您機器的網關地址。
3、獲得網關地址后請點擊獲取MAC地址按鈕獲取正確的網關MAC地址。
4、 確認網關的MAC地址后請點擊連接保護,程序開始保護您的機器。
5、 點擊程序右上角的叉,程序自動隱藏到系統托盤內。
6、要完全退出程序請在系統托盤中該程序圖標上點擊右鍵選擇EXIT。
注意:
1、這個程序只是一個ARP攻擊保護程序,即受ARP木馬攻擊時保持自己計算機的MAC地址不被惡意篡改,從而在遭受攻擊時網絡不會中斷。本程序并不能清除已經感染的ARP木馬,要預防感染或殺除木馬請您安裝正版的殺毒軟件!
附錄二
Anti Arp Sniffer 的用法
下載地址:http://www.wipe.edu.cn/Files/wlzx/Antiarp.rar
