資深網(wǎng)管淺談ARP病毒的防治思路

瀏覽我們網(wǎng)站的讀者中大部分都是企業(yè)的網(wǎng)管以及網(wǎng)絡(luò)安全愛(ài)好者， 相信最近一段時(shí)間最讓我們頭疼的莫過(guò)于ARP欺騙類蠕蟲(chóng)病毒了， 這種病毒處理起來(lái)很麻煩， 一臺(tái)機(jī)器感染會(huì)造成網(wǎng)段中所有機(jī)器的上網(wǎng)中斷或混亂。 筆者也曾經(jīng)為ARP欺騙類蠕蟲(chóng)病毒所困饒， 下面筆者根據(jù)自己的經(jīng)驗(yàn)和經(jīng)歷和大家一起探討下ARP欺騙類病毒的防治思路。

　　一， ARP欺騙病毒概述：

　　由于篇幅關(guān)系我們不可能在這里大幅講解ARP欺騙病毒的工作原理和擴(kuò)散機(jī)理， 筆者只是對(duì)ARP欺騙病毒進(jìn)行一個(gè)大概介紹。 所謂ARP欺騙病毒實(shí)際上就是一臺(tái)感染了病毒的計(jì)算機(jī)不斷的冒充網(wǎng)關(guān)的IP地址， 不停的告訴網(wǎng)絡(luò)中所有計(jì)算機(jī)網(wǎng)關(guān)地址對(duì)應(yīng)的MAC信息是感染病毒機(jī)器的MAC， 這樣由于他的發(fā)包量大大大于網(wǎng)關(guān)實(shí)際發(fā)送的ARP信息數(shù)據(jù)。

　　所以正確的ARP數(shù)據(jù)包被虛假偽裝過(guò)的數(shù)據(jù)包所掩蓋， 從而導(dǎo)致到其他計(jì)算機(jī)要上網(wǎng)時(shí)會(huì)把對(duì)應(yīng)的數(shù)據(jù)發(fā)送到網(wǎng)關(guān)（實(shí)際上這個(gè)網(wǎng)關(guān)對(duì)應(yīng)的MAC已經(jīng)是中毒機(jī)器的MAC地址了）， 接下來(lái)數(shù)據(jù)的發(fā)送與接收完全由中毒機(jī)器和正常機(jī)器進(jìn)行了， 正確的網(wǎng)關(guān)地址被徹底跳過(guò)， 從而造成網(wǎng)絡(luò)訪問(wèn)出現(xiàn)問(wèn)題， 虛假欺騙信息赫然網(wǎng)頁(yè)之上， 其他計(jì)算機(jī)上網(wǎng)緩慢或者根本無(wú)法上網(wǎng)， 甚至訪問(wèn)到的地址變成了一個(gè)虛假頁(yè)面等。

　　二， ARP欺騙病毒防治關(guān)鍵：

　　ARP欺騙病毒的誕生和傳播與爆發(fā)關(guān)鍵在于他向網(wǎng)絡(luò)中發(fā)送了大量的虛假數(shù)據(jù)包， 虛假數(shù)據(jù)包的內(nèi)容是告訴其他計(jì)算機(jī)網(wǎng)關(guān)地址的MAC是感染病毒的MAC， 比如這臺(tái)機(jī)器的MAC地址是1111-1111-1111， 自己的IP地址是192.168.1.5， 網(wǎng)絡(luò)中真正網(wǎng)關(guān)地址是192.168.1.254， 那么虛假數(shù)據(jù)包就是告訴其他計(jì)算機(jī)192.168.1.254對(duì)應(yīng)的MAC地址是1111-1111-1111。

　　由于TCP/IP協(xié)議傳輸是從低層數(shù)據(jù)鏈路層開(kāi)始到高層網(wǎng)絡(luò)層的， 所以辨認(rèn)計(jì)算機(jī)先要通過(guò)MAC地址， 由于網(wǎng)絡(luò)中其他計(jì)算機(jī)已經(jīng)接收到了192.168.1.254地址對(duì)應(yīng)的MAC是1111-1111-1111， 那么他們將首先通過(guò)MAC和ARP緩存信息來(lái)確定定位目標(biāo)網(wǎng)關(guān)計(jì)算機(jī)。

　　因此通過(guò)上面的分析我們可以明確一點(diǎn)， 那就是防范ARP欺騙病毒的關(guān)鍵就是處理這種非法數(shù)據(jù)包——IP地址是網(wǎng)關(guān)而MAC地址是感染病毒的計(jì)算機(jī)。

　　三， ARP病毒的防治思路：

　　本文主要討論的是一種ARP欺騙蠕蟲(chóng)病毒的防治思路， 是一種防患于未燃的措施， 如果ARP欺騙病毒已經(jīng)爆發(fā)， 那么各位網(wǎng)絡(luò)管理員需要做的就是通過(guò)sniffer來(lái)檢測(cè)病毒定位目標(biāo)計(jì)算機(jī)了， 具體的方法我在之前的“零距離接觸Downloader病毒”文章中已經(jīng)介紹過(guò)， 這里就不詳細(xì)說(shuō)明了。

　　下面說(shuō)下防治思路——我們將防治的關(guān)鍵點(diǎn)放在處理ARP欺騙數(shù)據(jù)包上， 由于我們知道了欺騙數(shù)據(jù)包內(nèi)容是“IP地址是網(wǎng)關(guān)而MAC地址是感染病毒的計(jì)算機(jī)”， 只要針對(duì)此數(shù)據(jù)包進(jìn)行過(guò)濾即可。 在網(wǎng)絡(luò)沒(méi)有病毒時(shí)我們是可以知道真正的網(wǎng)關(guān)對(duì)應(yīng)的正確MAC地址的， 只需要通過(guò)arp -a或者直接在交換機(jī)上查詢即可。 這里假設(shè)真正網(wǎng)關(guān)對(duì)應(yīng)MAC地址是2222-2222-2222。

　　那么我們需要在交換機(jī)上設(shè)置一種訪問(wèn)控制列表過(guò)濾策略， 將所有從交換機(jī)各個(gè)端口out方向上發(fā)送的源地址是192.168.1.254但是源MAC地址不是2222-2222-2222， 或者目的地址是192.168.1.254而目的MAC地址不是2222-2222-2222的數(shù)據(jù)包丟棄（放入黑洞loopback環(huán)路）， 同時(shí)自動(dòng)關(guān)閉相應(yīng)的交換機(jī)端口。

　　四， 防治ARP欺騙病毒模擬流程：

　　由于ARP欺騙病毒的傳播是需要通過(guò)交換機(jī)發(fā)送虛假?gòu)V播信息的， 而虛假數(shù)據(jù)信息內(nèi)容中源或目的地址IP信息一定包括192.168.1.254， 而對(duì)應(yīng)的MAC地址一定不是正確的2222-2222-2222， 因此這類虛假數(shù)據(jù)會(huì)被之前我們?cè)诮粨Q機(jī)上設(shè)置的訪問(wèn)控制列表或過(guò)濾策略所屏蔽， 再結(jié)合自動(dòng)關(guān)閉對(duì)應(yīng)端口徹底避免ARP欺騙蠕蟲(chóng)病毒的傳播。 之后感染了病毒的計(jì)算機(jī)將無(wú)法上網(wǎng)， 他一定會(huì)聯(lián)系網(wǎng)絡(luò)管理員， 從而幫助我們快速定位問(wèn)題計(jì)算機(jī)， 在第一時(shí)間解決問(wèn)題。

　　小提示：

　　不過(guò)如果企業(yè)網(wǎng)絡(luò)中采取的拓?fù)涫窃谝粋�(gè)交換機(jī)端口下還連接有諸如HUB的設(shè)備的話， 那么如果連接HUB設(shè)備的下屬計(jì)算機(jī)中有感染ARP欺騙病毒的話， 交換機(jī)端口依然會(huì)自動(dòng)關(guān)閉， 整個(gè)HUB設(shè)備下連計(jì)算機(jī)都將無(wú)法上網(wǎng)， 所以建議大家還是盡量采用交換機(jī)來(lái)連接企業(yè)計(jì)算機(jī)。

　　五， 總結(jié)：

　　這種防范措施是需要結(jié)合ACL訪問(wèn)控制列表以及路由策略等多個(gè)路由交換設(shè)備功能的， 首先要保證路由交換設(shè)備支持這些功能， 另外還要進(jìn)行合理的設(shè)置， 不能夠過(guò)濾掉正確的數(shù)據(jù)包。 當(dāng)然本文內(nèi)容只是筆者在多次對(duì)抗ARP欺騙病毒后產(chǎn)生的一個(gè)防范思路， 希望可以和更多的朋友一起探討， 了解更多的建議， 大家共同進(jìn)步將ARP欺騙病毒徹底查殺。