安全急救班——锁定源头 驱逐ARP梦魇(图)

鸿鹄

记录人：苗得雨
    技术点：如何解决ARP攻击造成的网络故障。
　　当前病毒的发展有集成化的趋势， ARP攻击也包含在内，具备攻击局域网能力的病毒也越来越多。它们不仅仅只会危害局域网，也会危害到广大的网民朋友，例如最近的极品时刻表服务器被ARP攻击，暗中也进行了ARP挂马。
　　在我个人所遇到的各种局域网ARP病毒攻击中，病毒的攻击方式往往手段多变，有些能够让管理员很快发现是ARP攻击，而有些则轻易不会被判断出来。更让人头疼的是，ARP攻击不仅会拖慢整个局域网的工作效率，而且它并不像单机病毒那样易于查杀，安全工程师必须先找到病毒的源头才能够将病毒彻底清除，而查找到源头的速度直接决定了损失的大小。
　　安全百科：ARP是一种地址解析协议，它负责将带电脑的IP地址转换成MAC地址的一种通讯协议，当某一台电脑要传送数据到某个IP地址时，会先传送ARP封包询问网络上哪台电脑的MAC地址对应到这个IP地址，当目的端的电脑接收到这个ARP封包之后便会响应给来源电脑进行数据传送（图1）。
   

ARP断网攻击故障

　　症状：局域网内电脑大面积不能上网，QQ出现掉线
　　症状解析：这是最常见的ARP病毒攻击方式，如今许多病毒都会利用这种ARP攻击方式影响局域网，例如机器狗病毒等，一旦局域网内有机器感染后，部分电脑就会出线无法正常上网的情况，而且打开网页时好时坏。
　　拷贝网络邻居文件断断续续无法完成，并出现错误；多台电的QQ、MSN等即时通讯工具连续掉线；使用ARP查询的时候会发现不正常的电脑MAC地址，或者是错误的MAC地址对应，还有就是一个MAC地址对应多个IP地址的情况也会有出现。
　　出现这种情况就是因为ARP病毒在进行欺骗。我们举一个形象的例子：有五只螃蟹，其中2号螃蟹通过电话向企鹅订阅了报纸，企鹅告诉负责交换运输货物的骡子，将货物送到2号螃蟹家。
　　企鹅给了负责运货的骡子一份家庭地址列表，但是跟2号螃蟹住在一起的5号螃蟹由于感染了ARP病毒，于是它稀里糊涂打电话给骡子说，2号螃蟹的家庭地址已经修改了，于是原本应该送到2号螃蟹家的报纸被骡子送给了冒充螃蟹的松鼠，而2号螃蟹此时还在苦苦等待看不到报纸（图2）。
   

ARP挂马故障

　　症状：访问各种网站杀毒软件均提示有病毒
　　症状解析：出现这种状况通常是局域网内有电脑被黑客入侵，黑客会通过恶意ARP欺骗工具发送一个假的ARP封包窜改正常的ARP缓存使得数据无法正确传输到目的地，造成网络链接错误。
　　由于一般的ARP缓存是根据经过的ARP封包不断的变更本身的ARP列表，假设接收到的ARP封包所提供的数据是伪造的，就会让数据无法传输到实际的目的地。甚至可能因为数据导向某特定电脑，黑客可利用恶意程序窃取封包数据或修改封包内容。
　　这种情况就是病毒通过抓包修改HTTP封包修改后再送回原客户端，造成原客户端在不知情的状况下连接恶意网页下载木马病毒。例如，黑客入侵用户A之后，修改ARP封包，将用户B访问的网页数据进行修改，将自己的恶意代码插入到真长的网页中，这样用户B即便访问正常的网页，也如同访问挂马网页一样（图3）。极品时刻表服务器挂马就是利用的这种方式。
   

剖析案例掌握技巧

　　现实中的ARP症状不仅复杂，而且会根据局域网的结构出现各种问题和排查难度，特别是在电脑过多的情况下，往往会大大增加排查难度。下面的这个案例就是我真实处理的。
　　现场状况：记得机器狗变种大规模爆发时，公司局域网各个网段频繁出现问题，我经常在不同楼层间跑动，最严重的一次是3个网段的多个部门都出现断网情况。我赶到现场后，发现故障电脑打开网页速度缓慢，内部交换文件也时断时续。
　　我怀疑是ARP病毒在搞鬼了，调出命令提示符窗口，在窗口中输入Ping命令，Ping局域网内另外一台已经开机的电脑IP地址，但是发现无法Ping通，此时已经十有八九肯定是中了ARP病毒。为了保险起见，我又在命令提示符窗口输入命令“ARP –d”，这个命令的意思就是“告诉”电脑删除ARP缓存。
　　在运行完这个命令后，电脑可以打开网页了，但是稍作停留网络连接就出现了问题，打开浏览器输入网址后就开始莫名其妙地大量弹出广告窗口。此时虽然不能够断定是机器狗病毒，但是我已经可以断定局域网内有ARP攻击的问题了。但是由于局域网内电脑数量过于庞大，目前看来ARP攻击源头不止一个，如何查找到多个ARP攻击源头就成为了需要解决的难题。
　　解决方法：由于局域网内电脑过多，如果采用传统的手工定位，逐一对比MAC地址几乎不太可能，因此我决定使用工具来协助解决问题。而且根据刚才的检查状况，局域网内部肯定有ARP病毒流窜，并造成了封包无法送到正确的地址问题。
　　我使用了一个名为ARP Checker的免费ARP欺骗检测工具，安装好这个工具后，只需要选择“始终检测”一项，软件就能够针对指定网段内的所有IP地址发送Ping与Telnet的封包，多数电脑会无法响应而出现time out的现象，唯一有响应的电脑就有可能是中了ARP病毒的电脑。因为这类型的病毒必须确保数据会传送回受感染的电脑，而受感染电脑的ARP缓存通常会变成固定式，不会因为接收到假的ARP封包而修改ARP缓存。
　　很快检测结果出来了（图4），其中一个局域网内有三台电脑被定位，可能是ARP源头。定位好源头之后，我首先现将毒源电脑网络连接断开，然后再用闪存制作的杀毒软件逐一进行杀毒，将问题清理干净。
   

   
    预防方法：根据我的经验，目前ARP病毒大多是透过网页挂马的方式感染用户电脑，因此局域网内最好能够进行IP地址绑定，使用工具设定电脑ARP缓存为固定模式，这样病毒就无法修改ARP缓存，电脑就够将数据传送至正确的地址了。
　　如果电脑数量太过庞大无法进行逐一绑定，可以启用网络设备中的动态ARP检查功能。它可以检查ARP交换情况并拒绝假的ARP封包。以侠诺FVR420V路由器为例，首先打开浏览器输入路由器IP地址，进入登录界面，然后输入用户名和密码进入管理页面，在管理页面左边的选项栏中点击“防火墙配置”，然后选择激活“放置ARP病毒攻击”一项，再根据网络具体情况输入放置ARP攻击每秒发送的帧即可。

everytime

兵小梦

娃娃穷开心

swaq

这个案例比较详细，不错