返回目录:office365
随着网络应用的日益广泛,网络安全问题日益突出。网络病毒和攻击的形式也日趋多样。危害也逐渐增大。其中泛滥于企业网络中的ARP病毒攻击就是典型的代表。也是让众多网络管理员头痛的问题之一。这类病毒针对ARP协议固有的缺陷(啥缺陷?往下看科普幺!),采用发送假ARP保温的方式欺骗和攻击目标。它极可能造成网络内出现随机断线,也可能造成整个网络的瘫痪。还可能造成通信被窃听,信息被篡改等各种严重后果,不能不重视起来啊各位网络管理者们!
2.ARP病毒攻击企业网络的典型症状
典型症状1:上网速度慢,或者网络内共享文件巨慢(表现为利用WIRESHARK抓包,抓到局域网中有大量的ARP报文);
典型症状2:全网同样配置下,唯独某台或者部分电脑无法上网(表现为掉线后,重启电脑或者禁用网卡后再启用就能暂时恢复正常,但一会又会断!);
典型症状3:大面积同时掉线,或时通时断(也就是常见的用户描述“网络突然不好了,卡的不行啊!打开一个网页需要1分钟!”);
典型症状4:电脑挨个掉线,或时通时断(表现为正在使用某一类应用程序的PC依次掉线)
3.ARP病毒攻击科普
ARP病毒是什么呢?ARP全名叫 ADDRESS RESOLUTION PROTOCOL,地址解析协议。网络设备之间是通过ARP协议查找到彼此的IP地址和MAC地址对应关系。从而实现局域网内设备间的正常通信。
下图中所示的IP地址和MAC地址对应表,就是我的PC机通过ARP协议生成的,当我的电脑要和网关192.168.1.1进行通信时,就从这个表中找到网关的MAC地址。从而正确的把报文发送出去。然后在网关设备上通过路由协议找到相应的路由,达到我们的PC上网的目的。
ARP病毒攻击的核心说白了,也就是要破坏掉网络设备的ARP表内容,使得设备无法查到IP地址对应的正确MAC地址,导致报文发送错误。网络通信瘫痪。通俗的理解,我们可以把IP地址看成是人名,MAC地址看成电话号码,那么ARP就是电话薄,如果电话薄上某人的电话号码错了,我们怎么可能正确的联系到这个人?!
由于ARP病毒不同于其他的病毒,它的攻击是基于基础网络协议的天然设计缺陷(通过查找IP-MAC地址映射表进行转发),因此ARP病毒攻击的防御不同于常见的病毒,单靠传统的杀毒软件和防火墙往往是头疼医头,脚疼医脚难以根除。
而且ARP病毒不仅攻击PC,还可以其他一些运作ARP协议的网络设备,这意味着,你网络中的路由器,防火墙,三层交换机等等,都可能感染上ARP病毒!造成网络的整体不稳定甚至瘫痪!因为它的传播和危害范围很广。所以仅靠单一设备,单一的解决方案防御ARP病毒是远远不够的。
4.ARP病毒攻击可能带来的危害
表征1 所有PC无法和网关通信–仿冒网关进行攻击
全网同样配置下,唯独某台电脑无法上网,重启PC后恢复正常,但是过了一段时间后又瞬间瘫痪。查看每台PC的ARP表,发现网关的MAC地址错误。像下图的,标红的PC的网关地址已经被修改为另外一台PC的地址,显然这个PC无法再同网关进行有效通讯了,因此导致无法上网。
原因 攻击者伪造ARP报文,发送源IP地址为网关IP地址,源MAC地址为伪造的MAC地址的ARP报文给攻击的主机,使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。这样一来,主机访问网关的流量,就被REDIRECT到一个错误的MAC地址,导致该用户无法正常访问外网。这样,如果某台PC的ARP表被攻击者修改,它就没法上网了!
而且,攻击者还可能使用第三方PC的MAC地址作为伪造的MAC,这样即使在被攻击者PC上查到了伪造的MAC地址,也很难定位哪台PC是真正的攻击者。
为了加深大家的理解,我用还是用上面提到的电话薄来做个例子:老总和三个员工ABC,每个人的电话薄都记录了其他人的号码。A没有升经理,心理不平衡,修改了所有人电话薄中老总的电话号码,并且通过口头通知大家,老总的号码已经修改成我提供的这个号码了!(和原来的不一致)甚至,A可以把B中电话薄的老总的电话号码修改为C,让B误认为是C干的,造成整个公司内疑神疑鬼,上演一出出无间道….
表征二 所有PC和网关无法通信—欺骗网关攻击
网络中PC批次掉线,甚至全网中PC都无法上网,查看路由器ARP表项,发现很多错误地址。重启路由器后恢复正常。但过一段时间PC又开始掉线,导致很多用户怀疑是路由器发生了故障。正如下图中看到的,网关路由的ARP表中各台PC的MAC地址已经不正确,导致网关无法把正确的报文转发到指定的PC上去无法上网。
原因:攻击者伪造ARP报文,发送源IP地址为同网段的某一个合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文发送给网关,使得网关更新自身的ARP表项中原来合法的用户IP-MAC对应表项。我勒个去的,性质太恶劣了…
还是继续做个例子吧:老总本来想带着A一起去国外考察,B嫉妒A,心理开始不平衡。于是修改了老总电话薄中A的电话号码,这个时候老总联系不上A,只好自己出国考察了,留下A在那郁闷ING….如果B在坏一点,他甚至可能修改老总电话薄中所有员工的电话号码,身在国外的老总连一个员工都联系不上了,公司业务一片混乱!
表征3 窃听通信隐私—“中间人”攻击
某台PC上网突然掉线了,一会又恢复了,但是恢复以后一直上网巨慢,打开一个网页都需要几分钟,查看PC的ARP表,发现网关的MAC地址已经被修改,而且网关上该PC的MAC地址也是伪造的。该PC和网关之间的流量都被REDIRECT到另外一个主机上去了!同样,也会表现为局域网中PC之间共享文件等正常通信非常慢。
原因:ARP中间人攻击,又被称为ARP双向欺骗,如果有恶意攻击者想探听其他正常通讯双方的内容,可以分别给这两台PC发送伪造的ARP应答报文,使得两者分别用攻击者的MAC地址来更新自身的ARP映射表。这样,以后正常通讯的两方的流量就被自动的被中转到窃听者/攻击者的主机上,从而使得窃听者获取到通信双方的对话内容。
继续举个例子:B想偷听A和C之间的悄悄话,于是修改了AC中电话薄的号码,并且把对方的MAC地址修改为自己的(这步最关键),这样他们之间的通话就先中转到B这里来了。
表征4 常有人掉线,网络还很慢—-ARP报文泛洪攻击
经常有人反馈上不了网,或者网速很慢,查看ARP表项也都正常,但是在网络中抓报文分析,发现大量的ARP请求报文(正常情况下,除非网络设备和PC刚刚启动,比如刚上班开机时候,否则网络中ARP报文所占比例是非常小的)。
原因:恶意用户利用工具构造了大量ARP报文发往交换机,路由器或者某台PC的的某个端口,导致CPU忙于处理ARP协议,负担过重,造成设备其他功能不正常使用甚至瘫痪。
再来个例子吧:A为了保障公司电话薄中的通讯方式精准,会定时的检查和刷新电话薄,B就高频率的发送信息修改A的电话薄,导致A只能不断的更新电话薄中相关的记录,那他整天都干这个事了,哪里还有工夫处理别的事务?
5.如何快速确定ARP病毒攻击源
通过以上对ARP病毒机理和表征做了分析以后,我们就能看到ARP病毒不同于普通计算机病毒或者普通的网络病毒。它具有传播速度快,影响面积大,根除难度高等特点,一旦网络中出现了ARP病毒攻击,那想要及时快速的清除它,各位网管员们可是要下一番牛功夫幺!
下面是我总结的一些常见的防护ARP病毒攻击的手段:
1.根据网络病毒的特征,通过检查PC和设备状态(主要是ARP表项是否正常,以及PING测连通状态),过滤报文,网络抓包(WIRESHARK是个不错的工具!)或者网管工具分析(华三的IMC网管平台,或者SOLARWIND都是不错的选择幺!),发现源头即时杀毒。
2.深入病毒机理,即使病毒已经发作,仍然通过切断传播路径(逐段拔网线,可以排查缩小病毒所在范围)来有效的控制病毒感染范围,大大降低病毒危害程度,做到积极防御;
3.确保PC的病毒库,补丁库实时更新,或者安装了第三方的ARP防火墙(360安全卫士就有这个组件,效果还不错),提升网络设备的抗攻击能力(比如部署ACL或者ARP检测等手段),可以提高网络对各种病毒的防御能力;
6.如何切断ARP病毒攻击的传播路径?
根据上面的排查思路,再附图一张,给一个大概的快速排查ARP病毒攻击的排障流程,如下。
遇到过ARP病毒攻击的信息主管都知道,如果明确了是哪台PC中了ARP病毒,后续操作就相对简单了。立刻拔掉这个PC的网线,并且使用专门的ARP专杀软件来进行杀毒吧!从之前的ARP病毒机理分析上可以看出,其实ARP病毒攻击的解决方案关键在于如何快速有效的找到这个ARP病毒攻击源。
当前,不少网管员都是接到了员工的反馈后,才得知了网络不能正常使用了,延误了ARP病毒的诊断时间,在定位ARP攻击源时候,小的公司还能要求每个员工都用查毒软件自查一遍,问题是稍大的公司呢?比如有几千号人的X3X?这个时候就只能通过对每个网络设备端口插拔网线来一一的排查了,即使有网管高手,没有几个小时也很难具体定位到哪个PC在做ARP攻击。
要想第一时间得知网络异常,用最短的时间定位ARP攻击源,最佳的手段就是利用网络设备和网管平台的即时告警和网管分析功能。但是传统网管软件的高价和防ARP病毒功能缺失,限制了中小型企业部署网管系统。因此一套小而精的免费网管系统,也许是各位网管员所渴望的。虽然SOLARWIND能实现这个需求,但是出于大家伙对英文不太感冒,极大限制了SOLARWIND的功能发挥。那有没有国产的网管软件能做到这些呢?其实H3C 的MINI IMC网管系统应该是一个不错的选择