1.前言
随着网络应用的日益广泛,网络安全问题日益突出。网络病毒和攻击的形式也日趋多样。危害也逐渐增大。其中泛滥于企业网络中的ARP病毒攻击就是典型的代表。也是让众多网络管理员头痛的问题之一。这类病毒针对ARP协议固有的缺陷(啥缺陷?往下看科普幺!),采用发送假ARP保温的方式欺骗和攻击目标。它极可能造成网络内出现随机断线,也可能造成整个网络的瘫痪。还可能造成通信被窃听,信息被篡改等各种严重后果,不能不重视起来啊各位网络管理者们!
2.ARP病毒攻击企业网络的典型症状
典型症状1:上网速度慢,或者网络内共享文件巨慢(表现为利用WIRESHARK抓包,抓到局域网中有大量的ARP报文);
典型症状2:全网同样配置下,唯独某台或者部分电脑无法上网(表现为掉线后,重启电脑或者禁用网卡后再启用就能暂时恢复正常,但一会又会断!);
典型症状3:大面积同时掉线,或时通时断(也就是常见的用户描述“网络突然不好了,卡的不行啊!打开一个网页需要1分钟!”);
典型症状4:电脑挨个掉线,或时通时断(表现为正在使用某一类应用程序的PC依次掉线)
3.ARP病毒攻击科普
ARP病毒是什么呢?ARP全名叫 ADDRESS RESOLUTION PROTOCOL,地址解析协议。网络设备之间是通过ARP协议查找到彼此的IP地址和MAC地址对应关系。从而实现局域网内设备间的正常通信。
下图中所示的IP地址和MAC地址对应表,就是我的PC机通过ARP协议生成的,当我的电脑要和网关192.168.1.1进行通信时,就从这个表中找到网关的MAC地址。从而正确的把报文发送出去。然后在网关设备上通过路由协议找到相应的路由,达到我们的PC上网的目的。
ARP病毒攻击的核心说白了,也就是要破坏掉网络设备的ARP表内容,使得设备无法查到IP地址对应的正确MAC地址,导致报文发送错误。网络通信瘫痪。通俗的理解,我们可以把IP地址看成是人名,MAC地址看成电话号码,那么ARP就是电话薄,如果电话薄上某人的电话号码错了,我们怎么可能正确的联系到这个人?!
由于ARP病毒不同于其他的病毒,它的攻击是基于基础网络协议的天然设计缺陷(通过查找IP-MAC地址映射表进行转发),因此ARP病毒攻击的防御不同于常见的病毒,单靠传统的杀毒软件和防火墙往往是头疼医头,脚疼医脚难以根除。
而且ARP病毒不仅攻击PC,还可以其他一些运作ARP协议的网络设备,这意味着,你网络中的路由器,防火墙,三层交换机等等,都可能感染上ARP病毒!造成网络的整体不稳定甚至瘫痪!因为它的传播和危害范围很广。所以仅靠单一设备,单一的解决方案防御ARP病毒是远远不够的。
4.ARP病毒攻击可能带来的危害
表征1 所有PC无法和网关通信–仿冒网关进行攻击
全网同样配置下,唯独某台电脑无法上网,重启PC后恢复正常,但是过了一段时间后又瞬间瘫痪。查看每台PC的ARP表,发现网关的MAC地址错误。像下图的,标红的PC的网关地址已经被修改为另外一台PC的地址,显然这个PC无法再同网关进行有效通讯了,因此导致无法上网。
原因:攻击者伪造ARP报文,发送源IP地址为同网段的某一个合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文发送给网关,使得网关更新自身的ARP表项中原来合法的用户IP-MAC对应表项。我勒个去的,性质太恶劣了…
还是继续做个例子吧:老总本来想带着A一起去国外考察,B嫉妒A,心理开始不平衡。于是修改了老总电话薄中A的电话号码,这个时候老总联系不上A,只好自己出国考察了,留下A在那郁闷ING….如果B在坏一点,他甚至可能修改老总电话薄中所有员工的电话号码,身在国外的老总连一个员工都联系不上了,公司业务一片混乱!
表征3 窃听通信隐私—“中间人”攻击
某台PC上网突然掉线了,一会又恢复了,但是恢复以后一直上网巨慢,打开一个网页都需要几分钟,查看PC的ARP表,发现网关的MAC地址已经被修改,而且网关上该PC的MAC地址也是伪造的。该PC和网关之间的流量都被REDIRECT到另外一个主机上去了!同样,也会表现为局域网中PC之间共享文件等正常通信非常慢。
遇到过ARP病毒攻击的信息主管都知道,如果明确了是哪台PC中了ARP病毒,后续操作就相对简单了。立刻拔掉这个PC的网线,并且使用专门的ARP专杀软件来进行杀毒吧!从之前的ARP病毒机理分析上可以看出,其实ARP病毒攻击的解决方案关键在于如何快速有效的找到这个ARP病毒攻击源。
当前,不少网管员都是接到了员工的反馈后,才得知了网络不能正常使用了,延误了ARP病毒的诊断时间,在定位ARP攻击源时候,小的公司还能要求每个员工都用查毒软件自查一遍,问题是稍大的公司呢?比如有几千号人的X3X?这个时候就只能通过对每个网络设备端口插拔网线来一一的排查了,即使有网管高手,没有几个小时也很难具体定位到哪个PC在做ARP攻击。
要想第一时间得知网络异常,用最短的时间定位ARP攻击源,最佳的手段就是利用网络设备和网管平台的即时告警和网管分析功能。但是传统网管软件的高价和防ARP病毒功能缺失,限制了中小型企业部署网管系统。因此一套小而精的免费网管系统,也许是各位网管员所渴望的。虽然SOLARWIND能实现这个需求,但是出于大家伙对英文不太感冒,极大限制了SOLARWIND的功能发挥。那有没有国产的网管软件能做到这些呢?其实H3C 的MINI IMC网管系统应该是一个不错的选择
本文来自投稿,不代表展天博客立场,如若转载,请注明出处:https://www.me900.com/205702.html
