ARP防火墻綁定網關MAC地址預防ARP攻擊和P2P終結者

作者：佚名 2012-11-08 11:02:54

在局域網中，通過ARP協議來完成IP地址轉換為第二層物理地址（即MAC地址）的。ARP協議對網絡安全具有重要的意義。通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞。

【故障原理】

要了解故障原理，我們先來了解一下ARP協議。

ARP協議是“Address Resolution Protocol”（地址解析協議）的縮寫。在局域網中，網絡中實際傳輸的是“幀”，幀里面是有目標主機的MAC地址的。在以太網中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢？它就是通過地址解析協議獲得的。所謂“地址解析”就是主機在發(fā)送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的順利進行。

每臺安裝有TCP/IP協議的電腦里都有一個ARP緩存表，表里的IP地址與MAC地址是一一對應的，如下所示。

主機 IP地址 MAC地址

A 192.168.16.1 aa-aa-aa-aa-aa-aa

B 192.168.16.2 bb-bb-bb-bb-bb-bb

C 192.168.16.3 cc-cc-cc-cc-cc-cc

D 192.168.16.4 dd-dd-dd-dd-dd-dd

我們以主機A（192.168.16.1）向主機B（192.168.16.2）發(fā)送數據為例。當發(fā)送數據時，主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了，也就知道了目標MAC地址，直接把目標MAC地址寫入幀里面發(fā)送就可以了；如果在ARP緩存表中沒有找到相對應的IP地址，主機A就會在網絡上發(fā)送一個廣播，目標MAC地址是“FF.FF.FF.FF.FF.FF”，這表示向同一網段內的所有主機發(fā)出這樣的詢問：“192.168.16.2的MAC地址是什么？”網絡上其他主機并不響應ARP詢問，只有主機B接收到這個幀時，才向主機A做出這樣的回應：“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。這樣，主機A就知道了主機B的MAC地址，它就可以向主機B發(fā)送信息了。同時它還更新了自己的ARP緩存表，下次再向主機B發(fā)送信息時，直接從ARP緩存表里查找就可以了。ARP緩存表采用了老化機制，在一段時間內如果表中的某一行沒有使用，就會被刪除，這樣可以大大減少ARP緩存表的長度，加快查詢速度。

從上面可以看出，ARP協議的基礎就是信任局域網內所有的人，那么就很容易實現在以太網上的ARP欺騙。對目標A進行欺騙，A去Ping主機C卻發(fā)送到了DD-DD-DD-DD-DD-DD這個地址上。如果進行欺騙的時候，把C的MAC地址騙為DD-DD-DD-DD-DD-DD，于是A發(fā)送到C上的數據包都變成發(fā)送給D的了。這不正好是D能夠接收到A發(fā)送的數據包了么，嗅探成功。

A對這個變化一點都沒有意識到，但是接下來的事情就讓A產生了懷疑。因為A和C連接不上了。D對接收到A發(fā)送給C的數據包可沒有轉交給C。

做“man in the middle”，進行ARP重定向。打開D的IP轉發(fā)功能，A發(fā)送過來的數據包，轉發(fā)給C，好比一個路由器一樣。不過，假如D發(fā)送ICMP重定向的話就中斷了整個計劃。

D直接進行整個包的修改轉發(fā)，捕獲到A發(fā)送給C的數據包，全部進行修改后再轉發(fā)給C，而C接收到的數據包完全認為是從A發(fā)送來的。不過，C發(fā)送的數據包又直接傳遞給A，倘若再次進行對C的ARP欺騙。現在D就完全成為A與C的中間橋梁了，對于A和C之間的通訊就可以了如指掌了。#p#

【故障現象】

當局域網內某臺主機運行ARP欺騙的木馬程序時，會欺騙局域網內所有主機和路由器，讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過路由器上網現在轉由通過病毒主機上網，切換的時候用戶會斷一次線。

切換到病毒主機上網后，如果用戶已經登陸了傳奇服務器，那么病毒主機就會經常偽造斷線的假像，那么用戶就得重新登錄傳奇服務器，這樣病毒主機就可以盜號了。

由于ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數據包導致局域網通訊擁塞以及其自身處理能力的限制，用戶會感覺上網速度越來越慢。當ARP欺騙的木馬程序停止運行時，用戶會恢復從路由器上網，切換過程中用戶會再斷一次線。

【HiPER用戶快速發(fā)現ARP欺騙木馬】

在路由器的“系統歷史記錄”中看到大量如下的信息（440以后的路由器軟件版本中才有此提示）：

MAC Chged 10.128.103.124

MAC Old 00:01:6c:36:d1:7f

MAC New 00:05:5d:60:c7:18

這個消息代表了用戶的MAC地址發(fā)生了變化，在ARP欺騙木馬開始運行的時候，局域網所有主機的MAC地址更新為病毒主機的MAC地址（即所有信息的MAC New地址都一致為病毒主機的MAC地址），同時在路由器的“用戶統計”中看到所有用戶的MAC地址信息都一樣。

如果是在路由器的“系統歷史記錄”中看到大量MAC Old地址都一致，則說明局域網內曾經出現過ARP欺騙（ARP欺騙的木馬程序停止運行時，主機在路由器上恢復其真實的MAC地址）。#p#

【在局域網內查找病毒主機】

在上面我們已經知道了使用ARP欺騙木馬的主機的MAC地址，那么我們就可以使用NBTSCAN（下載地址：http://www.utt.com.cn/upload/nbtscan.rar）工具來快速查找它。

NBTSCAN可以取到PC的真實IP地址和MAC地址，如果有”傳奇木馬”在做怪，可以找到裝有木馬的PC的IP/和MAC地址。

命令：“nbtscan -r 192.168.16.0/24”（搜索整個192.168.16.0/24網段, 即192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 網段，即192.168.16.25-192.168.16.137。輸出結果第一列是IP地址，最后一列是MAC地址。

NBTSCAN的使用范例：

假設查找一臺MAC地址為“000d870d585f”的病毒主機。

1）將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下。

2）在Windows開始—運行—打開，輸入cmd（windows98輸入“command”），在出現的DOS窗口中輸入：C: btscan -r 192.168.16.1/24（這里需要根據用戶實際網段輸入），回車。

3）通過查詢IP--MAC對應表，查出“000d870d585f”的病毒主機的IP地址為“192.168.16.223”。

【解決思路】

1、不要把你的網絡安全信任關系建立在IP基礎上或MAC基礎上，（rarp同樣存在欺騙的問題），理想的關系應該建立在IP+MAC基礎上。

2、設置靜態(tài)的MAC-->IP對應表，不要讓主機刷新你設定好的轉換表。

3、除非很有必要，否則停止使用ARP，將ARP做為永久條目保存在對應表中。

4、使用ARP服務器。通過該服務器查找自己的ARP轉換表來響應其他機器的ARP廣播。確保這臺ARP服務器不被黑。

5、使用"proxy"代理IP的傳輸。

6、使用硬件屏蔽主機。設置好你的路由，確保IP地址能到達合法的路徑。（靜態(tài)配置路由ARP條目），注意，使用交換集線器和網橋無法阻止ARP欺騙。

7、管理員定期用響應的IP包中獲得一個rarp請求，然后檢查ARP響應的真實性。

8、管理員定期輪詢，檢查主機上的ARP緩存。

9、使用防火墻連續(xù)監(jiān)控網絡。注意有使用SNMP的情況下，ARP的欺騙有可能導致陷阱包丟失。#p#

【HiPER用戶的解決方案】

建議用戶采用雙向綁定的方法解決并且防止ARP欺騙。

1、在PC上綁定路由器的IP和MAC地址：

1）首先，獲得路由器的內網的MAC地址（例如HiPER網關地址192.168.16.254的MAC地址為0022aa0022aa）。

2）編寫一個批處理文件rarp.bat內容如下：

@echo off

arp -d

arp -s 192.168.16.254 00-22-aa-00-22-aa

將文件中的網關IP地址和MAC地址更改為您自己的網關IP地址和MAC地址即可。

將這個批處理軟件拖到“windows--開始--程序--啟動”中。

3）如果是網吧，可以利用收費軟件服務端程序（pubwin或者萬象都可以）發(fā)送批處理文件rarp.bat到所有客戶機的啟動目錄。Windows2000的默認啟動目錄為“C:\Documents and SettingsAll Users「開始」菜單程序啟動”。

2、在路由器上綁定用戶主機的IP和MAC地址（440以后的路由器軟件版本支持）：

在HiPER管理界面--高級配置--用戶管理中將局域網每臺主機均作綁定。

例

一、有人惡意破壞網絡。

這種事情，一般會出現在網吧，或是一些人為了找到更好的網吧上網座位，強行讓別人斷線。

又或是通過ARP欺騙偷取內網帳號密碼。

二，病毒木馬

如：傳奇網吧殺手等，通過ARP欺騙網絡內的機器，假冒網關。從而偷取對外連接傳奇服務器的密碼。

ARP欺騙的原理如下：

假設這樣一個網絡，一個交換機接了3臺機器

HostA HostB HostC 其中

A的地址為：IP：192.168.1.1 MAC: AA-AA-AA-AA-AA-AA －－－－－－－－－網關

B的地址為：IP：192.168.1.2 MAC: BB-BB-BB-BB-BB-BB －－－－－－－－黑客

C的地址為：IP：192.168.1.3 MAC: CC-CC-CC-CC-CC-CC －－－－－－－－－被欺騙者

正常情況下 C:\arp -a

Interface: 192.168.1.3 on Interface 0x1000003

Internet Address Physical Address Type

192.168.1.1 BB-BB-BB-BB-BB-BB dynamic

現在假設HostB開始了罪惡的ARP欺騙：假冒A像c發(fā)送ARP欺騙包

B向C發(fā)送一個自己偽造的ARP欺騙包，而這個應答中的數據為發(fā)送方IP地址是192.168.1.1（網關的IP地址），MAC地址

是BB-BB-BB-BB-BB-BB (A的MAC地址本來應該是AA-AA-AA-AA-AA-AA，這里被偽造了）。當C接收到B偽造的ARP應答，就會更新

本地的ARP緩存（C可不知道被偽造了）。而且C不知道其實是從B發(fā)送過來的，這樣C就受到了B的欺騙了，凡是發(fā)往A的數據就會發(fā)往B，

這時候那么是比較可怕的，你的上網數據都會先流向B,在通過B去上網，如果這時候B上裝了SNIFFER軟件，那么你的所有出去的密碼都將被截獲。

為了以后出現問題的時候好查找，我建議大家平時建立一個MAC和IP的對應表，把局域網內所有網卡的MAC地址和IP、地理位置統統裝入數據庫

，以便當以后發(fā)現ARP 欺騙時找出欺騙者的機器。#p#

二、防范措施和解決方法。

方法一

通過arp –s 來綁定網關的MAC 地址和IP 地址。

這種方法對于XP 和2003系統是有用的，使用arp –s 來綁定的話。那么在ARP表中顯示的是一條靜態(tài)的記錄。

這樣就不會被動態(tài)的ARP 欺騙包給欺騙，而修改。

那么在2000的系統上也是可以使用arp -s來進行綁定得，在SP4的2000系統上需要下載2000 Rollup v2更新補丁包，ARP的補丁已經包含在里面了，大小應該在38MB那樣。

http://download.microsoft.com/download/7/e/9/7e969f31-e33d-45a2-9d1a-fecbcde29a0e/Windows2000-KB891861-v2-x86-CHS.EXE

并且裝好后，下面幾個文件不能小于下面的版本號。

Date Time Version Size File name

--------------------------------------------------------

19-Jun-2003 20:05 5.0.2195.6602 108,816 Msafd.dll

02-Jun-2004 22:44 5.0.2195.6938 318,832 Tcpip.sys

19-Jun-2003 20:05 5.0.2195.6601 17,680 Wshtcpip.dll

19-Jun-2003 20:05 5.0.2195.6687 120,240 Afd.sys

19-Jun-2003 20:05 5.0.2195.6655 16,240 Tdi.sys

相關文章，大家可以看微軟的KB .http://support.microsoft.com/kb/842168

例：arp -s 192.168.1.1 00-0B-AD-DD-22-35

方法二

有些木馬或是一些駭客總是使用本地網卡上的網關來做欺騙。網關是通往外網或是和不同網絡互聯的一個中間設備。

而通過添加路由表中的記錄，設置優(yōu)先級高于網關默認路由，那么網關的路由在級別高的路由可用時將不會生效。

施行方法：1.先手動修改客戶機的網關地址為任意ip地址，最好是同一網段中，沒使用的一個IP，以免被懷疑。

2.手動添加或是通過批處理，或是腳本來添加永久對出口路由。

此中方法可以欺騙過大部份，菜鳥或是所謂的駭客和大部份ARP欺騙木馬。

缺點是：如果以后網關以后網卡或是機器改變。那么以后還得重新修改已有得路由。

route delete 0.0.0.0 －－－－－刪除到默認得路由

route add 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1 －－－添加路由

route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1 ------參數-p 就是添加永久的記錄。

route change －－修改路由

http://www.99191.com/dispbbs.asp?BoardID=33&ID=2631&replyID=6840&skin=1

方法三

1. 如果你但前使用得交換機器有網卡和MAC地址綁定功能，那么將你所在得網得IP地址和MAC 地址進行綁定。

但有時候，我們可能沒有這些設備那么要想做就很困難了。

另類方法思路－－如何全面解決讓ARP欺騙，ARP木馬無法在本機器安裝,運行。

大部分監(jiān)控，arp 欺騙軟件，都會使用到一個winpcap驅動。那么現在的思路就是讓其無法在本地計算機安裝。

這樣arp欺騙軟件就無法被使用了使用了，此方法可以用于任何程序的安裝。

需要的條件：

1.所在的系統盤為NTFS 分區(qū)格式。

2.知道所要安裝的文件所要在系統中生成的文件。

3.使用注冊表和文件安裝監(jiān)視軟件來監(jiān)視安裝所生成的文件。

方法四：

利用些別人做好的ARP 監(jiān)控工具。

。

實驗：

作業(yè)：

1.使用arp -s 來添加一條arp靜態(tài)記錄，使用arp -a 查看添加的記錄。使用arp -d 來刪除剛添加的那條記錄

2.使用route print 來查看現有的路由表，使用route add -p 來添加一條永久記錄，最后使用route delete來刪除剛建的那條記錄。

3.使用組策略禁止本地系統中的記事本程序。

4.利用注冊表和文件安裝監(jiān)視軟件，來查找組策略中設置后，對注冊表中鍵值的修改。

并通過修改注冊表，禁止記事本軟件（notepad.exe）的執(zhí)行。#p#

如何檢查和處理“ ARP 欺騙”木馬的方法

1 ．檢查本機的“ ARP 欺騙”木馬染毒進程

同時按住鍵盤上的“ CTRL ”和“ ALT ”鍵再按“ DEL ”鍵，選擇“任務管理器”，點選“進程”標簽。察看其中是否有一個名為“ MIR0.dat ”的進程。如果有，則說明已經中毒。右鍵點擊此進程后選擇“結束進程”。參見右圖。

2 ．檢查網內感染“ ARP 欺騙”木馬染毒的計算機

在“開始” - “程序” - “附件”菜單下調出“命令提示符”。輸入并執(zhí)行以下命令：

ipconfig

記錄網關 IP 地址，即“ Default Gateway ”對應的值，例如“ 59.66.36.1 ”。再輸入并執(zhí)行以下命令：

arp –a

在“ Internet Address ”下找到上步記錄的網關 IP 地址，記錄其對應的物理地址，即“ Physical Address ”值，例如“ 00-01-e8-1f-35-54 ”。在網絡正常時這就是網關的正確物理地址，在網絡受“ ARP 欺騙”木馬影響而不正常時，它就是木馬所在計算機的網卡物理地址。

也可以掃描本子網內的全部 IP 地址，然后再查 ARP 表。如果有一個 IP 對應的物理地址與網關的相同，那么這個 IP 地址和物理地址就是中毒計算機的 IP 地址和網卡物理地址。

3 ．設置 ARP 表避免“ ARP 欺騙”木馬影響的方法

本方法可在一定程度上減輕中木馬的其它計算機對本機的影響。用上邊介紹的方法確定正確的網關 IP 地址和網關物理地址，然后在 “命令提示符”窗口中輸入并執(zhí)行以下命令：

arp –s 網關 IP 網關物理地址

4.態(tài)ARP綁定網關

步驟一：

在能正常上網時，進入MS-DOS窗口，輸入命令：arp －a，查看網關的IP對應的正確MAC地址，并將其記錄下來。

注意：如果已經不能上網，則先運行一次命令arp －d將arp緩存中的內容刪空，計算機可暫時恢復上網（攻擊如果不停止的話）。一旦能上網就立即將網絡斷掉（禁用網卡或拔掉網線），再運行arp －a。

步驟二：

如果計算機已經有網關的正確MAC地址，在不能上網只需手工將網關IP和正確的MAC地址綁定，即可確保計算機不再被欺騙攻擊。

要想手工綁定，可在MS-DOS窗口下運行以下命令：

arp －s 網關IP 網關MAC

例如：假設計算機所處網段的網關為192.168.1.1，本機地址為192.168.1.5，在計算機上運行arp －a后輸出如下：

Cocuments and Settings>arp -a

Interface:192.168.1.5 --- 0x2

Internet Address Physical Address Type

192.168.1.1 00-01-02-03-04-05 dynamic

其中，00-01-02-03-04-05就是網關192.168.1.1對應的MAC地址，類型是動態(tài)（dynamic）的，因此是可被改變的。

被攻擊后，再用該命令查看，就會發(fā)現該MAC已經被替換成攻擊機器的MAC。如果希望能找出攻擊機器，徹底根除攻擊，可以在此時將該MAC記錄下來，為以后查找該攻擊的機器做準備。

手工綁定的命令為：

arp －s 192.168.1.1 00-01-02-03-04-05

綁定完，可再用arp －a查看arp緩存：

Cocuments and Settings>arp -a

Interface: 192.168.1.5 --- 0x2

Internet Address Physical Address Type

192.168.1.1 00-01-02-03-04-05 static

這時，類型變?yōu)殪o態(tài)（static），就不會再受攻擊影響了。

但是，需要說明的是，手工綁定在計算機關機重啟后就會失效，需要再次重新綁定。所以，要徹底根除攻擊，只有找出網段內被病毒感染的計算機，把病毒殺掉，才算是真正解決問題。#p#

5 .作批處理文件

在客戶端做對網關的arp綁定，具體操作步驟如下：

步驟一：

查找本網段的網關地址，比如192．168．1．1，以下以此網關為例。在正常上網時，“開始→運行→cmd→確定”，輸入：arp －a，點回車，查看網關對應的Physical Address。

比如：網關192.168.1.1 對應00－01－02－03－04－05。

步驟二：

編寫一個批處理文件rarp.bat，內容如下：

@echo off

arp －d

arp -s 192.168.1.1 00－01－02－03－04－05

保存為：rarp.bat。

步驟三：

運行批處理文件將這個批處理文件拖到“Windows→開始→程序→啟動”中，如果需要立即生效，請運行此文件。

注意：以上配置需要在網絡正常時進行

6.使用安全工具軟件

及時下載Anti ARP Sniffer軟件保護本地計算機正常運行。具體使用方法可以在網上搜索。

如果已有病毒計算機的MAC地址，可使用NBTSCAN等軟件找出網段內與該MAC地址對應的IP，即感染病毒的計算機的IP地址，然后報告單位的網絡中心對其進行查封。

或者利用單位提供的集中網絡防病毒系統來統一查殺木馬。另外還可以利用木馬殺客等安全工具進行查殺。

7.應急方案

網絡管理管理人員利用上面介紹的ARP木馬檢測方法在局域網的交換機上查出受感染該病毒的端口后，立即關閉中病毒的端口，通過端口查出相應的用戶并通知其徹底查殺病毒。而后，做好單機防范，在其徹底查殺病毒后再開放相應的交換機端口，重新開通上網。

附錄一

清華大學校園網絡安全響應小組編的一個小程序

下載地址： ftp://166.111.8.243/tools/ArpFix.rar

清華大學校園網絡安全響應小組編了一個小程序，它可以保護您的計算機在同一個局域網內部有ARP欺騙木馬計算機的攻擊時，保持正常上網。具體使用方法：

1、程序運行后請先選擇網卡，選定網卡后點擊“選定”按鈕。

2、選定網卡后程序會自動獲取您機器的網關地址。

3、獲得網關地址后請點擊獲取MAC地址按鈕獲取正確的網關MAC地址。

4、確認網關的MAC地址后請點擊連接保護，程序開始保護您的機器。

5、點擊程序右上角的叉，程序自動隱藏到系統托盤內。

6、要完全退出程序請在系統托盤中該程序圖標上點擊右鍵選擇EXIT。

注意：

1、這個程序只是一個ARP攻擊保護程序，即受ARP木馬攻擊時保持自己計算機的MAC地址不被惡意篡改，從而在遭受攻擊時網絡不會中斷。本程序并不能清除已經感染的ARP木馬，要預防感染或殺除木馬請您安裝正版的殺毒軟件！

附錄二

Anti Arp Sniffer 的用法

下載地址：http://www.wipe.edu.cn/Files/wlzx/Antiarp.rar

責任編輯：藍雨淚來源： hack6