ARP病毒分析与防御
2021-04-29
来源:欧得旅游网
维普资讯 http://www.cqvip.com QQ Q: Science and TechnOIOgy Consulting Herald T技术 ARP病毒分析与防御 李党恩’ 王春花 (项城市中等专业学校网络中心 河南项城466200) 摘要:在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAc地址)的。ARP协议对网络安全具有重要的意义。 通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。 关键词:ARP MAC 端口 网关 中图分类号:TP393.08 文献标识码:A 文章编号:1673—0534(2OO7)O6(b)一0026—02 1 ARP Spoofing攻击原理分析 ARP协议是“Address Resolution 登陆了传奇服务器,那么病毒主机就会经常伪 造断线的假像,那么用户就得重新登录传奇服 (并监视)为内核级驱动设备:”NetGroup Packet Filter Driver” Protocol”(地址解析协议)的缩写 在局域网 务器,这样病毒主机就可以盗号了。 中,网络中实际传输的是“帧”,帧里面是有目 由于ARP欺骗的木马程序发作的时候会 标主机的MAC地址的。在以太网中,一个主 发出大量的数据包导致局域网通讯拥塞以及 机要和另一个主机进行直接通信,必须要知道 其自身处理能力的限制,用户会感觉上网速度 目标主机的MAC地址。但这个目标MAC地 越来越慢。当ARP欺骗的木马程序停止运行 址是如何获得的呢?它就是通过地址解析协 时,用户会恢复从路由器上网,切换过程中用 议获得的。所谓“地址解析”就是主机在发送 户会再断一次线。 帧前将目标IP地址转换成目标MAC地址的 在路由器的“系统历史记录”中看到大量 过程。ARP协议的基本功能就是通过目标设 如下的信息: 备的IP地址,查询目标设备的MAC地址,以 MAC Chged 10.128.103.124MAC Old 保证通信的顺利进行。通过伪造I P地址和 00:01:6c:36:d1:7fMAC New 00:05:5d: MAC地址实现ARP欺骗,能够在网络中产生 60:c7:l8 大量的A R P通信量使网络阻塞或者实现 这个消息代表了用户的MAC地址发生了 “man in the middle”进行ARP重定向和 变化,在ARP欺骗木马开始运行的时候,局域 嗅探攻击。 网所有主机的MA c地址更新为病毒主机的 用伪造源MAC地址发送ARP响应包,对 MAc地址(即所有信息的MAC New地址都 ARP高速缓存机制的攻击。每个主机都用一 一致为病毒主机的MAC地址),同时在路由器 个ARP高速缓存存放最近IP地址到MAC硬 的“用户统计”中看到所有用户的MAC地址 件地址之间的映射记录。MS Windows高速 信息都一样。 缓存中的每一条记录(条目)的生存时间一般为 如果是在路由器的“系统历史记录”中看 6O秒,起始时间从被创建时开始算起。 到大量MAC Old地址都一致,则说明局域网 默认情况下,ARP从缓存中读取IP— 内曾经出现过ARP欺骗(ARP欺骗的木马程 MAC条目,缓存中的IP—MAC条目是根据 序停止运行时,主机在路由器上恢复其真实的 ARP响应包动态变化的。因此,只要网络上有 MAC地址)。 ARP响应包发送到本机,即会更新ARP高速 BKDRNPFECT.A病毒引起ARP欺骗 缓存中的IP-MAC条目。 之实测分析 攻击者只要持续不断的发出伪造的ARP 病毒现象:中毒机器在局域网中发送假的 响应包就能更改目标主机ARP缓存中的IP- APR应答包进行APR欺骗,造成其他客户机 MAC条目,造成网络中断或中间人攻击。 无法获得网关和其他客户机的网卡真实MAC ARP协议并不只在发送了ARP请求才 地址,导致无法上网和正常的局域网通信。 接收ARP应答。当计算机接收到ARP应答数 病毒原理分析: 据包的时候,就会对本地的ARP缓存进行更 病毒的组件 新,将应答中的IP和MAC地址存储在ARP 本文研究的病毒样本有三个组件构成: 缓存中。 %windows%\SYSTEM32\LOADHW. 因此,B向A发送一个自己伪造的ARP应 ExE(108,386 bytes)……“病毒组件释放 答,而这个应答中的数据为发送方IP地址是 者” 192.168.10.3(C的IP地址),MAC地址是 %windows%kSystem32\drivers\npf.sys DD—DD—DD—DD—DD~DD(C的MA C地 (119,808 bytes)……“发ARP欺骗包的驱 址本来应该是cc—cc—CC-Cc—cc~cc, 动程序” 这里被伪造了)。当A接收到B伪造的ARP应 %windows%\System32Xmsitinit.dll 答,就会更新本地的ARP缓存(A可不知道被 (39,952 bytes)…“命令驱动程序发ARP欺 伪造了)。 骗包的控制者” 病毒运作基理: 2 ARP病毒分析 (1)L0ADHw.ExE执行时会释放两个 当局域网内某台主机运行ARP欺骗的木 组件npf.sys和msitinit.dl1. 马程序时,会欺骗局域网内所有主机和路由 L0ADHW.EXE释放组件后即终止运行。 器,让所有上网的流量必须经过病毒主机。其 注意:病毒假冒成winPcap的驱动程序, 他用户原来直接通过路由器上网现在转由通 并提供winPcap的功能。客户若原先装有 过病毒主机上网,切换的时候用户会断一次 winPcap,npf.sys将会被病毒文件覆盖掉. 线。切换到病毒主机上网后,如果用户已经 (2)随后msitinit.dll将npf.sys注册 26科技咨询导报Science and Technology Consulting Herald msitinit.dll还负责发送指令来操作驱动 程序npf.sys(如发送APR欺骗包,抓包,过 滤包等) 以下从病毒代码中提取得服务相关值: BinaryPathName=“system32\dri vers\npf.sys”StartType=SERVICE—AUT 0一STARTSe rviceTYPe=SERVIC EKERNEL—DRIVERDesiredAccess ̄ SERVICE—ALL—ACCESSDisplayName= “NetGrOupPacket Filter Driver” ServiceName=‘‘Npf” (3)npf.sys负责监护msitinit.dl1.并将 LOADHW.EXE注册为自启动程序: 『HKEYA_DCALMACHINE\so丌WAR E\Microsoft\Windows\CurrentVersion\ RunOnce】 dwMyTest=L0ADHW.EXE 注:由于该项位于RunOnce下,该注册表 启动项在每次执行后,即会被系统自动删除. 反病毒应急响应解决方案 按以下顺序删除病毒组件 1)删除“病毒组件释放者” %windows%kSYSTEM32\LOADHW. EXE 2)删除“发ARP欺骗包的驱动程序”(兼 “病毒守护程序”) %windows%\System32kdrivers\npf.sys a.在设备管理器中,单击“查看”一~> “显示隐藏的设备” b.在设备树结构中,打开“非即插即 用….” C.找到“NetGroup Packet Filter Driver”,若没找到,请先刷新设备列表 d.右键点击“NetGroup Packet Fil- ter D rive r”菜单,并选择“卸载”。 e.重启windows系统, f.删除%windows%\System32\drivers \npf.sys 3)删除“命令驱动程序发ARP欺骗包 的控制者” %windows%kSystem32\msitinit.dll 3 ARP防御方法 使用可防御ARP攻击的三层交换机,绑 定端口一MAc~IP,限制ARP流量,及时发现 并自动阻断ARP攻击端口,合理划分VLAN, 彻底阻止盗用IP、MAC地址,杜绝ARP的攻 击。 对于经常爆发病毒的网络,进行Internet 访问控制,限制用户对网络的访问。此类 维普资讯 http://www.cqvip.com T技术 Science end Technology Consu lP电话技术及应用分析 项大成 (辽河油田通信公司 124010) 摘要:基于互联网络的IP电话作为一种新的通信模式已经走进我们的生活,尽管IP电话在语音质量上比起传统的模拟电话来还不尽如 人意,但随着Internet连接速率的提高和技术上的改进,IP电话话音质量得到了很大的改善。这项新技术,不仅代表了网络应用的新方向, 而且在不远的将来很可能会完全改变现有的通信模式而居于主导地位。 关键词:IP电话技术应用 中图分类号:TP316 文献标识码:A 文章编号:1673—0534(2007)06(b)一0027—01 IP电话的概念:简单来说,IP电话即网络 之间。为了提高话音质量,最直接的方法是 电话,就是通过Internet打电话。 扩大Internet的接入速率。 近几年,我国的电话用户增长迅速,丰富 IP电话的基本原理:IP电话的话音是利 用基于路由器/分组交换的IP数据网进行传 的用户资源为IP电话业务的发展提供了雄厚 输的,在Internet中采用“存储一转发”的 的基础。I P电话如能解决如标准问题、服 QOS)问题、Internet的下一代建设、 方式传递数据包,不独占电路,并且对语音信 务质量(号进行了很大的压缩处理,因此IP电话占用带 IP电话网关、IP电话的管理以及IP电话的 宽仅为8-10kbit/s,通信方式的便捷再加上分 发展步骤等问题,在公众对廉价通信的需求十 组交换的计费方式与距离的远近无关,这样就 分迫切的情况下,IP电话业务必将取得新的长 极大节省了长途通信费用。 足发展。 首先,语音信号通过公用电话网络被传输 到IP电话网关;然后网关再将话音信号转换 压缩成数字信号传递进入Internet;而这些数 字信号通过遍及全球而成本低廉的网络将信 号传递到对方所在地的网关,再由这个网关 将数字信号还原成为模拟信号,输入到当地的 公共电话网络,最终将语音信号传给收话人。 IP电话系统的关键设备——网关:设在各 地的网关由一个独一的IP地址表示,它是架通 两种通信传输方式的一座桥梁,是Internet上 的“交换局”,以实现远程电话间的互联和通 信。在一边,网关连接传统的电路交换网如公 共交换电话网PSTN,可和外部的任意一部 电话通信。在另一边,网关连接分组交换网如 Internet、Intranet等,可和接入网络的任意 台计算机通信。在整个Internet电话系统 中,网关分布在世界各地,处理当地的PSTN 网与Internet的接入和转换理。网关接收标准 电话信号,经数字化与大幅度地压缩后,使用 IP协议进行分组送到Internet,找出传输路 由,通过Internet发往目的地。反之,接收 Intemet传输过来的数据分组,并转往电话网 络系统。接入和转出电话网络系统可同时进 行,实现全双工即双向通话。 IP电话话音质量:话音质量基本取决于两 个因素:一是上网通信线路的速度;二是 Internet本身是否繁忙。IP电话话音质量与普 通电话话音质量相比主要有两个方面的差别: 是话音滞后,二有时略有失真现象。凡 是使用过IP电话的人,普遍认为话音质量比 想象的好,一般来讲介于普通电话与移动电话 一一是,与WLAN方式相比,无线城域网在标准规 范等方面还不成熟,它对市场的影响力要慢于 WLAN+IP电话方式,因此,IP电话的移动化 将进一步冲击传统电信运营商,包括移动话音 运营商的市场空间。 4 IP电话与智能通信融合带来的发展 IP电话技术使得在分组网络(如IP网络) 上统一承载数据、语音和多媒体等多种媒体 业务成为可能;软交换技术的发展使得多种网 络上基于多种协议的实时呼叫的统一控制成 为可能;开放业务接口技术和分布式中间件技 术的发展使得多种网络业务层面的融合成为 可能,并进一步促进了电信领域与IT领域的 融合;各种宽带接入、综合接入和无线接入 技术(如WLAN、3G、Beyond 3G)的发展 使得多种网络到核心分组传输网络的综合接 入成为可能。这些新技术促进了多种网络在 业务层面、控制层面、接入层面和传送层面的 融合,更促进了电信领域与IT领域的融合。 1 IP电话业务量增长迅猛 目前,国内电信运营市场IP电话业务量 增长趋势明显。在长途电话市场,目前国内 通话时长中IP电话与普通固话已经基本持平, 但IP电话业务增长率高于普通固话。预计IP 电话在长途通话市场所占份额在今后的几年 内将逐渐等于甚至超过普通固话及移动长途 业务的总和。 2 IP电话在企业中的应用优势突显 IP电话实现优势在于获得更低成本的传 统语音与话音服务,同时用户还将受益基于IP 电话的、具有突破性的新型服务,如基于 Web的呼叫中心、远程通信交换以及可提高 个人效率的产品(如跟踪服务与统一消息处理) 等新型应用。 IP电话应用于企业市场得到迅速发展。 与个人用户市场相比,企业用户更看重的不是 低廉的资费,而是IP电话能够真正实现语音与 数据应用的融合,以此为基础,企业的信息化 5 IP电话与其他IP通信服务结合,将改变 通信服务的市场需求 目前IP电话以能满足企业对语音/数据 融合技术需求的姿态正推动通信系统与企业 商业流程的整合,从而推动终端用户通信应用 模式的改变,IP电话市场的成熟壮大,是这一 趋势发展的开端。不久的将来,企业融合智 能通信将覆盖语音通信、声音和视频会议、 即时通信、在线状态、联络中心、语音邮 件、数据协同、E—inail等。 我国现有的IP电话业务,目前只允许电 信和网通在几个城市开展试点PC to Phone 方式的网络电话业务,开展试点就说明相关部 门已经意识到PC to Phone方式的IP电话 巨大的生命力。随着互联网技术突飞猛进的 发展,IP电话将焕发勃勃生机,引领新一代通 信的发展潮流。 真正融合到了企业内部的管理及业务流程中。 3 IP电话在移动通信领域的应用 移动通信的飞速发展日益模糊了PDA和 手机的边界,在移动通信领域,PC和Phone可 以合二为一。3 G时代完全可以通过登陆 Skype实现手机到海外电话的IP电话,这种趋 势在目前的wLAN已经有所体现。 无线城域网和IP电话的结合会给目前的 移动话音通信服务市场造成较大影响。但 ARP攻击程序一般都是从Internet下载到用 从而可以进行ARP病毒的防御。 户终端,如果能够加强用户上网的访问控制, 就能极大的减少该问题的发生。 参考文献 在发生ARP攻击时,及时找到病毒攻击 [1】戴英侠.计算机网络安全[M】.清华大学出 源头,并收集病毒信息,可以使用趋势科技的 版社,20006,5. SIC2.0,同时收集可疑的病毒样本文件,一起 [2】马树奇译.网络安全积极防御从入门到精 提交到趋势科技的TrendLabs进行分析, 通[M】.电子工业出版社,2005,4. TrendLabs将以最快的速度提供病毒码文件, [3】刘东华.网络与通信安全技术[M】.人民邮 电出版社,2006,2 科技咨询导报Science and Technology Consulting Herald 27