ARP型攻击最早出现在去年5月的校园网中。目前,校园网中被计算机感染的“ARP欺骗”系列病毒有几十种变种。根据这些品种的工作特点和外在特征,大致可以分为三类。
其中,“ARP欺骗”和“恶意窃听”对学校局域网的正常运行和网络用户的信息安全威胁最大。
只要ARP攻击一开始就导致局域网内的计算机无法与其他计算机通信,并且网络对这种病毒没有容忍度,那么局域网内只要有一台感染了ARP欺骗病毒的计算机,整个局域网的通信就会中断。
“恶意窃听”病毒是“ARP欺骗”病毒系列中最坏的一种。不会中断局域网,只会造成网络的大延迟,但中毒主机会截获局域网内的所有通信数据,并将截获的数据发送给特定的外部用户。
对局域网用户的网络使用造成了非常非常严重的影响,直接威胁到局域网用户自身的信息安全。
四、ARP攻击的原因和特点
正常的局域网应该不会受到ARP攻击。经过长时间的观察,发现ARP攻击主要由以下原因引起:
1、人为破坏
主要原因是有人在内网安装了P2P监控软件,如P2P终结者、网络执法官、聚盛网管、QQ第六感等。恶意监控其他机器,限制流量,或者在内网进行DDOS攻击。
2.特洛伊病毒
传奇,卡丁车,舞团等游戏插件,如:及时雨PK版,跑跑卡丁车,舞小生等。里面含有一些木马程序,也会造成ARP欺骗。
其实真正恶意闹事的人很少。一次闹两次,就腻了。更何况事后网管肯定会找到闹事的主机,不如解决人为破坏。最麻烦的就是使用带有木马的游戏插件,浏览带有恶意代码的网页。
当ARP攻击发生时,最明显的特征就是频繁掉网,速度慢。如果你看一下进度,你会发现down.exe、1.exe、cmd.exe和9sy.exe中的任何一个或多个都被添加了,在严重的情况下,你可以自动下载维京病毒。
Logo_1.exe.rundl132.exe感染可执行文件,图标变成花。
五、常用的防范方法
目前ARP系列的攻击方式和手段多种多样,因此还没有一个绝对全面有效的防范方法。从实践经验看最为有效的防范方法即打全Windows的补丁、正确配置和使用网络防火墙、安装防病毒软件并及时更新病毒库。
对于Windows补丁不仅仅打到SP2(XP)或SP4(2000),其后出现的所有安全更新也都必须及时打全才能最大限度的防范病毒和木马的袭击。此外,正确使用U盘等移动存储设备,
防止通过校外计算机传播病毒和木马。
下面介绍防范ARP攻击的几种常用方法:
1、静态绑定
将IP和MAC静态绑定,在网内把主机和网关都做IP和MAC绑定。
欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全部设置为静态可以解决对内网PC的欺骗,同时在网关也要进行IP和MAC的静态绑定,这样双向绑定才比较保险。缺点是每台电脑需绑定,
且重启后任需绑定,工作量较大,虽说绑定可以通过批处理文件来实现,但也比较麻烦。
2、使用防护软件
目前关于ARP类的防护软件出的比较多了,我校常用的一款软件是彩影软件的ARP防火墙.
ARP防火墙采用系统内核层拦截技术和主动防御技术,包含六大功能模块可解决大部分欺骗、ARP攻击带来的问题,从而保证通讯安全(保障通讯数据不被网管软件/恶意软件监听和控制)、保证网络畅通。
3、具有ARP防护功能的网络设备
由于ARP形式的攻击而引发的网络问题是目前网络管理,特别是局域网管理中最让人头疼的攻击,他的攻击技术含量低,随便一个人都可以通过攻击软件来完成ARP欺骗攻击,
同时防范ARP形式的攻击也没有什么特别有效的方法
