ARP病毒的入侵检测系统

摘要：正如很多论文中提到过的一样，ARP病毒在校园网中肆虐。该文主要根据ARP病毒的攻击原理，ARP地址解析协议实现过程，提出的一款ARP病毒的入侵检测系统。此系统工作在受保护网段的交换机上面，实现了报警、病毒定位等功能，而且还有很好的扩充性。是一款廉价的入侵检测设备，有很好的实用价值。

关键词：地址解析协议；病毒；入侵检测系统

中***分类号：TP393文献标识码：A文章编号：1009-3044(2008)22-644-02

ARP Virus Intrusion Detection System

ZHAO Jie,ZHANG Huai-qiang,HE Wei-min

(East China Institute of Technology Department of Computer and Communication,Fuzhou 344000,China)

Abstract:As many of the papers mentioned,ARP virus raging in the campus network.According to ARP virus attack principle and the implementation process of ARP,this paper presents an ARP virus intrusion detection system.This system works in a protected network segment switch and accomplishes the alarm, the virus positioning, and other functions, but also has very good extension and price-performance ratio. Therefore,this system has a good practical value.

Key words:ARP;virus;IDS

1 引言

ARP病毒近些年在各局域网频繁发生，ARP病毒以及其各种变种大规模爆发，直接影响到了局域网的正常运行。其状况为，当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。然后病毒主机就会经常伪造断线的假象。现在市面上所能见到的针对于ARP病毒的防治软件多是在单机上面运行或者是在路由器或者交换机上面嵌入程序，如若发现病毒则切断其端口，达到不继续向局域网其他单机发包的目的。系统管理员只能待事发后去检查单机、路由器或者交换机才能了解单机的中毒情况。并不能直接在交换机上面获得单机感染ARP病毒的信息。这使得管理员处于被动状态。而此ARP的入侵检测系统非但可以切断其端口，还能及时报警并产生报警信息，给管理员一个很明确的指引。

2 故障原因及原理

2.1 ARP地址解析协议

地址转换协议（Address Resolution Protocol，ARP）[1]是用来实现 IP 地址与本地网络认知的物理地址（以太网 MAC 地址）之间的映射。IP数据包常通过以太网发送。以太网设备并不识别32位IP地址：它们是以48位以太网地址传输以太网数据包的。因此，IP驱动器必须把IP目的地址转换成以太网目的地址（即目标主机的MAC地址）。

2.2 ARP病毒攻击原理

ARP协议的基础是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。

ARP工作时，送出一个含有所希望的IP地址的以太网广播数据包。目的地主机，或另一个代表该主机的系统，以一个含有IP和以太网地址对的数据包作为应答。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的。例如：主机IP地址MAC地址为A（192.168.1.1-MACa）、B（192.168.1.2-MACb）、C（192.168.1.3-MACc）。正常情况下A和B之间进行通讯，A发送广播请求B来应答（假设现在C已经感染了ARP病毒），请求返回B的MACb地址。然而此时C向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.1.2，但是 MAC地址本来应该是MACb,这里被伪造成了MACc。当A接收到C伪造的ARP应答，就会更新本地的ARP缓存(A被欺骗了)，这时B就伪装成C了。同时,C同样向B发送一个ARP应答,应答包中发送方地址为192.168.1.1(A的IP地址)，MAC地址是MACc,当B收到C伪造的ARP应答，也会更新本地ARP缓存。这样C就完成了对A、B的欺骗。当感染病毒的主机大量向局域网中发送虚假的ARP信息后,就会造成局域网中的网络的崩溃。

3 入侵检测系统设计

3.1 入侵检测系统概述

在这里首先介绍下IDS。入侵检测系统（IDS是英文“Intrusion Detection Systems”的缩写）[2]，专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企***、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

有些的地方做了这样的很恰当的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。

不同于防火墙，ARP的IDS入侵检测系统是一个监听设备，没有跨接在链路上，也不需要网络流量流经它。因此，对ARP的IDS的部署则是挂接在流量都流经的链路上。因此，ARP的IDS本文中选择放置在交换机上面，这里包括①服务器区域的交换机②Internet接入路由器之后的第一台交换机③局域网交换机上。

同时ARP的IDS是个监控系统，可以自行选择合适的，或是符合需求的，比如发现规则或监控不完善，可以更改设置及规则，或是重新设置。

3.2 IDS设计

本系统总共分为六大模块，建静态表、采集数据、数据匹配、定位、报警设置、延时设置。

1)建静态表，静态连表模块是ARP入侵检测设备初始化的时候创建的，在创建的时候默认为局域网内是可信的。他是根据从交换机上面采集到的ARP报文来建表的。（其结构如***1所示）

■

***1 IDS中的ARP信息表与ARP信息控制表***2 在以太网上使用时ARP请求或回答的格式

此表初始化的时候通过交换机采集局域网内所有主机对应于交换机的接口以及他的IP地址与MAC地址，人为的建立好初始表。这个系统以后对于交换机的端口和IP、MAC地址的映射关系便形成学习型的，而且要进行定期的更新。而这个表起到的作用是对于局域网端口的病毒检测与定位。

2)采集数据，通过网络接口在交换机上面读取数据并分析数据（ARP报文格式如***2所示），提取网内计算机的包的信息。在这个模块中要考虑对交换机的端口做镜像，对镜像的端口读取收发ARP包的信息，然后对其包进行数据过滤读取。

转载请注明出处学文网 » ARP病毒的入侵检测系统