学文网校园网里被人抢IP这样的事情屡见不鲜,令人郁闷;办公局域网被人挂上木马,损失不可估算。这两类看起来风马牛不相及的事,却都和一个系统命令有关……
遭遇“局域网杀手”
盛夏的炎热常常让人烦躁不安,办公室的局域网也好像中暑一样,常常莫名其妙地断线,甚至有的电脑还被感染了病毒木马。同事们没有任何办法解决,于是请了一个安全专家来帮忙看看。经过这位高手的检查分析后,发现原来是因为我们的办公网感染TARP病毒,它有“局域网杀手”之称。
这类ARP病毒一般不会主动传播,但是发作的时候会向全网发送伪造的ARP数据包,干扰整个局域网的正常运行,其危害比另一类局域网毒瘤――蠕虫病毒还要大。
更为严重的是近期网上流行的ARP病毒变种出现了新特征,它会把自身伪装成网关,在所有用户请求访问的网页中添加恶意代码,导致用户访问任何网站,都会被种植木马病毒等恶意程序!
揭开杀手的面纱
ARP全称为AddressResolution Protocol,意为地址解析协议。ARP的作用,就是在发送数据包前将目标主机IP地址转换成其MAC地址。
Windows XP自带有ARP命令程序,在命令提示符下可以用这个命令来完成ARP绑定。打开命令提示符窗口,输入“arp-a”,可以查看当前电脑上的ARP映射表。
可以看到当前的ARP表的类型是“dynamic”,通过“arp-sw.x.y.z aa_bb-cc-dd-ee-ff”命令来添加静态ARP实现绑定。其中,第一栏是路由器的IP地址,aa-bb-ce―dd-ee-ff是路由器的MAC地址,例如:arp-s 192.168.1.100-02-b3-3c-16-95。ARP病毒正是利用系统的这些命令,将多个IP地址映射到同一个MAC地址,因此造成网路断线这样的情况常常发生。
抢IP也是它的错
除TARP病毒外,还有软件利用ARP来攻击,比如曾经流行过的用于抢带宽或限制别人上网的《网络***官》、《网络剪刀手》和《局域网终结者》等。这类软件其实属于局域网管理辅助软件,它们采用网络底层协议穿透防火墙对主机进行监控。管理员可以每台主机指定一个IP地址,当它采用超出范围的IP地址时,软件就会判定该主机为“非法用户”,并对非法用户实行IP冲突、与关键主机隔离、与其他所有主机隔离等管理方式。下面以《长角牛网络监控机》(原名《网络***官》)为例看看它是怎么做到的。
Step1运行程序后,先要对扫描范围进行确认,比如网卡内容、子网IP地址和扫描范围等。如果发现存在错误,可以自己手工进行重新设置。点击“添加/修改”按钮将扫描范围添加到监控列表中,点击“确定”就可以通过程序对整个局域网进行管理操作。要注意的是,试用版本程序仅在每次启动后2至30分钟里具备管理功能。
Step2在主界面“本网用户”标签中,可以查看到本网中存活的远程主机。选中要进行控制的主机,点击右键中的“属性”命令,可以看到远程主机的基本情况,包括网卡地址、用户注释、IP地址、首次上线等信息。点击“设置权限”按钮,对远程主机进行权限设置。
Step3权限设置包括自由用户、受限用户、禁止用户等三种类型:自由用户不受任何限制,可以意使用网络资源;受限用户的权限等受到一定的限制;禁止用户的所有网络权限都被彻底限制。
《长角牛网络监控机》管理方式主要包括“IP冲突”和“断开与所有主TCP/IP连接”两种,其实这就是ARP攻击使用的两种方式。其中的“IP冲突”就是利用ARP攻击造成主机无法进行正常的网络通信,而“断开与所有主机TCP/IP连接”则无法和服务器进行数据交流。这样以后当远程主机出现某些问题的时候,管理员就可以年利用这样的方式进行管理操作。
安全防范重于泰山
在没有经过ARP攻击之前,数据流向是在网关和本机之间传播。在被ARP攻击之后,数据流向在网关、攻击者、本机这三者之间传播,本机与网关之间的所有通讯数据都将流经攻击者,所以我们“任人宰割”的命运就在所难免了。
老是让ARP病毒这样折腾肯定不行,其实有专门防ARP攻击的《ARP防火墙》(***地址),很多网络防火墙软件中也包含了抵挡ARP攻击的功能。它们能够拦截虚假ARP数据包,通告网关本机正确的MAC地址。
先来看看《ARP防火墙》的“主动防御和追踪”功能。我们已经了解到,ARP攻击一般会发送两种类型的攻击数据包,即向本机发送虚假的ARP数据包和向网关发送虚假的ARP数据包。
对于前一种攻击包,ARP防火墙可以百分之百地成功拦截。但是由于网关系统通常不受我们的控制,所以对于后一种攻击我们无法拦截。这个时候“主动防御”功能就可以起到作用,它会自动通知网关本机正确的MAC地址应该是什么,而不理睬那些由ARP攻击发送的虚假MAC地址。通过“安全配置”标签中的命令,还可以对其他可能造成主机不稳定的因素进行防范操作。
ARP本是系统命令,却被经常用来攻击。这就好比一把“厨刀”,被恶人拿到手里也会产生威胁。通过本文,相信大家都对它有了一定的了解,而且掌握了对付它的方法。
转载请注明出处学文网 » 会抢IP的局域网杀手