arp缓存更新的机制.docVIP

预防和处理ARP攻击病毒 1 前言：病毒原理和行为说明 2 2 预防在先，重要的规避措施 4 3 第一步，监控攻击行为和源头 4 2.1. 第三方IDS或者有IDS功能的防火墙 4 2.2. 第三方工具 4 2.3. 趋势OfficeScan客户端防火墙 7 4 第二步，恢复网络 7 5 第三步，分析并提取ARP攻击源可疑样本 7 此文档的位置： /corporate/techsupport/ 如何联系我们： /cn/about/contact-us/overview.htm 邮箱：service@ 技术支持电话： 800-820-8839 未开通800 服务地区的用户请拨打（021 趋势科技技术支持中心 2006-08-20 前言：病毒原理和行为说明 此类病毒利用的是ARP Spoofing攻击原理。在局域网中，是通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle” 进行ARP重定向和嗅探攻击。 用伪造源MAC地址发送ARP响应包，对ARP高速缓存机制的攻击。 每个主机都用一个ARP高速缓存存放最近IP地址到MAC硬件地址之间的映射记录。MS Windows高速缓存中的每一条记录（条目）的生存时间一般为60秒，起始时间从被创建时开始算起。 默认情况下，ARP从缓存中读取IP-MAC条目，缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此，只要网络上有ARP响应包发送到本机，即会更新ARP高速缓存中的IP-MAC条目。 攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。 ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A可不知道被伪造了）。 当攻击源大量向局域网中发送虚假的ARP信息后，就会造成局域网中的机器ARP缓存的崩溃。 Switch上同样维护着一个动态的MAC缓存，它一般是这样，首先，交换机内部有一个对应的列表，交换机的端口对应MAC地址表Port n - Mac记录着每一个端口下面存在那些MAC地址，这个表开始是空的，交换机从来往数据帧中学习。因为MAC-PORT缓存表是动态更新的，那么让整个Switch的端口表都改变，对Switch进行MAC地址欺骗的Flood，不断发送大量假MAC地址的数据包，Switch就更新MAC-PORT缓存，如果能通过这样的办法把以前正常的MAC和Port对应的关系破坏了，那么Switch就会进行泛洪发送给每一个端口，让Switch基本变成一个HUB，向所有的端口发送数据包，要进行嗅探攻击的目的一样能够达到。也将造成Switch MAC-PORT缓存的崩溃，如下下面交换机中日志所示： Internet 0 000b.cd85.a193 ARPA Vlan256 Internet 0 000b.cd85.a193 ARPA Vlan256 Internet 54 0 000b.cd85.a193 ARPA Vlan256 Internet 3 0 000b.cd85.a193 ARPA Vlan256 Internet 3 0 000b.cd85.a193 ARPA Vlan256 Internet 3 0 000b.cd85.a193 ARPA Vlan256 Internet 5 0 000b.cd85.a193 ARPA Vlan256 Internet 4 0 000b.cd85.a193 ARPA Vlan256 当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了传奇服务器