ARP病毒攻擊都有哪些典型的癥狀?下面小編就給大家講解下局域網ARP病毒癥狀和ARP攻擊的原理,讓大家在排查局域網故障的時候,區分自己的故障屬于哪種類型的,千萬不要誤認為是ARP病毒就不好了�。
ARP病毒攻擊癥狀
1�、上網速度慢,或者網絡內共享文件很慢
表現癥狀:利用網絡抓包工具,抓到局域網中有大量ARP報文�。
2����、全網同樣配置下,唯獨某臺電腦無法上網
表現癥狀:掉線后,重啟電腦或者禁用網卡再啟用就恢復正常,但一會又掉線
3���、大面積同時掉線,或時通時斷(即通常說的“卡”)
表現癥狀:某一片區域,某臺網絡設備下掛的所有PC出現上網不正常�����。
4�、電腦挨個掉線,或時通時斷(即通常說的“卡”)
表現癥狀:正在使用某一類應用程序的PC依次掉線��。
注意:若你所在的局域網,網絡出現上述現象,估計是網絡中了ARP病毒�����。
什么是ARP病毒攻擊?
ARP英文全稱:Address Resolution Protocol,地址解析協議���。網絡設備之間是通過ARP協議查找到彼此的IP地址和MAC地址對應關系,從而實現局域網內設備間的正常通信��。
下圖所示:IP地址和MAC地址對應表(簡稱ARP表),就是該PC機通過ARP協議生成的���。當該PC機要和網關10.165.16.1通信時,就在這個表中找到網關的MAC地址,從而正確將報文發送出去���。
ARP病毒是什么呢?
ARP病毒攻擊的核心也就是破壞網絡設備的ARP表內容,使得設備無法查到IP對應的正確MAC地址,導致報文發送錯誤,網絡通信癱瘓�。通俗地理解,我們可把IP地址看成人名,MAC地址看成電話號碼,那么ARP就是電話簿�。如果電話簿上某人的電話號碼錯了,我們也就無法聯系上他��。
由于ARP病毒不同于其它病毒,它的攻擊是基于基礎網絡協議的天然缺陷,所以ARP病毒攻擊的防御不同于常見病毒,單靠傳統殺毒軟件和防火墻往往是頭疼醫頭�、腳疼醫腳難以根除�。而且,ARP病毒不僅攻擊PC機,還可攻擊路由器����、核心交換機��、接入交換機等各種網絡設備,傳播和危害范圍很廣�。所以,僅靠單一設備���、單一解決方案防御ARP病毒是不夠的����。
ARP病毒攻擊都可能帶來哪些危害?
一���、所有PC機無法和網關通信(仿冒網關攻擊)
ARP病毒現象:全網同樣配置下,唯獨某臺電腦無法上網����。重啟PC機后恢復正常,但過一段時間網絡又瞬間癱瘓�。查看每臺PC機的ARP表,發現網關的MAC地址錯誤���。如下圖所示:該PC機的ARP表中網關10.165.16.1的MAC地址已被修改另外一臺PC機的地址,顯然該PC機無法再同網關通信了,無法上網了����。
原因:攻擊者偽造ARP報文,發送源IP地址為網關IP地址,源MAC地址為偽造的MAC地址的ARP報文給被攻擊的主機,使這些主機更新自身ARP表中網關IP地址與MAC地址的對應關系���。這樣一來,主機訪問網關的流量,被重定向到一個錯誤的MAC地址,導致該用戶無法正常訪問外網���。這樣,如果某臺PC機的ARP表被攻擊者修改,它就無法正常上網了��。
而且,攻擊者還可能使用第三方PC機的MAC作為偽造MAC�。這樣即使在被攻擊者PC機上查到了偽造MAC地址,也很難定位哪臺PC是真正的攻擊者��。
“ARP病毒仿冒網關”攻擊示意圖
通俗地理解:老總和三個員工(張三���、李四���、王五),每個人的電話簿都記錄了其他人的號碼�����。王五這次沒升經理,心里不平衡,修改所有人電話簿中老總的電話號碼,張三���、李四等都無法向老總匯報工作���。甚至,王五把張三電話簿中老總的號碼修改為李四的,讓張三還誤認為是李四干的�����。造成公司內疑神疑鬼,員工不合,極大地影響了工作氛圍�����。
二�、所有PC機無法和網關通信(欺騙網關攻擊)
ARP病毒現象:網絡中PC逐臺掉線,甚至全網內PC都無法上網�。查看路由器ARP表項,發現很多錯誤地址�����。重啟路由器后恢復正常,但過一段時間PC又開始掉線,導致很多用戶懷疑是路由器故障�����。正如下圖所示,網關路由器的ARP表中各臺PC機的MAC地址已不正確,這些PC機無法再同網關通信,無法上網�。
原因:攻擊者偽造ARP報文,發送源IP地址為同網段內某一合法用戶的IP地址,源MAC地址為偽造的MAC地址的ARP報文給網關;使網關更新自身ARP表中原合法用戶的IP地址與MAC地址的對應關系�。這樣一來,網關發給該用戶的所有數據全部重定向到一個錯誤的MAC地址,導致該用戶無法正常訪問外網�����。
“ARP病毒欺騙網關”攻擊示意圖
通俗地理解:老總本來想帶張三一起去國外考察,王五嫉妒張三,于是他修改了老總電話簿中張三的號碼��。老總聯系不上張三,好機會就這樣丟失了�。甚至,王五修改了老總電話簿的全部號碼,老總就一個員工也找不到了,公司業務一片混亂�����。
三�����、竊聽通信隱私(“中間人”攻擊)
ARP病毒現象:某臺PC上網突然掉線,一會又恢復了,但恢復后一直上網很慢��。查看該PC機的ARP表,網關MAC地址已被修改,而且網關上該PC機的MAC也是偽造的��。該PC機和網關之間的所有流量都中轉到另外一臺機子上了����。同樣,也會表現為局域網內PC機之間共享文件等正常通信非常慢����。
原因:ARP “中間人”攻擊,又稱為ARP雙向欺騙��。如圖1-4所示,如果有惡意攻擊者(Host B)想探聽Host A和Host C之間的通信,它可以分別給這兩臺主機發送偽造的ARP應答報文,使Host A和Host C用MAC_B更新自身arp映射表中與對方IP地址相應的表項�����。此后,Host A 和Host C之間看似“直接”的通信,實際上都是通過黑客所在的主機間接進行的,即Host B擔當了“中間人”的角色,可以對信息進行了竊取和篡改�����。
ARP“中間人”攻擊示意圖
通俗地理解:王五想偷聽張三和李四間的悄悄話,于是修改了張三和李四電話簿中的號碼,他們之間的通話都先中轉到王五這里了���。
四�、常有人掉線,網絡還很慢(ARP報文泛洪攻擊)
ARP病毒現象:經常有人反饋上不了網,或網速很慢,查看ARP表項也都正確,但在網絡中抓報文分析,發現大量ARP請求報文���。(正常情況時,網絡中ARP報文所占比例是很小的)
原因:惡意用戶利用工具構造大量ARP報文發往交換機����、路由器或某臺PC機的某個端口,導致CPU忙于處理ARP協議,負擔過重,造成設備其他功能不正常甚至癱瘓����。
通俗地理解:李四為保障電話薄正確,會定時檢查和刷新電話簿,王五就高頻率地發送信息修改李四的電話簿,導致李四也只能不斷刷新電話簿,而無暇再去推進其他工作了��。
