近一段时间带有ARP攻击行为的病毒,木马很是多见,主要有两种表现形式:
1. 频繁的出现地址冲突的现象
2. 上网速度很慢甚至上不了网。
经分析,这大部分是由于病毒执行 ARP地址欺骗造成的。由于ARP协议的固有的缺陷,病毒通过发送假的ARP数据包,使得同网段的计算机误以为中毒计算机是网关,造成其它计算机上网中断(第一种情况)。或是假冒网络中特定的机器对这台机器通信的数据执行 截获(第二种情况)。为了防止中毒计算机对网络造成影响,趋势科技已经提供有关的防御工具KB(62735),由于ARP病毒攻击的复杂多变性,现在针对两种基本的攻击行为的原理执行 分析,并提出相应的处理思路。
1. 上网速度很慢甚至上不了网
我们首先要了解一下ARP(Address Resolution Protocol)地址分析协议,它是一种将IP地址转化成物理地址的协议。ARP具体说来就是将网络层(TCP/IP协议的IP层,也就是相当于OSI的第三层)地址(32位)分析为数据链路层(TCP/IP协议的MAC层,也就是相当于OSI的第二层)的MAC地址(48位)[RFC826]。ARP协议是属于链路层的协议,在以太网中的数据帧从一个主机到达网内的另一台主机是根据48位的以太网地址(硬件地址)来确定接口的,而不是根据32位的IP地址。内核(如驱动)必须知道目的端的硬件地址才能发送数据。当然,点对点(如两台直联的计算机)的连接是不须要 ARP协议的。为了解释ARP协议的作用,就必须理解数据在网络上的传输流程。这里举一个基本的ping例子。
假设我们的计算机A的IP地址是192.168.1.50,要测试与B机器的连通性,执行这个命令:ping 192.168.1.51。该命令会通过ICMP协议发送ICMP数据包。该流程须要经过下面的步骤:
1、运用 程序构造数据包,该示例是产生ICMP包,被提交给内核(网络驱动程序);
2、内核检查能不能能够转化该IP地址为MAC地址,也就是在本地的ARP缓存中查看IP-MAC对应表;
3、如果存在该IP-MAC对应联系,那么数据包直接发出;如果不存在该IP-MAC对应联系,那么接续下面的步骤;
4、内核执行 ARP广播,目的地的MAC地址是BB-BB-BB-BB-BB-BB,ARP命令类型为Request,其中包含有自己的MAC地址;(下面会讲到具体包格式)
5、当B主机接收到该ARP请求后,就发送一个ARP的Reply命令,其中包含自己的MAC地址;
6、B获得A主机的IP-MAC地址对应联系,并保存到ARP缓存中;
7、B内核将把IP转化为MAC地址,然后封装在以太网头结构中,再把数据发送出去;
运用 arp -a命令就可以查看本地的ARP缓存内容,所以,执行一个本地的ping命令后,ARP缓存就会存在一个目的IP的记录了。当然,如果你的数据包是发送到不同网段的目的地,那么就一定存在一条网关的IP-MAC地址对应的记录。
知道了ARP协议的作用,就能够很清楚地知道,数据包的向外传输依靠ARP协议,当然,也就是依赖ARP缓存。要知道,ARP协议的所有操作都是内核自动完成的,同其他的运用 程序没有任何联系。ARP协议并不只在发送了ARP请求才接收ARP应答。而ARP协议的固有缺陷就在这里,当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存执行 更新,将应答中的IP和MAC地址存储在ARP缓存中。因此, B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.1.52(C的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存,将本地的IP-MAC对应表更换为接收到的数据格式,由于这一切都是A的系统内核自动完成的,A可不知道被伪造了。
某些病毒就是运用 这个原理,向受害者发送源硬件地址为随机产生貌似来自网关的ARP应答包,于是在受害者缓存里,网关的IP是正确的,可对应的硬件地址却是不正确的或者是中毒机器。该计算机向外发送的数据包总是发送到了不正确的网关硬件地址上或是中毒机器。
而如果病毒想要截获某台机器上网的所有通信而不被察觉,只要同时再向网关发送冒充此机器的相应的数据包即可实现。
2. 频繁出现地址冲突的现象
主机A在连接网络(或修改 IP地址)的时候就会向网络发送ARP包广播自己的IP地址。如果网络中存在相同IP地址的主机B,那么B就会通过ARP来reply该地址,当A接收到这个reply后,A就会跳出IP地址冲突的警告,当然B也会有警告。因此用如果病毒发出的是ARP的Request包就会运用户一直遭受IP地址冲突警告的困扰。
下面就以上分析做一个模拟病毒执行 ARP攻击的行为的实验,了解此类病毒是如何 产生危害的。
实验描述:此实验模仿ARP攻击的一种,机器不断提示地址冲突,运行变慢,不能上网的情况,其他情况可自行参考模拟
分析: 不同病毒在中毒机器上运行,发送的ARP包是有一定的周期的,受影响的系统产生的开销不一。先模拟中毒机B以较大的发送频率发送到A机器上(未中毒),如系统内核处理会不断处理接到的ARP包,这时盗用者机器上会不断提示IP冲突, 则A机器上的系统开销将大大添加 ,很容易不能响运用 户操作。而这一切由于ARP处于网络协议的底层,对一般防火墙等高层软件是透明的,盗用者无从察觉,只能看到机器不端弹出冲突信息,系统很快慢下来,最终没有任何响应。
实验内容:
1. 首先 让我们先了解一下ARP协议的数据结构:
typedefstructarphdr
{
unsignedshortarp_hrd;//硬件类型 运用的硬件(网络访问层)类型一般为 0806(ARP)
unsignedshortarp_pro;//协议类型 分析流程中的协议运用以太类型的值一般为000110M以太网)
unsignedchararp_hln;//硬件地址长度 对于以太网和令牌环来说,其长度为6字节
unsignedchararp_pln;//协议地址长度 IP的长度是4字节
unsignedshortarp_op;ARP操作类型 指定当前执行操作的字段 1为请求,2为应答
unsignedchararp_sha[6];/*发送者的硬件地址
unsignedlongarp_spa;//发送者的协议地址
unsignedchararp_tha[6];//目标的硬件地址
unsignedlongarp_tpa;//目标的协议地址
}ARPHDR,*PARPHDR;
下面,假设中毒机器的硬件地址是AA-AA-AA-AA-AA-AA,IP地址是192.168.1.5,受影响机器B的硬件地址是BB-BB-BB-BB-BB-BB,IP地址是192.168.1.51.为了便于说明,我们在B机器上用Sniffer Pro工具先获得发送目标为192.168.1.51的 ARP数据包,
由于A中病毒不断发送ARP请求包,我们很容易获得。如图:
图片看不清楚?请点击这里查看原图(大图)。
现在我们结合图中上半部分的协议分析来分析下半部分的代码的意义,
共有四行每行都标了号
00行,ff ff ff ff ff ff 广播地址,每个同网段用户都能收到。
aa aa aa aa aa aa 发送方的硬件地址
08 06 指运用 ARP协议
10行,00 01 10M 以太网
08 00 运用 IP协议
06 硬件地址运用 6字节表示
04 协议(IP)地址运用 4字节表示
00 01 ARP请求包
aa aa aa aa aa aa 发送方硬件地址
c0 a8 01 32发送方IP地址
20行,00 00 00 00 00 00 目标硬件地址
c0 a8 01 33 目标IP地址
其他数据与本文无关,暂不讨论。
仔细看一下不难发觉,IP为192.168.1.5的A的IP地址被”篡改”了,A网络中宣布自己假冒是192.168.1.50。
使得与192.168.1.50通信的数据发到了192.168.1.5上,而真实的192.168.1.50则运行缓慢甚至不能上网。
2. 下面运用 获取的数据包,通过SnifferPro的构造并发送数据包的功能对它执行 基本的修改,我们可以模拟一种病毒攻击方式:
对照前边捕获的数据包我们看到改动处有(红线标注):
图片看不清楚?请点击这里查看原图(大图)。
1.aa aa aa aa aa aa 硬件目的地址中毒机器A(DLC,数据链路层地址)
2.bb bb bb bb bb bb(第一组) 源硬件地址为受影响机器B(DLC)
3 bb bb bb bb bb bb(第二组) 源硬件地址为受影响机器B (ARP)
4 (c0 a8 01)32 目的IP地址为中毒机器A(ARP)
最后,我们通过Sniffer的发包工具运用 不间断发送(Continuously)将其发送给192.168.1.50,将使其很快瘫痪。笔者实验环境如下:TP-LINK R402M路由器,A机器配置1.8G.RAM 1.0G 。B机器配置CPU1.0G,RAM128M,B机器发送数据包15秒左右,A机器进入“不能响应”状态。可见,如果病毒大规模爆发,造成的网络拥塞影响是十分严重的。
最后,提供几种防御ARP攻击行为的思路:
首先,须要了解一下一般处理要领,很多人知道如何 捆绑MAC地址和IP地址,进入“MS-DOS方式”或“命令提示符”,在命令提示符下输入命令:ARP - s X.X.X.X YY-YY-YY-YY-YY-YY,即可把MAC地址和IP地址捆绑在一起。这样,就不会出现IP地址被盗用而不能正常运用网络的情况。从前面的分析我们知道,即使我们知道了正确的网关硬件地址,由于盗用者不断发送伪造ARP包,网关却不知道正当用户的硬件地址,而且正当用户端主机会不断产生IP冲突的警告。事实上,ARP命令是对局域网的上网代理服务器来说的,如我们提出的KB(62735)中的”APR处理方案”细节内容不在本文论述范围内。
一般说来,在网络关键设备上运用的处理盗用的要领大体上有3种方案:采用路由器将网卡MAC地址与IP地址绑定;采用高端交换机将交换机端口、网卡MAC地址与IP地址三者绑定;代理服务器与防火墙相结合的办法。这几种要领各有优缺点,采用路由器将网卡MAC地址与IP地址绑定的要领,只能处理静态地址的修改,对于成对修改IP-MAC地址就无能为力。采用高端交换机将交换机端口、网卡MAC地址与IP地址三者绑定的要领,可以处理成对修改IP-MAC地址的疑问,但高端交换机费用昂贵,而且处理冲突具有滞后性。
当我们遇到ARP类病毒时。
1 采用IP-MAC 绑定要领预防,如运用 KB(62735)处理方案部署中ipmac_binds_tools.exe 防御工具
2 一旦发觉不能处理的ARP病毒较复杂的攻击行为,请用户运用工具抓取病毒爆发时网络中的数据包,根据以上ARP病毒的原理,分析数据包找到频繁发送ARP的REQUEST或REPLY请求的机器,从而找到病毒源头执行 查杀毒。 |
发表于 2009-6-9 08:28:34
发表于 2009-6-26 19:34:39
中国福利彩票网是国内领先的
谢谢楼主的分享
