年中刚过,国内外多家反病毒厂商和安全机构就公布了2007年上半年安全威胁新趋势,除了我们已经了解的木马、钓鱼等针对网络应用的攻击持续增多之外,针对局域网的“ARP”类病毒破坏性不断增加更需要引起我们的注意。
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中, ARP协议对具有重要的意义,因为在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。而这个目标MAC地址是通过地址解析协议获得的,即主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。而“ARP”类病毒通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。
我们知道,局域网是目前大多数企业网络运转的根基,如果一旦受到攻击破坏很可能整个业务系统的瘫痪,而“ARP”类病毒在攻击手段上通常十分狡猾,例如利用伪造源MAC地址发送ARP响应包,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,就会造成网络中断或中间人攻击。
当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。切换到病毒主机上网后,如果用户已经登陆了服务器,那么病毒主机就会经常伪造断线的假象,那么用户就得重新登录服务器,这样病毒主机就可以盗取用户名、密码等重要信息了。
另外,如果中毒电脑是位于企业数据中心内的服务器,则其所在VLAN内的其他网站服务器在响应用户的网页访问请求时,返回的页面也将带毒,这样遭受危害的客户端机器会以几何级数迅速增多,危害极为严重。
今年上半年,“ARP”类病毒已经在国内造成相当程度的危害,不少企业因此导致宕机和网络瘫痪,盗号等现象也多次发生,希望更多企业提高警惕,防止这个“企业杀手”继续作恶。
楼主表示每天被ARP攻击搞的无可奈何。
