ARP病毒.docx
- 文档编号:9266420
- 上传时间:2023-02-03
- 格式:DOCX
- 页数:11
- 大小:212.46KB
ARP病毒.docx
《ARP病毒.docx》由会员分享,可在线阅读,更多相关《ARP病毒.docx(11页珍藏版)》请在冰豆网上搜索。
ARP病毒
ARP病毒原理与防御措施
摘要:
随着因特网的迅速发展,计算机病毒日益猖獗。
计算机病毒种类繁多,网络安全防线面临着日益严峻的考验。
ARP病毒是一种基于ARP协议漏洞的计算机病毒,会造成局域网通信紊乱。
论文首先分析了ARP协议的基本原理,指出ARP协议的安全漏洞;接着分析了ARP病毒的原理;最后提出了针对此类病毒的几种防范措施。
关键词:
ARP协议;ARP病毒原理;防范措施
近年来,许多网络用户访问互联网时断时续,出现上网速慢、上网不稳定的情况。
究其原因,很可能是遭到一种名为ARP欺骗病毒的攻击。
ARP攻击往往导致计算机网络连接正常,却无法打开网页;或由于ARP病毒发出大量的数据包,导致用户上网不稳定,甚至网络中断,使网络安全受到极大的威胁,如何有效的防范ARP攻击是网络管理的重要内容。
一、ARP协议介绍
(一)ARP协议的原理
ARP协议是“AddressResolutionProtocol”(地址解析协议)的缩写。
ARP解决的是同一局域网上的主机或路由器的IP地址和硬件地址的映射问题。
我们知道,网络层使用的是IP地址,但在实际网络的链路上传送数据帧时,最终还是必须使用MAC地址。
在以太网中,一个主机和另—主机进行直接通信,必须要知道目标主机的MAC地址,但这个目标MAC地址就是通过地址解析协议获得的,所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
ARP协议主要负责将网络中的32位IP地址转换为对应的48位物理地址,即网卡的MAC地址。
首先,每台主机都会在自己的ARP高速缓存(ARPcache),里面有本局域网上的各主机和路由器的IP地址到MAC地址的映射表。
当源主机需要将一个数据包要发送到目的主机时,会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址,如果有,就将这个硬件地址写入MAC帧,然后把该MAC帧发往此硬件地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。
此ARP请求数据包里包括源主机的IP地址、硬件地址以及目的主机的IP地址。
局域网中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。
如果不相同就忽略此数据包;如果相同,就向源主机发送一个ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP缓存中。
(二)ARP协议的安全缺陷
ARP协议的缺陷有如下三点:
1.一台主机的IP地址映像到另一台主机的ARP缓存后,它就会被当作可信任的计算机。
但并没有提供检验IP--MAC地址对应表真实性的机制。
大多数主机保存了通过ARP得到的映射表,不考虑其有效性,也不维护一致性。
ARP表可能把几个IP地址映射到同一物理地址上。
2.ARP的请求是以广播的形式进行发送的,这样此网段中的所有主机都可以收到ARP请求。
攻击者在收到ARP请求后,就可以伪装ARP应答,伪装成真正要通信的主机,进行假冒和欺骗。
3.任何响应都是合法的,ARP应答无需认证。
ARP协议是无状态的,任何主机即使在没有请求的时候也可以做出应答。
ARP协议并未规定,主机在未受到查询时不能发送ARP应答包,这是ARP协议的一个安全隐患。
许多系统会接受未请求的ARP响应,并用来更新其高速缓存。
二、ARP病毒介绍
(一)ARP病毒的工作原理
在局域网内数据包传输依靠的是MAC地址,IP地址与MAC对应的关系依靠ARP表,每台主机(包括网关)都有一个ARP缓存表。
在正常情况下这个缓存表能够有效的保证数据传输的一对一性,但是在ARP缓存表的实现机制中存在不完善的地方,当主机收到一个ARP的应答包后,它并不会去验证自己是否发送过这个ARP请求,而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。
我们先模拟一个环境:
网关:
192.168.1.1MAC地址:
00:
11:
22:
33:
44:
55
欺骗主机A:
192.168.1.100MAC地址:
00:
11:
22:
33:
44:
66
被欺骗主机B:
192.168.1.50MAC地址:
00:
11:
22:
33:
44:
77
欺骗主机A不停的发送ARP应答包给网关,告诉网关他是192.168.1.50主机B,这样网关就相信欺骗主机,并且在网关的ARP缓存表里就有192.168.1.50对应的MAC就是欺骗主机A的MAC地址00:
11:
22:
33:
44:
66,网关真正发给主机B的流量就转发给主机A;另外主机A同时不停的向主机B发送ARP请求,主机B相信主机A为网关,在主机B的缓存表里有一条记录为192.168.1.1对应00:
11:
22:
33:
44:
66,这样主机B真正发送给网关的数据流量就会转发到主机A;等于说主机A和网关之间的通讯就经过了主机A,主机A作为了一个中间人在彼此之间进行转发,这就是ARP欺骗,过程如图1所示。
网关:
192.168.1.1
MAC:
00:
11:
22:
33:
44:
55
主机A—感染ARP病毒 主机B—被ARP欺骗
IP:
192.168.1.100 IP:
192.168.1.50
MAC:
00:
11:
22:
33:
44:
66 MAC:
00:
11:
22:
33:
44:
77
图1ARP欺骗过程
(二)ARP病毒的表现症状及其的危害
目前国内的计算机所感染的ARP病毒已经有了几十个变种。
根据这些变种的工作特点和外部特性大概可以分为三大类,其中“ARP欺骗”和“恶意窃听”两类对局域网的正常运行和网络用户的信息安全的威胁最大。
“ARP欺骗”的危害主要体现在影响局域网正常运行,局域网内一旦有ARP攻击存在,会欺骗局域网内所有主机和网关,让所有上网的流量必须经过ARP攻击者控制的主机。
其他用户原来直接通过网关上网现在转由通过被控主机转发上网,由于被控主机性能和程序性能的影响,这种转发并不会非常流畅,因此就会导致用户上网的速度变慢,并且网络对此种病毒没有任何耐受度,只要局域网中存在一台感染“ARP欺骗”病毒的计算机就会造成整个局域网通讯中断,最显著的表现就是局域网内频繁性地区域或整体掉线,重启计算机或网络设备后恢复正常,但并不能彻底有效解决ARP欺骗。
“恶意窃听”病毒是ARP系列病毒中影响和危害最为恶劣的。
它不会造成局域网的中断,仅仅会使网络产生较大的时延,但是中毒主机会截取局域网内所有的通讯数据,并向特定的外网用户发送所截获的数据,对局域网用户的网络使用造成非常非常严重的影响,直接威胁着局域网用户自身的信息安全,如网上银行、游戏及QQ账号的频繁丢失。
三、ARP病毒的防御措施
(一)ARP病毒的检测
1.命令行法
如果用户发现自己的电脑与ARP病毒的表现症状相似,可以通过如下操作进行诊断:
点击"开始"按钮->选择"运行"->输入"arp-d"->点击"确定"按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。
2.使用nbtscan软件
nbtscan是一个扫描WINDOWS网络NetBIOS信息的小工具。
它用于局域网,可以显示IP地址、主机名和MAC地址等等。
ARP病毒是基于地址欺骗的,而nbtscan可以取到PC的真实IP地址和MAC地址,如果有“ARP攻击”在做怪,可以找到装有ARP攻击的PC的IP地址和MAC地址。
在使用nbtscan时须将cygwin1.dll和nbtscan.exe两文件放到C:
\WINDOWS\system32下,然后进入MS-DOS窗口就可以输入命令:
nbtscan-r192.168.1.0/24,如图2所示。
在使用nbtscan时,有时因为有些计算机安装防火墙软件,nbtscan的输出不全,但在计算机的arp缓存中却能有所反应,所以使用nbtscan时,还可同时查看arp缓存,就能得到比较完全的网段内计算机IP与MAC的对应关系,如图3所示。
通过查询IP--MAC对应表,就可以查出病毒主机。
同时,在电脑能正常上网时,还可以保存nbtscan的扫描结果,以便在网络中出现ARP病毒后能提供对比参考。
图2查询局域网内的主机MAC地址
图3nbtscan的运行界面
3.抓包分析法
检测ARP病毒可以借助抓包工具,如Snifferpro、Ethereal等。
若局域网内有计算机中了ARP病毒,可以通过分析这些抓包工具捕获的数据进行诊断。
遭到ARP攻击时,截获的数据包最大的特点是:
某台计算机发送大量的无请求的ARP应答包,一般该计算机就是中了ARP病毒的主机。
(二)ARP的防治对策
1.主机静态绑定网关MAC
在能正常上网时,进入MS-DOS窗口,输入命令:
arp–a查看网关IP对应的正确MAC地址,将其记录下来。
在用户端计算机上绑定交换机网关的IP和MAC地址。
手工绑定的命令如下:
arp–s网关IP网关MAC。
例如:
假设计算机所处网段的网关为192.168.1.1,在本机地址为192.168.1.3计算机上运行arp–a后输出如下:
图4静态绑定网关MAC地址
其中00-25-12-3a-a7-9b就是网关192.168.1.1对应的MAC地址,类型是动态(dynamic)的,因此是可被改变。
被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC,如果希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找做准备。
为了防止ARP的欺骗可以手工绑定网关的IP地址和MAC地址,其命令为:
arp–s192.168.1.100-25-12-3a-a7-9b,如图4所示。
绑定完,可再用arp–a查看arp缓存,这时,可以看到类型变为静态(static),就不会再受攻击影响了。
但是,需要说明的是,手工绑定在计算机关机重开机后就会失效,需要再绑定。
所以,可以编写一个批处理文件rarp.bat,其内容如下:
@echooff
arp-d
arp-s192.168.1.100-25-12-3a-a7-9b
文件中的IP地址和MAC地址为网关IP地址和MAC地址。
同时,将这个批处理软件放到“windows--开始--程序--启动”中。
以便用户每次开机后计算机自动加载并执行该批处理文件,对用户起到一个很好的保护作用。
2.网关交换机端静态绑定
除了在主机上静态绑定网关的IP地址和MAC地址,还可以在核心交换机上将所有局域网络用户的IP地址与其网卡MAC地址一一对应进行全部绑定,同时在边缘交换机上将用户计算机网卡的MAC地址和交换机端口绑定的双重安全绑定。
这样可以极大程度上避免非法用户使用ARP欺骗或盗用合法用户的IP地址进行流量的盗取。
3.使用杀毒软件和防护软件
应对ARP病毒最常用的方法就是使用杀毒软件,这类软件有很多,常用的具有防ARP病毒的杀毒软件有瑞星、金山等。
当然,应对网络中的ARP攻击,安装ARP防护软件是必不可少的。
其中,防火墙在防ARP病毒过程中起到了至关重要的作用,能有效地阻挡其攻击和欺骗。
另外,专门针对ARP攻击的软件也很多,这些软件单单针对ARP欺骗攻击的某一方面特性进行制作抵御软件的原理,这些软件在ARP防范领域起到了重要的作用,例如AntiArp软件。
使用AntiArp可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包。
在运行AntiArp时,输入本网段的网关ip地址后,点击"获取网关MAC地址",检查网关IP地址和MAC地址无误后,点击"自动保护"。
同时,在使用AntiArp时,填入本机的IP地址和MAC地址,点击“防护地址冲突”可以防止利用ARP技术进行数据包截取及防止利用ARP技术发送地址冲突数据包,如图5所示。
图5AntiArp的运行界面
4.提高用户自身的安全意识
应对ARP病毒除了这些被动的防御方法,还可以从用户自身做起,其中提高用户的安全意识尤其重要。
用户要增强网络安全意识,可以从以下方面做起:
1.不要轻易下载、使用盗版和存在安全隐患的软件;2..不要浏览一些缺乏可信度的网站;3.不要随便打开不明来历的电子邮件,尤其是邮件附件;4.不要随便共享文件和文件夹,即使要共享,也得设置好权限;5.禁用系统的自动播放功能,防止病毒从U盘、移动硬盘等移动存储设备进入到计算机,禁用Windows系统的自动播放功能的方法:
在运行中输入gpedit.msc后回车,打开组策略编辑器,依次点击:
计算机配置->管理模板->系统->关闭自动播放->已启用->所有驱动器->确定,如图6所示。
图6禁用系统的自动播放功能
5.平时养成良好的习惯,做好MAC地址记录
平时做好每台主机的MAC地址记录,出现状况的时候,可以利用MAC地址扫描工具(如nbtscan)扫描出当前网络中主机的MAC地址对应情况,参照之前做好的记录,找出问题的主机。
ARP欺骗是目前网络管理,特别是校园网管理中最让人头疼的攻击,它的攻击技术含量低,随便一个人都可以通过攻击软件来完成ARP欺骗攻击。
同时防范ARP欺骗也没有什么特别有效的方法,目前只能通过被动的亡羊补牢形式的措施了。
无论是攻和防,首要的就是找出每种攻击的“症结”之所在,只有这样才能找到行之有效的解决方案。
因此,鉴于ARP病毒对于局域网的严重危害,我们应该重视对它的日常防御,熟悉解决方法,以保证局域网的正常运行。
参考文献
[1]谢希仁.计算机网络[M].电子工业出版社,2008年1月,119.
[2]张新有.网络工程技术与实验教程[M].清华大学出版社,2005年11月,58.
[3]宋文官.网络技术应用[M].高等教育出版社,2005年12月.
[4]任侧,吕述望.ARP协议欺骗原理分析与抵御措施[J].计算机工程,2003年9月.
[5]孔翠祥.校园局域网防ARP病毒的研究和解决[J].计算机安全,2008年4月.
[6]孙黉杰,袁莹,刘邦明.校园网内ARP病毒的防治方法[J],电脑知识与技术,2009年10月.
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ARP 病毒
![提示](https://static.bdocx.com/images/bang_tan.gif)