ARP协议及ARP病毒浅谈.docx

ARP协议及ARP病毒浅谈 摘要：随着计算机网络的普及，很多公司、企 业、学校等都建立了自己的局域网，这确实给工作带 来了很大的方便，提高了工作效率。但与此同时专门 针对局域网的木马病毒也随之出现，特别是近些年 ARP木马病毒很是猖獗，给我们的日常工作带来了很 多麻烦。本文仅就ARP木马病毒进行介绍与分析，包 括其类型、攻击计算机时的一些症状、攻击的原理及 预防方法和注意事项。 关键词：ARP协议；ARP病毒；局域网 中图分类号:TP30文献标识码：A文章编号： (2008)04-0084-04 一、ARP协议简介 ARP 全称为 Address Resolution Protocol,地址解析 协议。所谓“地址解析”就是主机在发送数据包前将 目标主机IP地址转换成目标主机MAC地址(网卡的物 理地址)的过程。ARP协议的基本功能就是通过目标设 备的IP地址，查询目标设备的MAC地址，以保证通 信的顺利进行。局域网中的所有IP通信最终都必须转 换到基于MAC地址的通信。一般局域网中每台机器都 会缓存一个IP到MAC的转换地址表，使得不用每次 要向其他机器发送信息时都要重新解析一遍。但是由 于该协议存在某些缺陷，使得局域网中恶意的机器可 以发送虚假的ARP包来欺骗其他机器，使得其他机器 获得虚假的IP与MAV对应关系。 局域网一般通过统一的网关来访问外部网络，比 如上网浏览网页（http协议），某机器上的恶意代码通过 欺骗，让其他机器将网关IP的MAC地址都指向自己， 又欺骗网关使得其他机器IP的MAC地址也指向自己， 只有它自己保存着一份真实的IP —MAC转换表。这样， 基于网中所有机器的上网包都通过该恶意代码的机器 进行转发，从而该代码就能截获局域网其他用户的很 多上网信息。这种采用ARP欺骗的恶意代码就是ARP 病毒。 二、ARP病毒 ARP地址欺骗类病毒（以下简称ARP病毒）是一类 特殊的计算机病毒，该病毒一般属于木马（Troian）病毒, 不具备主动传播的特性，不会自我复制。但是由于其 发作的时候会向局域网发送伪造的ARP数据包，自身 伪装成网关，干扰全网的运行，因此它的危害比一些 蠕虫还要严重得多。 下面我们来看一下ARP病毒有哪些类型。 ARP病毒大致分三类： 第一种：病毒主机只冒充网关IP地址。如果其他 用户的电脑事先把网关的MAC地址做了 ARP绑定， 那么病毒主机其实影响不到它。安装了 AntiARP之类 的软件也能起到预防效果。 第二种：病毒主机疯狂地与全网所有IP地址进行 冲突。遭受到IP冲突攻击的电脑往往会突然有几秒钟 网络不通，然后恢复正常，几分钟后，下一轮冲突开 始，又会断网几分钟。对于这一种病毒，即使装了 AntiARP之类的软件，效果也不大，甚至在交换机上做 MAC地址绑定都用处不大。只能把病毒机器所在的交 换机端口 down掉。 第三种：这是目前最厉害的ARP病毒，它可以进 行双向ARP欺骗。病毒主机随机选择一些内网的在线 主机进行欺骗，告诉它们病毒主机就是防火墙，然后 他又欺骗防火墙，说那些被欺骗的主机的MAC地址都 是我病毒主机的MAC地址。这样一来，防火墙的ARP 表中，那些主机的IP对应的MAC是病毒主机的，而 被骗的主机则都把数据发给病毒主机进行转发，而防 火墙返回的数据包也都会经过病毒主机转发，病毒主 机就可以从数据包中抓取游戏帐号、密码等信息。 三、ARP病毒发作时的现象 1网上银行、游戏及QQ账号的频繁丢失 一些人为了获取非法利益，利用ARP欺骗程序在 网内进行非法活动，此类程序的主要目的在于破解账 号登陆时的加密解密算法，通过截取局域网中的数据 包，然后以分析数据通讯协议的方法截获用户的信息。 运行这类木马病毒，就可以获得整个局域网中上网用 户账号的详细信息并盗取。 2网速时快时慢，极其不稳定，但单机进行光纤 数据测试时一切正常 当局域内的某台计算机被ARP的欺骗程序非法侵 入后，它就会持续地向网内所有的计算机及网络设备 发送大量的非法ARP欺骗数据包，阻塞网络通道，造 成网络设备的承载过重，导致网络的通讯质量不稳定。 局域网内频繁性区域或整体掉线，重启计算机 或网络设备后恢复正常 当带有ARP欺骗程序的计算机在局域网内进行通 讯时，就会导致频繁掉线、IE浏览器频繁出错，以及 一些常用软件出现故障等。如果局域网中是通过身份 认证上网的，会突然出现可认证，但不能上网的现象 （无法ping通网关），重启机器或在MS —DOS窗口下运 行命令arp —d后，又可恢复上网。 四、网络中断原因——ARP欺骗 ARP欺骗木马病毒只需成功感染一台电脑，就可 能导致整个局域网都无法上网，严重的甚至可能带来 整个网络的瘫痪。该木马发作时除了会导致同一局域 网内的其他用户上网出现时断时续的现