病毒防护论文计算机病毒防护论文.docVIP

病毒防护论文计算机病毒防护论文 浅谈ARP病毒的运行原理及防护方法 　摘要：防范ARP病毒的常见策略是对主机进行保护，但是连入网络中的计算机非常多，如果对每台计算机进行保护，现实中很难实现。从运行原理对ARP病毒进行分析研究，对网络设备进行设置，从而达到控制ARP病毒的作用。 　　关键词：网络协议；ARP攻击；防护 　　随着信息化水平越来越高，对网络的依赖程度日益加深。Internet已经成为人们生活、学习、工作中不可缺少的一部分。网络在给我们提供方便的同时，也对网络安全提出新的挑战，其中ARP病毒是最常见的攻击方法之一。ARP的欺骗技术已经被越来越多的病毒所使用，因此对ARP病毒攻击的防范也变得越来越重要。 　　1、ARP病毒攻击原理 　　在Internet中，一台主机要和另一台主机进行通信，必须要知道目标主机的IP地址，但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的，只能识别其硬件地址即MAC地址。MAC地址是48位的，通常表示为12个16进制数，每2个16进制数之间用“-”或者冒号隔开，如：00-0B-2F13-1A-11就是一个MAC地址。每一块网卡都有其全球唯一的MAC地址，网卡之间发送数据，只能根据对方网卡的MAC地址进行发送，这时就需要一个将高层数据包中的IP地址转换成低层MAC地址的协议，IP地址转换为物理地址是通过ARP协议来完成的。Arp协议是TCP/IP协议组的一个协议，用于进行把网络地址翻译成物理地址(又称MAC地址)。通常此类攻击的手段有两种：路由欺骗和网关欺骗。ARP病毒是一种入侵电脑的木马病毒。对电脑用户私密信息的威胁很大。如果伪造IP地址和物理地址，就能实现ARP欺骗，用伪造的物理地址发送响应包，病毒会将该机器的物理地址映射到网关的IP地址上，向局域网内大量发送ARP包，致同一网段地址内的其它机器误将其作为网关，掉线时内网是互通的，计算机却不能上网。攻击者只要不间断发出伪造的ARP包就能更改主机ARP缓存中的IP地址和物理地址，造成网络故障。例如，如果主机向从机发送一个虚假的ARP数据包，主机的IP地址是10.0.0.1，MAC地址是FA-4D3C-25-43-BA，但是主机真实的物理地址是3F-88-63-25-BA-C6，很明显被伪造了。当从机接收到主机伪造的ARP应答，就会更新本地的ARP缓存，当大量的虚假信息向局域网中发送时，就会造成机器ARP缓存崩溃。 　　ARP攻击是的主要现象有： 　　1)网上银行、游戏及QQ账号的频繁丢失。一些人为了获取非法利益，利用ARP欺骗程序在网内进行非法活动，此类程序的主要目的在于破解账号登陆时的加密解密算法，通过截取局域网中的数据包，然后以分析数据通讯协议的方法截获用户的信息。运行这类木马病毒，就可以获得整个局域网中上网用户账号的详细信息并盗取。 　　2)网速时快时慢，极其不稳定，但单机进行光纤数据测试时一切正常。当局域内的某台计算机被ARP的欺骗程序非法侵入后，它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包，阻塞网络通道，造成网络设备的承载过重，导致网络的通讯质量不稳定。 　　3)局域网内频繁性区域或整体掉线，重启计算机或网络设备后恢复正常。当带有ARP欺骗程序的计算机在网内进行通讯时，就会导致频繁掉线，出现此类问题后重启计算机或禁用网卡会暂时解决问题，但掉线情况还会发生。 　　2、定位ARP攻击源头 　　第一种是采取主动的寻找方式。一般进行ARP攻击的机器，网卡会处于混杂模式，因此可用专用的查杀工具扫描局域网，如果发现有机器的网卡处于混杂模式，那么这台网卡处于混杂模式的机器有可能就是攻击源。确定攻击源头后，就可用专门的软件进行处理。 　　其次我们也可以采用被动的方式。 　　1)检查本机的“ARP欺骗”木马染毒进程，点选“进程”标签。察看其中是否有一个名为“MIRO.dat”的进程。如果有，则说明已经中毒。右键点击此进程后选择“结束进程”。 　　2)检查网内感染“ARP欺骗”木马染毒的计算机。 　　在“开始”“运行”输入cmd后确定。 　　在弹出的命令提示符框中输入并执行以下命令ipconfig 　　记录网关IP地址，即“Default Gateway”对应的值，例如“10.0.1.1”。 　　再输入并执行以下命令：arpa 　　在“Internet Address”下找到上步记录的网关IP地址，记录其对应的物理地址，即“Physical Address”值，例如“00-05-e-1f-35-54”。在网络正常时这就是网关的正确物理地址，在网络受“ARP欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。 　　3、ARP攻击的防范方法 　　1)现在网上有很多AR