电子阅览室ARP病毒的攻击及防治.pdfVIP

维普资讯 第 12期 总第 166期 内 蒙 古 科 技 与 经 济 No．12，the166thissue 2008年 6月 InnerMongoliaScienceTechnology Economy Jun．2008 电子阅览室ARP病毒的攻击及防治 王 晓丽 (陕西省图书馆，陕西 西安 710061) 摘 要 ：文章从 ARP协议 的原理上分析 了ARP病毒欺骗 的实现 以及 ARP病毒 的处理方法与防 巳 0 关键词 ：ARP协议 ；ARP病毒 ；处理方法 ；电子 阅览室 中图分类号 ：(3250．76 文献标识码 ：A 文 章编号 ：1007-~6921(2oo8)12 065 1 近一段时间以来 ，陕西省 图书馆局域 网多个 网 bb——bb——bb——bb——bb——bb 段受到 ARP病毒 的攻击 ，电子 阅览室也 出现 问题 ， 当主机 A(192．168．5，10)向主 机 B(192．168， ARP病毒发作 时 ，通 常会造成 网络掉线 ，但 网络连 5，11)发送数 据 时 ，主机 A 会 在 自己的 ARP缓存 表 接 正常 ，内网的部分 电脑不能上 网，或者所有 电脑均 中寻找是否有主机 B的 IP地址 。如果找到 了，也就 不能上 网，无法打开 网页或打开 网页慢 以及局域 网 知道 了主机 B的MAC地址 ，直接把主机 B的MAC 连接时断时续并且 网速 较慢 等现 象 ，严重影 响到 电 地址写入 帧里面发送就可 以了；如果在 ARP缓存表 子 阅览室读者 的正常使用 。 中没有找 到相对应 的 IP地址 ，主机 A就会在 网络 ARP病毒也 叫 ARP地 址欺骗类病毒 ，这是一 上发送一 个广播 ，目标 MAC地址是 “FF，FF．FF． 类特殊 的病毒 。该病毒属 于木 马病毒 ，不具备主动 FF，FF．FF”，这表示 向同一 网段 内的所有主机发 出 传播 的特性 ，不会 自我复制 ，但是 由于其发作时会 向 这样 的询 问 ：“192，168．5，11的MAC地址是什么?” 全 网发送伪造 的 ARP数据包 ，严重干扰全 网的正常 网络上其他主机并不 响应 ARP询 问 ，只有主机 B接 运行 ，其危 害甚 至 比一些蠕虫 病毒还要严重得 多 。 收到这个帧时 ，才 向主机 A做 出这样 的回应 ：“192． 要想 防治 ARP病毒 ，首先就要 了解 什么是 ARP协 168，5．11的 MAC地 址 是 bb—bb—bb—bb—bb— 议 以及 ARP病毒攻击 原理 。 bb”。这样 ，主机 A就知道 了主机 B的 MAC地址 ， 1 什么是 ARP协议 它就可 以向主机 B发送 信息 了。同时它还更新 了 6 协 议 是 “AddressResolutionProtocol”(地 自己的 6 缓存表 ，下次再 向主机 B发送信息时， 址解 析协议 )的缩 写 。在 局域 网 中实 际传 输 的是 直接从 ARP缓存表里查找就可 以了。 “帧 ”，帧里 面 包 含有 目标 主 机 的 MAC地 址 。在 以 2．2 ARP欺 骗 原 理 太 网中，一个主机要和另一个主机进 行直接通信 ，必 在正常情况下这个缓存表 能够有效 的保证数据 须要 知 道 目标 主 机 的 MAC地 址 。但 这 个 目标 的一对一传输 ，但 是在 ARP缓存表的实现机制 中存 MAC地址 通过地址解 析协议 获得 的。简单地说 ， 在一个不完善 的地方 ，当一个 主机收到一个 ARP的 ARP协议主要 负责将局域 网中的 32位 IP地址转 应答包 后 ，它并 不会去验