局域网内ARP病毒的防范.pdfVIP

PopularScience 科 学 大 众 ·科 学 教 育 2011年 第7期 局域网内ARP病毒的防范 孙晨 阳 (长江南京通信管理局 ，江苏省 210011) 摘 要：本文主要研究AKP病毒的原理、病毒源的查找和定位及其病毒的防御方法。 关键词：ARP协议； 病毒； 防御 中图分类号：TP393．1 文献标识码：A 文章编号：1006—3315(2011)7—170—002 在计算机 网络系统所受到的网络病毒危害中，局域网ARP病 网络中所有的主机收到这个 ARP请求后，会检查数据包中的 毒是经常出现的一种，好多单位深受其害。因此，作为网络管理员， 目的IP是否和 自己的IP地址一致。如果不相同就忽略此数据包： 必须掌握一定的知识和采取一定的保护措施 以防范ARP病毒的 如果相同，该主机即主机B首先将主机 A的MAC地址和 IP地址 入侵。笔者 旨在通过本文，向网络管理员介绍ARP病毒的攻击原 添加到自己的ARP列表中，如果ARP 表中已经存在该 IP的信 理、病毒源的查找和定位以及病毒的防御方法，供网管人员参考。 息，则将其覆盖。然后给主机A发送一个ARP响应数据包，告诉对 一 、 ARP协议简介 方 “172．20．164．1的MAC地址是 00一Of_1f．6b—bc—d7”。主机 A收到 现在局域网组网的一般形式是：以太网+IP通信协议，即物理 这个ARP响应数据包后，将得到的主机B的IP地址和MAC地址 网络使用以太网交换机，主机使用 IP通信协议。 添加到自己的ARP列表中，并利用此信息开始数据的传输。 在 以太网中，如果主机A需要 向主机B发送数据 ，在发送前 二、ARP病毒攻击原理 必须先解决一个问题——怎么才能找到主机 B?可能有人会说通 ARP病毒一般分为两种类型：ARP欺骗和ARP扫描。 过主机B的IP地址啊。但实际上，在以太网环境中数据的传输所 1．AKP欺 骗 依懒的是以太网地址即MAC地址，而非 IP地址。在 以太网中，一 ARP协议的设计基础就是信任局域网内所有的人，为了减少 个主机和另一个主机进行直接通信，必须要知道 目标主机的MAC 网络上过多的ARP数据通信，一个主机 ，即使收到的ARP应答并 地址。因此，必须把主机B的IP地址转换成主机B的MAC地址， 非 自己请求得到的，它也会将其插入到 自己的ARP缓存表中，这 而将 已知 IP地址转换为MAC地址的工作是由ARP协议来完成 样，就造成了ARP病毒即 “ARP欺骗”发生的可能。 的。 如果主机C想探听同一网络中两台主机 A和B之间的通信， ARP协议是 “Address Resolution Protocol”(地址解析协议) 他会分别给这两台主机发送一个ARP应答包，让两台主机都 “误” 的缩写。所谓 “地址解析”就是主机在发送帧前将 目标 IP地址转换 认为主机 c的MAC地址是对方的MAC地址，这样，A和B双方 成 目标MAC地址的过程。ARP协议的基本功能就是通过 目标设备 看似 “直接”的通信连接，实际上都是通过主机 c间接进行的。主机 的lP地址查询 目标设备的MAC地址，以保证通信的顺利进行。 A一方面得到了想要A和B的通信内容 ，另一方面，只需要更改A 1．AP．P协议的工作原理 和B数据包中的一些信息，成功地做好转发工作即可。这种ARP 在每台安装有TCP／IP协议的电脑里都有一个 ARP缓存表， 欺骗属于主机 MAC地址欺骗 。 表里的IP地址与MAC地址是一一对应的，如下所示。 还有一种ARP欺骗属于网关 MAC地址欺骗 ：主机 c向局域 IP地址 MAC地址 网内所有主机发送一个ARP应答包，让其他所有主机都 “误”认为