浅谈局域网防ARP病毒.pdfVIP

萌科教文实践 ARP地址欺骗类病毒(以下简称ARP 中两台主机通信时，主机A首先检查 自 要发送到 目的主机时，会首先检查 自己 病毒)是一类特殊的病毒 ，该病毒一般 己的ARP缓存中有没有主机B的MAC ARP列表中是否存在该 IP地址对应的 属于木马(Trojan)病毒 ，不具备主动传 地址，如果有则将主机B的IP地址映 MAC地址，如果存在，就直接将数据包 播的特性，不会 自我复制。但是，由于其 射到相应的MAC地址，协议栈将 IP包 发送到这个MAC地址：如果不存在 ，就 发作时会向全网发送伪造的ARP数据 封装到以太网帧中进行传送。如果没 向本地网段发起一个 ARP请求的广播 包，干扰全网的运行，因此它的危害比 有，主机A会发送一个ARP请求广播 包 ，询问目的主机的IP所对应的MAC 一 些蠕虫要严重得多。 包，当主机 B收到此广播后，会发出 地址。网络中所有的主机收到这个ARP ARP响应包，将 自己的MAC地址传给主 请求后，会检查数据包中的目的IP是 一 、ARP病毒的原理 机A，同时主机 B将主机A的IP地址 否和 自己的IP地址一致。如果不一致 ／HAC地址添加到 自己的ARP缓存中，以 就不作回应i如果一致 ，该主机首先将 (一)ARP病毒的症状 供后面使用。主机A收到主机 B的ARP 发送端的MAC地址和 IP地址添加到 自 局域网络运行时断时续，同一网段 响应包后，将更新 自己的ARP缓存，并 己的ARP列表中，如果ARP表中已经存 内有的计算机突然不能联网，稍后又能 开始通信。 在该 IP的信息，则将其覆盖，后给数据 联网，经常是重复掉线。在能联网时，网 (三)ARP协议的工作原理 源主机发送一个ARP响应数据包，告诉 速很慢。检查主交换机、二层交换机、连 在 以太网中传输的数据包是以太 对方 自己是它需要查找 的MAC地址 j 接光纤等都正常，最后用 科“来网络分 包，而以太包的寻址是依据其首部的 源主机收到这个ARP响应数据包后，将 析 ”软件对 192．168．2．X网段进行网络 MAC地址。仅仅知道某主机的 IP地址 得到的 目的主机 的 IP地址和 MAC地址 数据流量扫描，发现不明IP地址ARP 并不能让内核发送一帧数据给此主机， 添加到自己的ARP列表中，并利用此信 数据流量异常，此网段内计算机访问网 内核必须知道 目的主机的 MAC地址才 息开始数据的传输。若数据源主机一 上邻居拷贝文件无法完成，出现错误； 能发送数据。ARP协议的作用就是在于 直没有收到ARP响应数据包，表示ARP 然后使用ARP查询的时候会发现不正 把32位的IP地址变换成48位的以太 查询失败。 常的MAC地址，或者是错误的MAC地址 地址 。 (四)ARP病毒欺骗及攻击原理 对应，另外一个 MAC地址对应多个 IP 在 以太局域网内数据包传输依靠 ARP欺骗分为二种，一种是对交换 的情况也会有出现。根据 MAC地址查找 的是 MAC地址 ，IP地址与 MAC对应 的 机或路 由器ARP表的欺骗 另一种是对 目标计算机，在 目标计算机上发现网络 关系依靠 ARP缓存表 ，每台主机 (包括 内网PC的网关欺骗。第一种ARP欺骗 杀毒软件已被破坏。 网关)都有～个ARP缓存表。在正常情 的原理是——截获网关数据。它通知交 (二 )什么是ARP协议 况下这个缓存表能够有效保证数据传 换机或路 由器～系列错误的内网MAC ARP全 称 为 AddressResolution 输的一对一性。我们可以在命令行窗口