毕业设计arp欺骗攻击技术分析与防御论文.doc

ARP欺骗攻击技术分析与防御 Address Resolution Protocol Deceit Attack Technology Analysis And Defense 姜志坤 摘 要：世界上没有绝对安全的网络。用户即使想尽一切办法升级自己的系统，并且及时地为它补上各种补丁，也不能保证自己的系统就是绝对的安全。Internet和TCP/IP从出现开始，在安全问题上就存在着难以克服的缺陷。TCP/IP很容易相信别人，即使对方是不怀好意的入侵者。TCP/IP的欺骗技术有很多种，包括ARP欺骗、序列号欺骗、路由攻击、源地址欺骗和授权欺骗等。本文针对ARP欺骗的工作原理以及攻击过程，提出了一系列的解决方法。 关键字：入侵者 ARP 欺骗 工作原理 攻击过程 所谓ARP即地址解析协议（Address Resolution Protocol），是在仅知道主机的IP地址时确定其物理地址的一种协议。因IPv4和以太网的广泛应用，其主要用作将IP地址翻译为以太网的MAC地址，但其也能在ATM和FDDIIP网络中使用。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。 1. ARP欺骗原理 1. 1 ARP欺骗机制分析 ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址。Internet 0000b.cd85.a193 ARPAVlan256Internet 0000b.cd85.a193 ARPAVlan256Internet 540000b.cd85.a193 ARPAVlan256Internet 30000b.cd85.a193 ARPAVlan256Internet 30000b.cd85.a193 ARPAVlan256Internet 30000b.cd85.a193 ARPAVlan256Internet 50000b.cd85.a193 ARPAVlan256Internet 40000b.cd85.a193 1. 3 ARP欺骗病毒分析 当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。 由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。 在路由器的“系统历史记录”中看到大量如下的信息： MAC Chged 24 MAC Old 00:01:6c:36:d1:7f MAC New 00:05:5d:60:c7:18 这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址（即所有信息的MAC New地址都一致为病毒主机的MAC地址），同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。 如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致，则说明局域网内曾经出现过ARP欺骗（ARP欺骗的木马程序停止运行时，主机在路由器上恢复其真实的MAC地址）。 BKDR_NPFECT.A病毒引起ARP欺骗之实例分析： （1）病毒现象 中毒机器在局域网中发送假的APR应答包进行APR欺骗, 造成其他客户机无法获得网关和其他客户机的网卡真实MAC地址,导致无法上网和正常的局域网通信。 （2）病毒的组件 本文研究的病毒样本有三个组件构成: %windows%\SYSTEM32\LOADHW.EXE(108,386 bytes) …“病毒组件释放者” %windows%\System32\drivers\npf.sys(119,808 bytes) …“发ARP欺骗包的驱动程序” %windows%\System32\msitinit.dll (39,952 bytes)…“命令驱动程序发ARP欺骗包的控制者” （3）病毒运作基理 LOADHW.EXE 执行时会释放两个组件npf.sys 和msitinit.dll ，LOADHW.EXE释放组件后即终止运行。 注意: 病毒假冒成winPcap的驱动程序,并提供winPcap的功能