ARP协议及ARP病毒简介.pptVIP

什么是ARP协议 ARP是地址转换协议（Address Resolution Protocol）的英文缩写，它是一个链路层协议，工作在OSI模型的第二层，在本层和硬件接口间进行联系，同时对上层（网络层）提供服务。 IP数据包在局域网内部传输时并不是靠IP地址而是靠MAC地址来识别目标的，因此IP地址与MAC地址之间就必须存在一种对应关系，而ARP协议就是用来确定这种对应关系的协议。 ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用（windows系统这个时间为2分钟，而Cisco路由器的这个时间为5分钟），就会被删除， 常用命令：Arp –a Internet Address Physical Address Type 202.4.152.1 00-23-89-52-af-00 dynamic 202.4.152.40 44-37-e6-19-b4-1b dynamic * ARP协议：ARP是地址转换协议（Address Resolution Protocol） 二层的以太网交换设备并不能识别32位的IP地址，它们是以48位以太网地址（就是我们常说的MAC地址）传输以太网数据包的。也就是说IP数据包在局域网内部传输时并不是靠IP地址而是靠MAC地址来识别目标的 。 IP地址与MAC地址之间就必须存在一种对应关系，而ARP协议就是用来确定这种对应关系的协议 。 ARP缓存表的实现机制中存在一个不完善的地方，当主机收到一个ARP的应答包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。 ARP欺骗病毒：是指所有包含有ARP欺骗功能的病毒的总称。 由于ARP欺骗到目前为止依然是一种难以控制且非常有效的攻击手段，在今后很长一段时间它都会被病毒、木马程序等利用。这也加大了我们对这类病毒的控制难度。 ARP病毒的危害： 影响局域网正常运行——局域网内一旦有ARP的攻击存在，会欺骗局域网内所有主机和网关，让所有上网的流量必须经过ARP攻击者控制的主机。其他用户原来直接通过网关上网现在转由通过被控主机转发上网，由于被控主机性能和程序性能的影响，这种转发并不会非常流畅，因此就会导致用户上网的速度变慢。而由于ARP表存在老化机制，这就导致在某段时候主机能获得正确的网关MAC直到新的欺骗完成，这两种情况的交替过程中，主机显示的状况就是时断时续。 泄露用户敏感信息——大部分时候这些信息是黑客们所感兴趣的东西（如游戏帐号和密码、QQ号和密码、网银帐号和密码等） ARP病毒的传播方式： ARP欺骗是一种攻击方式，所有的病毒都可以采用这种方式。主要为以下几种： 通过网页下载传播（目前大部分ARP木马的传播方式）； 网络共享传播（弱口令共享等）； 移动存储介质传播（如U盘、移动硬盘等）； 文件感染 ARP病毒的查杀： 对于已知的ARP病毒，可以使用杀毒软件或者是专杀工具进行查杀，而对于一些杀毒软件无法查杀的未知ARP病毒，建议用户重新安装系统并及时升级补丁程序！ ARP欺骗的检测 ： 局域网的三层交换机，查看交换机的ARP缓存表，如果在ARP表中存在一个MAC对应多个IP情况，就表明存在ARP欺骗攻击，而这个MAC就是欺骗主机的MAC。 ARP欺骗的控制方法 主机静态绑定网关MAC方法：使用arp命令静态绑定网关MAC，格式如下： arp －s 网关IP 网关MAC 如果觉得每次手动输入比较复杂，可以编写一个简单的批处理文件然后让它每次开机时自动运行，批处理文件如下： ----------------------------------- @echo off echo arp set“ arp –d arp －s 网关IP 网关MAC exit ------------------------------------ 使用防ARP攻击的软件方法：下载和使用防ARP攻击的软件，如ARPFix或者是AntiARP等。 因为ARP欺骗利用的是ARP协议本身的缺陷，所以到目前为止，我们依然没有一个十分有效的方法去控制这种攻击。目前难点主要集中在网关交换机上，我们还没有找到一个很有效的方法来防范网关上的ARP列表不被欺骗修改。所以当前最有效的办法还是迅速阻断这种攻击的来源。这就要求能够快速检测到攻击并定位出攻击主机位置后加以处理。 *