ARP病毒的攻击原理及防御.pdf

ARP病毒的攻击原理及防御 ARP病毒的攻击原理及防御 李佳 沈红梅 涂亚东 (高邮市供电公司，江苏省高邮市225600) 摘 要：ARP欺骗是现在企事业单位网络中普遍碰到的问题，该病毒常常造成上网频繁掉线，但网络连接 却正常。内网部分网段的PC机不能上网，或者所有电脑不能上网，无法打开网页或打开网页慢，局域网时 断时续，并且网速很慢，严重影响了企业的正常工作运行。 关键词：ARP；病毒；网关；MAC地址；IP地址 O前言 不具备主动传播的特性，不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包，干扰全 网的运行，因此它的危害比一些蠕虫还要严重得多。当附近所有人的计算机都不能正常上网，出现频繁掉 线等情况时，您的电脑却安然无恙，数据通信正常，这说明您的机器已经中了ARP病毒，需要及时杀毒， 否则，与您相邻的计算机将无法上网，您的硬盘上的数据也有被窃取的危险。 公司2007年6、7月份曾出现局域网内上网频繁掉线，很多应用系统无法使用的情况，严重影响了公 司的正常运行，经过查证，确认引起网络掉线的原因是ARP病毒。它是一款对局域网进行ARP地址欺骗 的病毒软件，通过虚拟局域网网关地址，来欺骗其他客户机。从影响网络连接通畅的方式来看，ARP欺骗 分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗病毒的原理 是——截获网关数据。原理是它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行， 使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址， 造成正常PC无法收到信息。第二种ARP欺骗工具的原理是——伪造网关。它的原理是建立假网关，让被 它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络 掉线了”。公司今年出现的情况就是第二种ARP欺骗。具体表现就是用户频繁断网、IE浏览器频繁出错以 及一些常用软件出现故障等问题，重启机器或在MSDOS窗口下运行命令ARP—d，清空缓存表后，又可恢 复上网一段时间。 1 什么是ARP欺骗 我们大家都知道，在局域网中，一台主机要和另一台主机进行通信，必须要知道目标主机的IP地址， 但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的，只能识别其硬件地址即MAC地 00-0B一2F…131A1 1就是一个MAC地址。每一块网卡都有其全球唯一的MAC地址，网卡之间发送数据， 只能根据对方网卡的MAC地址进行发送，这时就需要一个将高层数据包中的IP地址转换成低层MAC地址 29 第三届电力安全论坛 2008年第4辑 论文集(第三分册调度通信信息安全) (总第118辑) Resolution 协议就是用来确定这种对应关系的协议。ARP是地址转换协议(AddressProtoc01)的英文缩写，它 是一个链路层协议，工作在OSI模型的第二层，在本层和硬件接口间进行联系，同时对上层(网络层)提供 服务的。ARP工作时，首先请求主机会发送出一个含有所希望到达的IP地址的以太网广播数据包，然后 目标IP的所有者会以一个含有IP和MAC地址对应的数据包应答请求主机。这样请求主机就能获得要到达 的IP地址对应的MAC地址，同时请求主机会将这个地址对放入自己的ARP表缓存起来，以节约不必要的 快查询速度。在了解ARP协议后我们再来看看ARP欺骗的过程如何。 2 ARP欺骗过程 假设一个只有三台电脑组成的局域网，该局域网由交换机(Switch)连接。其中一个电脑名叫A，代表攻 击方；一台电脑叫S，代表源主机，即发送数据的电脑；另一台电脑名叫D，代表目的主机，即接收数据 MAC—S，MAC—D。其网络拓扑环境如图1所示。 Switch