ARP病毒攻击原理和防御方法.doc

ARP病毒攻击原理和防御方法摘要:ARP病毒是一种地址欺骗病毒,对局域网的影响危害很大。本文对ARP协议进行了简单的介绍。分析了ARP病毒的攻击原理,以及几种典型的ARP欺骗方式。介绍了一些常用的防御方法 Abstract: The ARP virus is one kind of address deceit virus, the influence harm is very big to the local area network. This article has carried on the simple introduction to the ARP agreement. Has analyzed the ARP virus’s attack principle, as well as several typical ARP deceit way. Introduced some commonly used defensive measure. 关键词:ARP协议 ARP病毒 MAC key word: ARP agreement ARP virus MAC 作者简介:唐思敏(1984-),女,湖南省株洲市人,助理工程师,硕士研究生 最近校园网内ARP欺骗病毒扩散,时常会出现校园网内计算机上网断断续续或者越来越慢直到拥塞不通的情况。在一个网段中只要有一台计算机感染了ARP欺骗病毒运行ARP欺骗的木马程序,就会欺骗局域网内所有主机和路由器,影响整个网内计算机的正常上网 一、ARP协议介绍 ARP协议即地址解析协议。局域网中的IP数据包是通过以太网发送的,而以太网设备并不识别IP地址而是只识别物理地址(MAC)。ARP地址解析协议就是在计算机相互通信时,实现IP地址和物理地址的转换以确保信息正确的到达目的主机的协议 每台计算机都会有一个ARP缓存表,缓存表里保存着目标设备的IP-MAC地址映射。ARP缓存表采用了老化机制,只保存最近一段时间内监听到的ARP信息以缩短缓存表长度提高查询效率。当客户机对某一IP地址的主机有通信需求时,首先会在自己的ARP缓存表里查询有没有相应的IP-MAC地址映射。如果有则封装ARP报文发送数据帧,如果没有则广播ARP请求询问目标机器的物理地址,然后监听信道上的ARP应答。值得一提的是,当客户机发出ARP请求后,同时也会监听信道上的其它ARP请求。收到ARP回答后新的地址映射将被存入ARP缓存表 二、ARP病毒攻击原理 因为ARP缓存表是可以随时更新的动态缓存表,所以攻击者完全可以发送一个带有欺骗性的ARP请求或者回答,以更改ARP缓存表中的地址映射,使得被攻击的主机的地址解析发生错误,将信息发往攻击者希望的机器地址,以达到窃取信息的目的 APR欺骗通常有针对局域网内计算机的欺骗、针对交换机的欺骗与针对DHCP服务的欺骗几种。下面分别对这几种ARP欺骗方法进行介绍 2.1针对局域网内计算机的欺骗 由于局域网内各个计算机的ARP缓存表都是根据信道上的ARP响应包动态变化的,而且并不是只监听自己发出的ARP请求。所以局域网中的攻击者想要利用ARP欺骗窃取内网中某台主机发出的信息或者破坏网络的正常通信是很容易的。例如A主机要发送信息给B主机,而C主机想得到他们的信息。C只需向A和B发送ARP应答包让他们都以为对方的MAC地址是C的MAC地址就可以了,这样看起来A和B是直接通信,但实际上信息都是通过C来转发的,这样C就可以轻松地得到A和B的通信内容。当然针对局域网内计算机的ARP欺骗还有很多,常见的比如篡改网关的MAC地址(通常将网关的MAC地址改成自己的MAC地址),或者干脆大量发送伪造的ARP数据包造成局域网中计算机ARP缓存表的崩溃,使得网内计算机不能正常上网 2.2针对DHCP服务的欺骗 DHCP 是 Dynamic Host Configuration Protocol(动态主机分配协议)的缩写,它是TCP/IP协议簇中的一种,主要是用来给网络中的计算机机分配动态的IP地址。使用DHCP可以大大简化配置客户机的TCP/IP的工作,尤其是当某些TCP/IP参数改变时,如网络的大规模重建而引起的IP地址和子网掩码的更改。但是由于DHCP服务器和客户端之间没有认证机制,如果有木马病毒让该DHCP服务器分配错误的IP地址和其他网络参数,那就会对网络造成非常大的危害。病毒的攻击方式通常是将DHCP所能分配的IP地址耗尽,然后通过伪造MAC地址来冒充DHCP服务器,然后给客户机提供一个假的DNS地址,这样用户就很容易被引导到一个假的网站,这样攻击者就可以得到他们想要的用户密码等信息 三、防御方法 综上所述,ARP欺