ARP工作原理及如何防范ARP欺骗木马.pdfVIP

ARP 工作原理及如何防范ARP 欺骗木马 ARP 地址欺骗类病毒（简称ARP 病毒）是一类特殊的病毒，该病毒一般属 于木马(Trojan)病毒，不具备主动传播的特性，不会自我复制。但是由于其发作 的时候会向全网发送伪造的ARP 数据包，干扰全网的运行，因此它的危害比一 些蠕虫还要严重得多。 ARP 地址欺骗类病毒会导致网络掉线，但网络连接正常，整个网段内部分 计算机不能上网，或者所有计算机无法正常上网，无法打开网页或打开网页慢， 访问页面时常常弹出广告窗口，局域网时断时续并且网速较慢等。 它还会导致网络异常、IP 冲突；数据窃取、个人隐私泄漏（如MSN 聊天记 录、邮件等）、账号被盗用（如QQ 账号、银行账号等）；数据篡改（如访问的 网页被添加了恶意内容，俗称 “挂马”）；非法控制（如某些网页打不开、某些 网络应用程序用不了）。 一、ARP 欺骗原理 1、什么是ARP？ ARP 是地址转换协议（Address Resolution Protocol）的英文缩写，它是一个 链路层协议，工作在 OSI 模型的第二层，在本层和硬件接口间进行联系，同时 对上层（网络层）提供服务。 二层的以太网交换设备并不能识别32 位的IP 地址，它们是以48 位以太网 地址（就是常说的 MAC 地址）传输以太网数据包。也就是说 IP 数据包在局域 网内部传输时并不是靠IP 地址而是靠MAC 地址来识别目标的，因此IP 地址与 MAC 地址之间就必须存在一种对应关系，而ARP 协议就是用来确定这种对应关 系的协议。 Windows 操作系统，在命令行窗口输入“arp –a”命令可查看本机当前的ARP 缓存表，ARP 缓存表保存的就是IP 地址与MAC 地址的对应关系，如下图所示： 图中，“Internet Address ”指的就是IP 地址， “Physical Address”指的就是 MAC 地址。 2、ARP 通讯原理 ARP 数据包根据接收对象不同，可分为两种： （1）广播包(Broadcast)。广播包目的MAC 地址为FF-FF-FF-FF-FF-FF ，交 换机设备接收到广播包后，会把它转发给局域网内的所有主机； （2）非广播包(Non-Broadcast) 。非广播包后只有指定的主机才能接收到。 ARP 数据包根据功能不同，也可以分为两种： （1）ARP 请求包(ARP Request)。ARP 请求包的作用是用于获取局域网内某 IP 对应的MAC 地址； （2）ARP 回复包(ARP Reply)。ARP 回复包的作用是告知别的主机，本机 的IP 地址和MAC 是什么。 当主机A 需要与主机B 进行通讯时，它会先查一下本机的ARP 缓存中，有 没有主机B 的MAC 地址。如果有就可以直接通讯。如果没有，主机 A 就需要 通过ARP 协议来获取主机B 的MAC 地址，具体做法相当于主机A 向局域网内 所有主机喊一嗓子： “喂～谁是？我是，我的MAC 地址 是AA-AA-AA-AA-AA-AA 。你的MAC 地址是什么，快告诉我”，这时候主机 A 发的数据包类型为：广播—请求。 当主机B 接收到来自主机A 的 “ARP 广播-请求”数据包后，它会先把主机 A 的IP 地址和MAC 地址对应关系保存/更新到本机的ARP 缓存表中，然后它会 给主机A 发送一个“ARP 非广播- 回复”数据包，其作用相当于告诉主机A ：“嘿， 我是，我的MAC 地址是BB-BB-BB-BB-BB-BB”。当主机A 接收到 主机B 的回复后，它会把主机B 的IP 地址和MAC 地址对应关系保存/更新到本 机的ARP 缓存表中，之后主机A 和B 就可以进行通讯了。 3、ARP 欺骗 主机在两种情况下会保存、更新本机的ARP 缓存表： （1）接收到 “ARP 广播-请求”包时； （2）接收到 “ARP 非广播- 回复”包时。 从中我们可以看出，ARP 协议是没有身份验证机制的，局域网内任何主机 都可以随意伪造ARP 数据包，ARP 协议设计天生就存在严重缺陷。 假设局域网内有以下三台主机（其中GW 指网关），主机名、IP 地址、MAC 地址分别如下： 主机名 IP 地址 MAC 地址