浅议局域网ARP病毒攻击与防范.docVIP

浅议局域网ARP病毒攻击与防范 　　【摘要】本文首先介绍了ARP协议介绍及ARP病毒攻击的原理和目的，其次探讨了受到攻击后计算机终端表现、ARP病毒的预防措施及遭遇ARP病毒攻击后的快速处理方法。本文的讨论不仅为ARP病毒的防范提供依据，而且具有重要的理论意义。 【关键词】局域网；ARP病毒；攻击；防范 中图分类号：TP393.1 文献标识码：A 文章编号： 一、前言 随着经济的快速发展，我国的互联网行业取得了前所未有的成就。人们在享受互联网带来的便利的同时，也受到病毒的攻击，对互联网行业的发展使及其不利的。ARP是一种常见的病毒，对局域网有一定的攻击作用，我们应该加强对其的研究，提高防范意识。 二、ARP协议介绍及ARP病毒攻击的原理和目的 1、ARP协议介绍 ARP协议是TCP/IP协议组的一个协议，用于进行把网络地址翻译成物理地址（又称MAC地址）。ARP病毒并不是某一种病毒的名称，而是对利用 ARP 协议的漏洞进行传播的一类病毒的总称。ARP 病毒也叫 ARP 地址欺骗类病毒，这是一类特殊的病毒。该病毒一般属于木马病毒，不具备主动传播的特性，不会自我复制，但是由于其发作的时候，会向全网发送伪造的 ARP 数据包，严重干扰全网的正常运行。ARP 病毒发作时，通常会造成网络掉线，但网络连接正常，内网的部分电脑不能上网，或者所有电脑均不能上网，无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象，严重影响到企业网络、网吧、校园网络等局域网的正常运行。 2、ARP病毒攻击的原理 ARP病毒攻击的基本途径是通过伪造IP地址和MAC地址,实施ARP欺骗,使设备无法查询到IP对应的正确MAC地址,导致报文发送错误,造成网络通信混乱甚至瘫痪。一般地,ARP病毒攻击网络的表现形式有三种,一是伪冒网关;二是欺骗网关;三是中间人攻击。 （1）伪冒网关攻击 攻击者伪造ARP报文,发送源IP地址为网关IP地址、源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机,使这些主机更新ARP表中网关IP地址的对应关系。这样,主机访问网关的流量,被重新定向到个错误的MAC地址,导致用户无法正常访问外网。这样,如果某台PC机的ARP表被攻击者修改,它就无法正常上网。而且,攻击者还可以使用第三方PC机的MAC作为伪造MAC。这样即使在被攻击者PC机上查到了伪造MAC地址,也很难定位哪台PC机是真正的攻击者。 （2）欺骗网关攻击 攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC的ARP报文给网关,使网关更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样,网关发给该用户的所有数据全部重定向一个错误的MAC地址,导致该用户无法正常访问外网。 （3）中间人攻击 ARP中间人攻击是恶意攻击者想探听另外两台计算机之间的通信,它可以分别给这两台计算机发送伪造的ARP应答报文,使两台计算机更新自身ARP映射表中与对方IP地址相应的表项.此后这两台计算机之间通信实际上是通过黑客所在的主机间接进行的,黑客充当了中间人的角色,可以对信息进行窃取和篡改。 3、ARP病毒攻击的目的 ARP病毒攻击的目的：当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器 ，让所有上网的流量必须经过病毒主机。 其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。 切换到病毒主机上网后，如果用户已经登录了某些游戏或者网上银行服务器，那么病毒主机就会经常伪造断线的现象，那么用户就得重新登录服务器，此过程就是病毒主机盗取用户帐号和密码的过程。 三、受到攻击后计算机终端表现 网络受到ARP病毒攻击后,联网终端通常有以下的表现: (1)上网速度变慢,网络内共享文件缓慢。 (2)ARP欺骗的中毒现象表现为:使用局域网时会突然掉线,过一段时间后又会恢复正常。比如客户端状态频频变慢,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。不能上网后,重启电脑或禁用网卡再启动就恢复正常,但一会儿又掉线。 (3)大面积同时掉线,或时通时断,同网段的PC机出现上网不正常。 ARP欺骗木马只需在局域网内成功感染一台电脑，就可能导致整个局域网许多用户都无法上网，严重的甚至可能带来整个网络的瘫痪。该木马发作时，除了导致用户上网出现时断时续的现象外，还会窃取用户密码，如盗取QQ密码、盗取各种网络游戏密码和账号、盗窃网上银行账号进行非法交易活动等。 四、ARP病毒的预防措施 针对以上这些问题，笔者结合对ARP病毒进行了长时间的研究，提出了自己关于