ARP欺骗技术和防范技术.docVIP

ARP欺骗技术和防范技术 　　摘 要： ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。本文就ARP欺骗技术及防范技术进行说明 关键词：ARP；欺骗；原理；危害；防范 ARP是一个位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址。当一个基于TCP/IP的应用程序需要从一台主机发送数据给另一台主机时，它把信息分割并封装成包，附上目的主机的IP地址。然后，寻找IP地址到实际MAC地址的映射，这需要发送ARP广播消息。当ARP找到目的主机MAC地址后，就可以形成待发送帧的完整以太网帧头。最后，协议栈将IP包封装到以太网帧中进行传送。 一、什么是“ARP欺骗”以及“ARP欺骗”的原理 什么是ARP欺骗：从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。 ARP欺骗的原理：1、对路由器ARP表的欺骗――原理是截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。2、对内网PC的网关欺骗――原理是伪造网关。它的原理是立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，即“网络掉线了”。 二、检查 “ ARP 欺骗” 检查本机的“ARP欺骗”木马染毒进程 按住键盘上的CTRL+ALT+DEL打开“任务管理器”，选择“进程”标签。查看其中是否有一个名为“ MIR0.dat ”的进程。如果有，则说明已经中毒。右键点击此进程后选择“结束进程”。检查网内感染“ ARP 欺骗”木马染毒的计算机 （1）下载Anti ARP Sniffer软件保护本地计算机正常运行。同时把此软件设为“自动启动”，步骤：先把Antiarp.exe生成桌面快捷方式-选”开始”-“程序”-双击”启动”-再把桌面Antiarp.exe快捷键拷到”启动”中，以保证下次开机自动运行，起到保护的作用。 （2）在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令： ipconfig 记录网关 IP 地址，即“ Default Gateway ”对应的值，例如“192.168.10.55 ”。再输入并执行以下命令：arp ?a在“ Internet Address ”下找到上步记录的网关 IP 地址，记录其对应的物理地址，即“ Physical Address ”值，例如“00-11-2F-02-29-E3”。在网络正常时这就是网关的正确物理地址，而在网络受到“ ARP 欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。还可以扫描本子网内的全部 IP 地址，然后再查 ARP 表。如果有一个 IP 对应的物理地址与网关的相同，那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。 三、防范及应对“ARP欺骗” 1.防范“ARP欺骗” （1）增强安全意识，不要浏览一些缺乏可信度的网站； （2）不要轻易下载和安装盗版的、不可信任的软件或者程序； （3）不要随便打开不明来历的电子邮件，尤其是邮件附件； （4）不要随便点击打开QQ、MSN等聊天工具上发来的链接信息； （5）不要随便共享文件，如果确实需要最好设置权限，指定访问，建议不可写入； （6）禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。 （7）及时修补系统漏洞（比如，打上ARP补丁KB842168等等）； （8）修复不安全的设置（比如，为系统设置强密码，即长度不少于七位，使用大写字母、小写字母、阿拉伯数字和特殊符号三种以上的组合）； （9）关闭不必要的系统服务； （10）安装正版的杀毒软件网络版，经常更新病毒库 2.处理病毒对策 （1）步骤一：在能上网时，（如图三）进入MS-DOS窗口，输入命令：arp ?a 查看网关IP对应的正确MAC地址，将其记录下来。 注：如果已经不能上网，则先运行一次命令arp ?d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话），一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp ?a。 步骤二：如果已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。 手工绑定可在MS-DOS窗口下运行以下命令： arp ?s 、网关IP、 网关MAC。 例如