深入剖析ARP病毒.docVIP

精品论文 参考文献 深入剖析ARP病毒 孙忠良（湖北省咸宁交通学校，湖北 咸宁 437100） 摘要：ARP地址欺骗类病毒（以下简称ARP病毒）是一类特殊的病毒，该病毒一般属于木马(Trojan)病毒，不具备主动传播的特性，不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包，干扰全网的运行，因此它的危害比一些蠕虫还要严重得多。 关键词：ARP；欺骗；病毒 中图分类号：TP309.5文献标识码：A 文章编号：1673-0992（2010）08A-0072-01 一、基本ARP介绍 　　ARP“AddressResolutionProtocol”（地址解析协议），局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。ARP协议的工作原理：在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如表所示。IP址和MAC地址　00-0f-3d-83-74-28　00-aa-00-62-c5-03 　　　03-aa-01-75-c3-06等等。我们以主机A（）向主机B（）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“的MAC地址是什么？”网络上其它主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“的MAC地址是00-aa-00-62-c6-09。”这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表。 　　二、ARP病毒新的表现形式 　　由于现在的网络游戏数据包在发送过程中，均已采用了强悍的加密算法，因此这类ARP病毒在解密数据包的时候遇到了很大的难度。现在又新出现了一种ARP病毒，与以前的一样的是，该类ARP病毒也是向全网发送伪造的ARP欺骗广播，自身伪装成网关。但区别是，它着重的不是对网络游戏数据包的解密，而是对于HTTP请求访问的修改。 　　HTTP是应用层的协议，主要是用于WEB网页访问。还是以上面的局域网环境举例，如果局域网中一台电脑S要请求某个网站页面，如想请求这个网页，这台电脑会先向网关发送HTTP请求，说：“我想登陆网页，请你将这个网页下载下来，并发送给我。”这样，网关就会将页面下载下来，并发送给S电脑。 这时，如果A这台电脑通过向全网发送伪造的ARP欺骗广播，自身伪装成网关，成为一台ARP中毒电脑的话，这样当S电脑请求WEB网页时，A电脑先是“好心好意”地将这个页面下载下来，然后发送给S电脑，但是它在返回给S电脑时，会向其中插入恶意网址连接！该恶意网址连接会利用MS06-014和MS07-017等多种系统漏洞，向S电脑种植木马病毒！同样，如果D电脑也是请求WEB页面访问，A电脑同样也会给D电脑返回带毒的网页，这样，如果一个局域网中存在这样的ARP病毒电脑的话，顷刻间，整个网段的电脑将会全部中毒！沦为黑客手中的僵尸电脑！ 　　案例：某学校用户反映，其内部局域网用户无论访问那个网站，KV杀毒软件均报病毒：Exploit.ANIfile.o。 　　在经过对该局域网分析之后，发现该局域网中有ARP病毒电脑导致其它电脑访问网页时，返回的网页带毒，并且该带毒网页通过MS06-014和MS07-017漏洞给电脑植入一个木马下载器，而该木马下载器又会下载10多个恶性网游木马，可以盗取包括魔兽世界，传奇世界，征途，梦幻西游，边锋游戏在内的多款网络游戏的帐号和密码，对网络游戏玩家的游戏装备造成了极大的损失。被ARP病毒电脑篡改的. 　　可以看出，局域网中存在这样的ARP病毒电脑之后，其它客户机无论访问什么网页，当返回该网页时，都会被插入一条恶意网址连接，如果用户没有打过相应的系统补丁，就会感染木马病毒。 　　在理解了ARP之后，ARP欺骗攻击以及如何判断此类攻击，我们简单介绍一下如何找到行之有效的防制办法来防止这类攻击对网络造成的危害。 　　三、ARP病毒的防制 　　1.激活防止ARP病毒攻击。进入路由器的防火的基本配置栏将“防止ARP病毒攻击”在这一行的“激活”并确定。2、对每台pc上绑定网关的IP和其MAC地址.在每台PC机上进入dos操作，输入arp?Cs(网关IP)00-0f-3d-83-74-28(网关