校园局域网中ＡＲＰ病毒攻击分析与防治.docVIP

校园局域网中ＡＲＰ病毒攻击分析与防治 　　摘要：随着计算机网络技术的发展，各种计算机病毒频繁出现，和计算机病毒作斗争已经成为网络管理员的首要任务。本文就引起局域网中的网络堵塞以及用户密码丢失等现象出现的ARP病毒攻击做了分析，提出了完善的防御方法。很好的杜绝了ARP病毒在局域网中的传播。 　　关键词：ARP协议；ARP缓存表；IP地址；MAC地址；ARP病毒 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)14-20821-02 　　 　　近一段时间来，学校中的好多机房都频频出现了局域网网络堵塞、电脑上网断线、各种帐号密码被窃取的现象。这些现象产生的大部分原因是由于受到了ARP病毒的攻击。什么是ARP病毒，它是怎么实现攻击的，我们又该怎样去防御、解决它？我在与ARP病毒作战的过程中了解了一些相关信息，愿意与大家分享。 　　 　　1 认识ARP 　　 　　ARP是“Address Resolution Protocol”的缩写，是局域网中完成IP地址向第二层物理地址（即MAC地址）转换的地址解析协议。在TCP/IP网络环境下，网络传输实际传输的是“帧”，帧里面记录着目标主机的MAC地址，而这个目标MAC地址就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 　　 　　2 局域网受到ARP病毒攻击的现象 　　 　　局域网用户受到ARP病毒攻击主要表现在以下几个方面： 　　(1)网络中传输速度慢，交换机显示数据交互量非常大，严重者直接造成网络堵塞； 　　(2)网络状况非常不稳定，经常会有部分机器无法连接网络的情况； 　　(3)网络内部频繁出现病毒，多为最新型的病毒体； 　　(4)网络内部经常会发生密码丢失的情况等等。 　　 　　3 ARP病毒攻击技术原理及其危害 　　 　　在每台装有TCP/IP协议的主机内存中，都有一个ARP缓存表，表里记录了曾有过数据交换的主机的IP地址与MAC地址的对应关系，缓存表可以在MS-DOS下用“arp-a”的命令查看，如图1。图中Internet Address表示的是和主机有过信息通讯的主机的IP地址，Physical Address表示的是和此IP地址对应的网络接口卡的MAC地址，而Type表示的是目前的本机中ARP列表的状态（static为静态，dynamic为动态）。在主机A向主机B发送信息时，如果表中记录了B的信息，那么A可以直接从表中查找到主机B的MAC地址，把MAC地址写入帧里面就可以传输信息。如果表中没有B的信息，则在B对A作出IP应答时，将其IP与MAC之间的映射写入ARP缓存表中。通常情况下ARP缓存表是一个动态的转换表，如果有主机的IP与MAC的对应关系改变了，那么该表就会在下一次访问到这台主机时进行修改。同样Switch（交换机）上也维护着一个动态的MAC缓存表。缓存表开始是空的，通过数据交换逐步记录。 　　ARP攻击则是通过伪造IP地址和MAC地址实现ARP欺骗，在网络中产生了大量的ARP通信量使网络阻塞或者进行ARP重定向和嗅探攻击。用伪造源MAC地址发送ARP响应包，对ARP高速缓存机制的攻击。攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断。当攻击源大量向局域网中发送虚假的ARP信息后，就会造成局域网中的机器ARP缓存表的崩溃。 　　同时ARP病毒攻击会让整个Switch的端口表都改变，不断发送大量假MAC地址的数据包，Switch就不断更新MAC-PORT缓存，通过这样的方式把以前正常的MAC和Port对应的关系破坏了，让Switch进行泛洪发送给每一个端口，使Switch变成一个 HUB，向所有的端口发送数据包，要进行嗅探攻击的目的就达到了。同时造成了Switch MAC-PORT缓存的崩溃。 　　ARP病毒最善于的就是伪造局域网内的网关地址。病毒会让这台机器的IP地址伪装成网关的IP，然后向局域网内大量发送ARP包，从而致使同一网段地址内的其它机器误将其作为网关，把传输的信息资源发给他，伪网关通过相关软件的分析，再把有用的信息发给攻击者。 　　最早的ARP病毒是携带在传奇游戏外挂程序中出现的，其目的是为了窃取传奇用户的密码，以谋取经济利益。随着病毒产业链的逐渐成熟，复合性病毒概念的出现，ARP病毒发展到今天已经不单单是携带在传奇外挂中了。一些恶意程序，病毒文件（尤其是木马程序），甚至某些网页中都会携带着ARP病毒。而现在的ARP攻击也不单单是为了窃取传奇用户密码，除了会造成局域网阻塞