基于局域网ARP病毒分析与防御.docVIP

基于局域网ARP病毒分析与防御 　　摘要：由于ARP协议制定时间较早，当时针对协议的缺陷考虑不周，且现有的基于IPv4标准的协议的体系结构考虑不够全面；使得ARP病毒攻击成为网络中常见的且破坏性较大的人侵攻击方式，并且主要发生在局域网中。本文简单介绍了ARP病毒及其表现形式，并通过对ARP病毒工作原理的研究，介绍了进行ARP病毒的检测与其相关防范的策略。 　　关键词：局域网；ARP病毒；ARP防御 　　Abstract: due to the ARP agreement earlier time, at that time, in view of the defect to be thoughtless of the agreement, and based on the existing IPv4 standard protocol architecture of consideration is not comprehensive; Makes the ARP virus attack in the network is common and devastating assault against the way, and occurs mainly in the local area network (LAN). This article simply introduces the ARP virus and its expression form, and based on the research of the working principle of the ARP virus, and introduces the detecting ARP virus related prevention strategy. 　　Key words: local area network (LAN); ARP virus; ARP defense 　　中图分类号：TP309.5文献标识码：A文章编号：2095-2104(2013) 　　 　　一、ARP病毒及其类型 　　ARP地址欺骗类病毒(以下简称ARP病毒)是一类特殊的计算机病毒，该病毒一般属于木马病毒，不具备主动传播的特性，不会自我复制。但是由于其发作的时候会向局域网发送伪造的ARP数据包，自身伪装成网关，干扰全网的运行，因此它的危害比一些蠕虫还要严重得多。ARP病毒大致分三类： 　　第一种：病毒主机只冒充网关ip地址。如果其他用户的电脑事先把网关的mac地址做了ARP绑定，那么病毒主机其实影响不到它。安装了anti之类的软件也能起到预防效果。 　　第二种：病毒主机疯狂地与全网所有ip地址进行冲突。遭受到ip冲突攻击的电脑往往会突然有几秒钟网络不通，然后恢复正常，几分钟后，下一轮冲突开始，又会断网几分钟。对于这一种病毒，即使装了之类的软件，效果也不大，甚至在交换机上做mac地址绑定都用处不大。只能把病毒机器所在的交换机端口down掉。 　　第三种：这是目前最厉害的ARP病毒，它可以进行双向ARP欺骗。病毒主机随机选择一些内网的在线主机进行欺骗，告诉它们病毒主机就是防火墙，然后他又欺骗防火墙，说那些被欺骗的主机的mac地址都是我病毒主机的mac地址。这样一来，防火墙的ARP表中，那些主机的ip对应的mac是病毒主机的，而被骗的主机则都把数据发给病毒主机进行转发，而防火墙返回的数据包也都会经过病毒主机转发，病毒主机就可以从数据包中抓取游戏帐号、密码等信息。 　　二、ARP病毒的攻击原理 　　ARP欺骗的核心思想就是向目标主机发送伪造的ARP应答，并使目标主机接收应答中伪造的IP地址与MAC地址之间的映射 　　对，以此更新目标主机ARP缓存。伪造IP地址和MAC地址，进而实现ARP欺骗。下面就在理论上说明实施ARP欺骗的过程。S代表源主机;D代表目的主机;A代表攻击者，进行ARP欺骗。S要向主机D发送报文，会查询本地的ARP缓存表，找到D的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播S一个ARP请求报文（携带主机A的IP地址Ia———物理地址Pa），请求IP地址为Ib的主机D回答物理地址Pb。网上所有主机包括D都收到ARP请求，但只有主机S识别自己的IP地址，于是向A主机发回一个ARP响应报文。假设A已知的D的IP地址，于是他暂时将自己的IP地址改为D的IP地址。当S想要向D发送数据时，假设目前他的ARP缓存中没有关于D的记录，那么他首先在局域网中广播包含的D的IP地址的ARP请求。但此时A具有与D相同的IP地址，于是分别来自A与D的ARP响应报文将相继到达S。此时，A是否能够欺骗成功就取决于S的操作系统处理重复ARP