- 1、本文档共9页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
ARP病毒分析与防治
ARP病毒分析与防治
摘要:文章主要阐述了ARP协议的原理及工作过程,详细的分析了ARP木马如何利用协议自身造成欺骗,提出了针对性的防范措施和处理该病毒的方法。
关键词:ARP病毒 MAC地址 网络安全
该木马病毒是利用ARP协议自身的缺陷,通过虚拟局域网网关地址,骗取主机的MAC地址,截获网络其他计算机的通信信息,使数据包不能正确转发,造成通信故障,中毒症状表现为用户频繁断网,重新连接网络后又恢复正常。这对网络的安全是个很大的威胁。
ARP协议工作原理
(一)ARP协议
ARP地址解析协议,用于将计算机的网络地址(IP地址32位)转化为物理地址(MAC地址48位)。由于在网络通信中,二层的以太网交换设备不能识别32位的IP地址,这就需要先通过DNS协议先获取对方主机的IP地址,再使用ARP协议得到对方主机的MAC地址,才能进行网络通信。
(二)ARP的工作过程
源主机通过ping目的主机的IP,向目的主机发送数据包,如果在ARP缓存表中可以查到目的主机的IP-MAC对应记录,则可以直接转为MAC后发送;如果查不到目的主机信息,则通过ARP广播请求每一台主机,只有具有此IP地址的目的主机收到广播后,会发送一个包含自己MAC信息的数据包,由源主机的数据链路层把收到的IP-MAC对应,动态地更新到ARP缓存。
ARP木马的攻击分析
(一)ARP欺骗使网络中断
ARP木马通过伪造假的IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发送伪造的ARP响应包,就能修改目的主机的ARP缓存中IP-MAC的条目,就会造成网络中断或中间人攻击。
(二)ARP伪造IP造成IP冲突
网络中每台主机都有唯一的IP标识,如果出现相同IP地址的主机时,就会产生IP地址冲突。而利用ARP欺骗就可以伪造这个reply,使目的主机一直被地址冲突困扰。一台主机A在连接网络时向ARP发送自己的数据包并广播自己的IP地址,如果网络中存在相同IP的主机B会通过ARP来reply该地址,频繁发送ARP欺骗数据包,这样两台主机都会收到IP冲突的警告。
(三)ARP木马作为“中间人”盗取信息
一种欺骗是向目的主机发送假的ARP数据包,包含网关的IP和伪造的MAC地址,这样目的主机根据收到的ARP包更新自己的ARP缓存表,这样目的主机根据这个错误地址发的数据包都会被这个假的网关所截取,造成信息丢失。另一种欺骗是向网关发送伪造的ARP数据包,发送方用目的主机的IP和伪造的MAC地址,这样网关上的ARP记录就是错误的,所以网关根据这个地址发送给目的主机的数据包就会被ARP病毒截取,造成目的主机能够发送数据到网关,但是收不到网关的数据。如果ARP木马同时欺诈双方,就可以作为中间人获取双方信息,这就造成了对网络安全极大的威胁。
ARP木马的检测
(一)使用ARP-a命令发现ARP攻击
每台装有TCP/IP协议的计算机中都会存在一个ARP缓存表,使用arp-a命令就可以查看本主机的ARP缓存内容,所以每执行一个PNG命令,ARP缓存就会增加一个目的IP地址的记录;如果数据包是发送到不同网段,缓存表会存在一条网关的IP-MAC地址的一一对应的记录,如表1所示:
由表1可见,目的主机的IP所对应的MAC地址与真正的MAC地址不符,说明本机已遭受ARP攻击。
(二)内网测试ARP木马
由于ARP主要攻击对象是网关,所以我们同样可以查看网关的ARP缓存,如果有多个IP都指向同一个MAC地址,就说明存在ARP欺骗攻击,并且这个MAC地址所对应的主机就是ARP攻击源。样数据包没有丢失可以暂时认为没有遭到ARP攻击,然后可用其他方法继续检测。如果输入ping IP命令后显示如表2,在丢了几个包后又连上,那么很可能是中了ARP病毒,这时候再通过ARP-a命令对照查找ARP表,确定是否中了ARP木马。
(三)检测本机的ARP木马
同时按住“Ctrl+Alt+Del”键,打开任务管理器,看进程中是否有MIR0.dat进程,如果有,就说明本机中了ARP病毒,可以立刻结束该进程。
(四)监听数据报文
当局域网中存在ARP攻击时,一般不会单独的攻击某一台机器,而是针对整个局域网,ARP攻击源一般会向本网段内所有主机发送ARP请求报文,因此可利用抓包工具。使用这种工具,可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式,便可以将网上传输的源源不
您可能关注的文档
- ADSB主要运行维护指标构建.doc
- ADSCbFGF对大鼠腹壁成形术后TRAM皮瓣活性影响.doc
- ADSCbFGF对大鼠背部带蒂皮瓣存活率实验研究.doc
- ADSL接入方式在四级网中应用.doc
- ADSL技术在EPON中实现应用.doc
- ADSS光缆在电力公司电表计量工程中应用.doc
- ADS―B Category 021报文解析软件设计与实现.doc
- ADS―B信号干扰现象与处置方法.doc
- ADS―B技术在CNSATM中应用研究.doc
- ADS―B在通用航空机场应用和影响.doc
- 第十一章 电流和电路专题特训二 实物图与电路图的互画 教学设计 2024-2025学年鲁科版物理九年级上册.docx
- 人教版七年级上册信息技术6.3加工音频素材 教学设计.docx
- 5.1自然地理环境的整体性 说课教案 (1).docx
- 4.1 夯实法治基础 教学设计-2023-2024学年统编版九年级道德与法治上册.docx
- 3.1 光的色彩 颜色 电子教案 2023-2024学年苏科版为了八年级上学期.docx
- 小学体育与健康 四年级下册健康教育 教案.docx
- 2024-2025学年初中数学九年级下册北京课改版(2024)教学设计合集.docx
- 2024-2025学年初中科学七年级下册浙教版(2024)教学设计合集.docx
- 2024-2025学年小学信息技术(信息科技)六年级下册浙摄影版(2013)教学设计合集.docx
- 2024-2025学年小学美术二年级下册人美版(常锐伦、欧京海)教学设计合集.docx
文档评论(0)