ARP病毒分析与防治.doc

ARP病毒分析与防治 　　摘要：文章主要阐述了ARP协议的原理及工作过程，详细的分析了ARP木马如何利用协议自身造成欺骗，提出了针对性的防范措施和处理该病毒的方法。 　　关键词：ARP病毒 MAC地址 网络安全 　　 　　该木马病毒是利用ARP协议自身的缺陷，通过虚拟局域网网关地址，骗取主机的MAC地址，截获网络其他计算机的通信信息，使数据包不能正确转发，造成通信故障，中毒症状表现为用户频繁断网，重新连接网络后又恢复正常。这对网络的安全是个很大的威胁。 　　 　　ARP协议工作原理 　　 　　（一）ARP协议 　　ARP地址解析协议，用于将计算机的网络地址（IP地址32位）转化为物理地址（MAC地址48位）。由于在网络通信中，二层的以太网交换设备不能识别32位的IP地址，这就需要先通过DNS协议先获取对方主机的IP地址，再使用ARP协议得到对方主机的MAC地址，才能进行网络通信。 　　（二）ARP的工作过程 　　源主机通过ping目的主机的IP，向目的主机发送数据包，如果在ARP缓存表中可以查到目的主机的IP-MAC对应记录，则可以直接转为MAC后发送；如果查不到目的主机信息，则通过ARP广播请求每一台主机，只有具有此IP地址的目的主机收到广播后，会发送一个包含自己MAC信息的数据包，由源主机的数据链路层把收到的IP-MAC对应，动态地更新到ARP缓存。 　　 　　ARP木马的攻击分析 　　 　　（一）ARP欺骗使网络中断 　　ARP木马通过伪造假的IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发送伪造的ARP响应包，就能修改目的主机的ARP缓存中IP-MAC的条目，就会造成网络中断或中间人攻击。 　　（二）ARP伪造IP造成IP冲突 　　网络中每台主机都有唯一的IP标识，如果出现相同IP地址的主机时，就会产生IP地址冲突。而利用ARP欺骗就可以伪造这个reply，使目的主机一直被地址冲突困扰。一台主机A在连接网络时向ARP发送自己的数据包并广播自己的IP地址，如果网络中存在相同IP的主机B会通过ARP来reply该地址，频繁发送ARP欺骗数据包，这样两台主机都会收到IP冲突的警告。 　　（三）ARP木马作为“中间人”盗取信息 　　一种欺骗是向目的主机发送假的ARP数据包，包含网关的IP和伪造的MAC地址，这样目的主机根据收到的ARP包更新自己的ARP缓存表，这样目的主机根据这个错误地址发的数据包都会被这个假的网关所截取，造成信息丢失。另一种欺骗是向网关发送伪造的ARP数据包，发送方用目的主机的IP和伪造的MAC地址，这样网关上的ARP记录就是错误的，所以网关根据这个地址发送给目的主机的数据包就会被ARP病毒截取，造成目的主机能够发送数据到网关，但是收不到网关的数据。如果ARP木马同时欺诈双方，就可以作为中间人获取双方信息，这就造成了对网络安全极大的威胁。 　　 　　ARP木马的检测 　　 　　（一）使用ARP-a命令发现ARP攻击 　　每台装有TCP/IP协议的计算机中都会存在一个ARP缓存表，使用arp-a命令就可以查看本主机的ARP缓存内容，所以每执行一个PNG命令，ARP缓存就会增加一个目的IP地址的记录；如果数据包是发送到不同网段，缓存表会存在一条网关的IP-MAC地址的一一对应的记录，如表1所示： 　　 　　由表1可见，目的主机的IP所对应的MAC地址与真正的MAC地址不符，说明本机已遭受ARP攻击。 　　（二）内网测试ARP木马 　　由于ARP主要攻击对象是网关，所以我们同样可以查看网关的ARP缓存，如果有多个IP都指向同一个MAC地址，就说明存在ARP欺骗攻击，并且这个MAC地址所对应的主机就是ARP攻击源。样数据包没有丢失可以暂时认为没有遭到ARP攻击，然后可用其他方法继续检测。如果输入ping IP命令后显示如表2，在丢了几个包后又连上，那么很可能是中了ARP病毒，这时候再通过ARP-a命令对照查找ARP表，确定是否中了ARP木马。 　　 　　（三）检测本机的ARP木马 　　同时按住“Ctrl+Alt+Del”键，打开任务管理器，看进程中是否有MIR0.dat进程，如果有，就说明本机中了ARP病毒，可以立刻结束该进程。 　　（四）监听数据报文 　　当局域网中存在ARP攻击时，一般不会单独的攻击某一台机器，而是针对整个局域网，ARP攻击源一般会向本网段内所有主机发送ARP请求报文，因此可利用抓包工具。使用这种工具，可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以将网上传输的源源不