浅谈ARP病毒欺骗攻击方式和防范措施.docVIP

浅谈ARP病毒欺骗攻击方式和防范措施 　　【摘要】本文首先介绍了APP协议的概念和工作原理，接着分析了当前ARP病毒的欺骗方式及其带来的危害，最后提出了一些解决方法和防范策略，来应对AILP病毒的欺骗和攻击。 　　【关键词】APR病毒；APR协议；TCP／IP协议；MAC地址 　　 　　随着网络技术在各个领域的广泛应用，在提高工作效率、实现数据共享以及信息交换等方面提供了极大的便利。然而，由于网络协议设计上的缺陷，给网络病毒以可乘之机。ARP病毒的出现，使网络的使用效率急剧下降，甚至对用户的信息安全构成威胁，因此，ARP病毒的防范显得尤为重要。 　　 　　一、ARP协议及其工作原理 　　 　　AR_P是Address Resolution Protocol的缩写，是TCP／1P协议族中的一个协议，称为地址解析协议，具体来说就是将网络层地址解析为数据连接层的MAC地址。 　　IP数据包在以太网中传送，但以太网设备并不能识别32位的IP地址，只能识别48位的MAC地址，ARP的解析过程就是将目的主机的IP地址转换成MAC地址。每一台主机都设有一个ARP缓存表用于存放IP地址与MAC地址的对应关系，这个缓存表会被定期的刷新，在一段时间内表中某一行未被使用，就会被删除，这样可以减少ARP缓存表的长度从而加快查询速度。我们可以在Windows命令行窗口中，输入命令arp-a，进行查看，输入命令arp-d进行刷新。 　　当主机A欲向本网络中的主机B发送数据包时，就会先查找自己的ARP缓存表中有无主机B的lP地址。如果有，就查出其对应的MAC地址，然后将该数据包发往此硬件地址对应的主机；如果不存在，主机A就要向网络发送一个ARP请求的广播包，网络上的所有主机都能收到这个ARP请求，主机B收到广播发现信息中的IP与自己的IP相同，便向主机A发送ARP响应，告知自己的MAC地址。这样在得到了主机B的MAC地址后，主机A就可以向主机B发送数据了。 　　 　　二、ARP病毒欺骗的实现方式。 　　 　　ARP欺骗的目的就是为了实现全交换环境下的数据监听，大部分的木马或病毒使用ARP欺骗攻击也是为了达到这个目的。 　　假设一个只有三台电脑组成的局域网，该局域网用交换机(switch)连接起来。其中一个电脑名叫A，代表攻击方；一台电脑叫C，代表源主机，即发送数据的电脑；另一台电脑名叫D，代表目的主机，即接收数据的电脑。这三台电脑的IP地址分别为：192.168.0.2，192.168.0.3，192.168.0.4，MAC地址分别为：MAC-A，MAC-C，MAC-D。 　　现在，c电脑要给D电脑发送数据，则要先查询自身的ARP缓存表，查看里面是否有192.168.0.4这台电脑的MAC地址，如果有，就将MAC-D封装在数据包的外面，直接发送出去即可。如果没有。c电脑便向全网络发送一个这样的ARP请求的广播包：c的1P是192.168.0.3，硬件地址是MAC-C，要求返回lP地址为192.168.0.4的主机的硬件地址。而D电脑接受到该广播，经核实IP地址，则将自身的IP地址和MAC-D地址返回到c电脑。现在C电脑可以在要发送的数据包上贴上目的地址MAC-D发送出去，同时它还会动态更新自身的ARP缓存表，将192.168.0.4-MAC-D这一条记录添加进去，这样，等c电脑下次再给D电脑发送数据的时候，就不要再发送ARP请求的广播包进行查询了。这就是正常情况下的数据包发送过程。 　　但是，上述数据发送机制有一个致命的缺陷，即它是建立在对局域网中电脑全部信任的基础上的，也就是说它的假设前提是：无论局域网中哪台电脑，其发送的ARP数据包都是正确的。比如在上述数据发送中，当c电脑向全网询问后，D电脑也回应了自己的正确MAC地址。但是当此时．A电脑却返回了D电脑的IP地址和和自己的硬件地址。由于A电脑不停地发送这样的应答数据包，则会导致C电脑又重新动态更新自身的ARP缓存表，这回记录成：192.168.0.4与MAC-A对应，我们把这步叫做ARP缓存表中毒。这样就会导致以后凡是C电脑要发送给D电脑的数据，都将会发送给A主机。也就是说，A电脑就劫持了由c电脑发送给D电脑的数据。这就是ARP病毒欺骗的过程。 　　如果A电脑不冒充D电脑，而是冒充网关，那后果会更加严重。一个局域网中的电脑要连接外网，都要经过局域网中的网关进行转发。在局域网中，网关的IP地址假如为192.168.0.1。如果A电脑向全网不停的发送IP地址是192.168.0.1，硬件地址是MAC-A的ARP欺骗广播，局域网中的其它电脑都会更新自身的ARP缓存表，将A电脑当成网关，这样，当它们发送数据给网关，结果都会发送到MAC-A这台电脑中。这样，A电脑就将会监听