由ARP攻击造成局域网中断引发病毒原理分析.docVIP

由ARP攻击造成局域网中断引发病毒原理分析 　　摘要：该文详细介绍了利用ARP协议的特性进行欺骗攻击的原理和过程，ARP病毒是一种地址欺骗的病毒，通过伪造IP地址和MAC地址来完成ARP欺骗，对ARP病毒的攻击原理做了探讨与分析。 　　关键词：ARP缓存表；中间人攻击；局域网；MAC地址；IP地址 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044(2009)05-1064-01 　　The Analysis of Principles on the Viruses Initiated by the Breakdown of the Local Network Caused by ARP Attack 　　LIU Xun-zhang 　　(Fushun CATV Station,Fushun 113006,China) 　　Abstract: The text indetail introduce the principle and the process of cheating and attacking by using ARP protocol, The ARPvirus is one kind of address deceit vrus, the ARPvirus realizes the ARPdeceit through the forge Ipaddress and the MAC address,The article has made the detailed discussion and the analysis to the ARP virus’s attack principle. 　　Key words: ARP-cache;middle-peoples-attacks;LAN;MAC-address;IP-address 　　 　　最近，抚顺广电宽带网“东二街片区”网络总是不稳定，经常出现断网，或某一时刻网速极慢现象，给网络用户带来很大不变，起初我们还以为是这一片区的2016AF－SM交换机有问题，经过更换新的交换机，好了一段时间后又频繁掉线，经过我们认真走访发现这一片区内有的电脑正常，没有发生过掉线现象，于是，我们怀疑是病毒在捣鬼，根据这一片区计算机频繁掉线的现象，我们认为可能是这一片区某台电脑中了ARP病毒，由于这种病毒有些杀毒软件很难根除，病毒发作时其症状表现为计算机网络连接正常，但无法打开网页或由于ARP欺骗的木马程序发作时发出大量的数据包导致局域网用户上网不稳定，在CMD 中ping 5 -t总是显示Request Time Out 或隔几行显示一二条Reply From 5:Bytes=32 Time=323ms TTL=252，极大地影响了用户的正常使用，给整个局域网的安全带来严重隐患。 　　中毒症状： 　　由于局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有的主机和路由器，让所有上网的流量必须经过病毒主机，其他用户原来直接通过路由器上网，现在转由通过病毒主机上网了，切换的时候用户会断一次线，切换到病毒主机上网后，如果用户已经登陆了服务器，病毒主机就会经常伪造断线的假像，由于ARP欺骗的木马程序发作时会发出大量的数据包，导致局域网通讯阻塞以及自身处理能力的局限性，用户会感觉上网网速很慢，网络周期性断开，有时候无法正常上网，有时候好了。局域网内的ARP包爆增，使用ARP查询的时候会发现不正常的MAC地址或者是和错误的MAC地址对应，或者是一个MAC 地址对应多个IP地址。该病毒发作时，仅能影响同网段内机器的正常使用。用ARP－a命令检查ARP表的时候发现路由器IP和MAC被修改了，这就是ARP病毒攻击的典型症状。 　　原理分析： 　　ARP协议是“Address Resolution Protocol ”的缩写，ARP地址解析协议用于将计算机的网络IP地址转化为物理MAC地址，ARP协议对网络安全具有重要意义。在局域网中网络实际传输的是“帧”，其里面是有目标主机的MAC地址，在网络中一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC 地址，但这个目标 MAC 地址是如何获得的呢？它就是通过ARP 协议获得的。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的正常进行。 　　每一个主机都有一个ARP高速缓存，存放最近的IP地址到MAC硬件地址之间的映射记录，其记录的生存时间一般为60S，在默认的情况下，ARP从缓存中读取IP－MAC条目，缓存中的IP－MAC条目是根据ARP响应包动态变化的。因此，只要网络上有ARP响应包发送到本机，就会有更新ARP高速缓存中的IP－MAC条