ARP病毒攻击技术分析和对策.docVIP

ARP病毒攻击技术分析和对策 　　摘 要:目前,因为ARP而导致网络瘫痪的例子举不胜举,ARP欺骗技术已经被越来越多的病毒所采用,成为病毒的一个新趋势。本文深入和直观地介绍了ARP协议、ARP协议工作原理、基本工作过程,并提出典型的ARP病毒防制法。 　　关键词:ARP协议 病毒 对策 　　中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2010)12-0083-01 　　 　　1 基本ARP介绍 　　网络中实际传输的是“帧”,帧中带有目标主机的MAC地址。ARP(Address Resolution Protocol)地址解析协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行,它对网络安全具有重要的意义。 　　ARP协议的工作原理:请求主机发送出一个含有目的IP地址的以太网广播数据包,然后目标IP的所有者会以一个含有IP和MAC地址对的数据包应答请求主机。这样请求主机就能获得要到达的IP地址对应的MAC地址,同时请求主机会将这个地址对放入自己的ARP表缓存起来,以节约不必要的ARP通信。下面是装有TCP/IP协议的电脑里的ARP缓存表,可以看到其IP地址与其MAC地址的对应关系,如下表所示。 　　 　　我们以主机X(192.168.1.2)向主机Y(192.168.1.3)发送数据为例。当发送数据时,主机X会在自己的ARP缓存表中寻找是否有目标IP地址。若有,也就知道了目标MAC地址,直接把目标MAC地址写入帧种进行发送就可以了;若没有,主机X就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.1.3的MAC地址是什么？”网络上其它主机并不响应ARP询问,只有主机Y接收到这个帧时,才向主机X做出这样的回应:“192.168.1.3的MAC地址是03-aa-01-75-c3-06。”这样,主机X就知道了主机Y的MAC地址,它就可以向主机Y发送信息了。与此同时,它还更新了ARP缓存表。 　　2 基本的解决ARP攻击的方法 　　通过对ARP工作原理得知,由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢,甚至网络出现大面积的掉线问题,这样的情况就是典型的ARP攻击。对遭受ARP攻击的判断方法很容易,你找到出现问题的电脑点开始运行进入系统的DOS操作。输入ping 192.168.1.1(网关IP地址)???若在内网ping路由器的LAN IP的同时发现有丢了几个包,然后又连上的情况,这很有可能是中了ARP攻击。然后,我们通过查找ARP表来进一步确认。输入ARP -a命令,显示如图1: 　　命令输入后,我们可以对比发现192.168.1.1地址和192.168.252地址的IP,所对应的 MAC地址均为00-0f-3d-83-74-28。显而易见,这证明了网络中存在ARP攻击。 　　下面,我们给出一种行之有效的防制办法来防止这类攻击对网络造成的危害。处理办法分下面三个步骤来完成: 　　(1)选定选项防止ARP病毒攻击。进入路由器的防火墙基本配置栏将“防止ARP病毒攻击”在这一行的“激活”并确定。 　　(2)绑定每台pc上的网关IP和其MAC地址。在每台PC机上均进入dos操作界面,输入命令:arp?Cs 192.168.1.1(网关IP)00-0f-3d-83-74-28(网关MAC),回车后即完成对每台PC机的绑定。 　　针对网络内的其它主机用同样的方法输入相应的主机IP以及MAC地址完成IP与MAC绑定。请注意,此操作的绑定效果,随着重启电脑而消失。因此我们建议把此命令做成一个批处理文件,放在操作系统的启动里面。 　　批处理文件可以这样写: 　　@echo off 　　arp -d 　　arp -s路由器LAN IP 路由器LAN MAC 　　(3)在路由器端绑定用户IP/MAC地址。在DHCP功能中对IP/MAC进行绑定,在路由器端提供了一个显示新加入的IP地址的功能,通过这个功能可以一次查找到网络内部的所有PC机的IP/MAC的对应列表。因此,我们一般“√”选此功能,从而达到绑定IP/MAC的目的。 　　 　　3 进阶ARP病毒防制 　　上面的操作基本可以解决问题,我们通过一些手段来进一步控制ARP的攻击。 　　(1)病毒源,对病毒源头的机器进行处理,杀毒或重新装系统。此操作比较重要,解决了ARP攻击的源头PC机的问题,可以保证内网免受攻击。(2)使用防护软件。ARP防火墙采用系统内核层拦截技术和主动防御技术,包含六大功能模块可解决大部分欺骗、ARP攻击