ARP木马病毒分析和解决方案.docVIP

ARP木马病毒分析和解决方案 　　[摘 要]ARP木马病毒通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，造成网络中断或中间人攻击。 　　[关键词]ARP 欺骗 IP MAC 　　中图分类号：TP3文献标识码：B 文章编号：1002－6908（2007）0620043－01 　　 　　一、ARP协议简介 　　 　　ARP协议即地址解析协议Address Resolution Protocol，负责IP地址和网卡实体地址(MAC)之间的转换。也就是将网络层（IP层，也就是相当于ISO/OSI 的第三层）地址解析为数据连接层（MAC层，也就是相当于ISO/OSI的第二层）的MAC地址。即主机发送一个IP包之前，它要到自己的ARP缓存表中寻找是否有目标主机的IP地址，如果找到了，也就知道了目标主机的MAC地址，然后直接发送；如果没有找到，该主机就发送一个ARP广播包目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“xxx.xxx.xxx.xx1的MAC地址是什么???”IP为xxx.xxx.xxx.xx1的主机响应这个广播，应答ARP广播为：“我是xxx.xxx.xxx.xx1,我的mac为 　　xxxxxxxxxx2” 这样，主机A就知道了主机B的MAC地址，可以通信了。 　　 　　二、ARP欺骗原理 　　 　　当对一个目标进行ARP欺骗时，也就是设置一主机C捕获主机A发送给主机B的通信数据包，如果C能够接收到A发送的数据包，那么第一步嗅探成功了。但是主机A并没有意识到主机B没有接受到主机A发送的数据包。假如主机C进行ICMP重定向，那么他可以直接进行整个包的修改，捕获到主机A发送给主机B的数据包，全部进行修改后再转发给主机B，而主机B接收到的数据包完全认为是从主机A发送来的。这样主机C就完成了ARP欺骗。 　　当某台主机中了这类ARP欺骗的木马病毒程序后，会发送假冒的ARP响应数据报文。这种报文会欺骗所在网段的主机和交换机，让其他用户上网的流量必须经过病毒主机。由于中毒主机本身发送大量的数据报文造成拥塞以及自身处理能力的限制，其他用户上网就会表现出频繁中断的现象。通过协议分析软件可以发现中了木马病毒的网络中大部分的数据包都是ARP广播。并且，有的中毒迹象是几个IP地址对应的MAC地址都是一样。下面的数据是管理员在某单位的网络设备上查看到的log信息： 　　display log buffer 　　%Jul1 10:22:01 2006 netlab ARP/4/DUPIFIP:Duplicate address 10.55.80.253 on VLAN80, sourced by 0014-2a43-e21f 　　%Jul1 10:22:01 2006 netlab ARP/4/DUPIFIP:Duplicate address 10.55.80.253 on VLAN80, sourced by 0014-2a43-e21f 　　%Jul1 10:22:01 2006 netlab ARP/4/DUPIFIP:Duplicate address 10.55.80.253 on VLAN80, sourced by 0014-2a43-e21f 　　%Jul1 10:22:05 2006 netlab ARP/4/DUPIFIP:Duplicate address 10.55.80.253 on VLAN80, sourced by 0014-2af7-a93c 　　%Jul1 10:22:05 2006 netlab ARP/4/DUPIFIP:Duplicate address 10.55.80.253 on VLAN80, sourced by 0014-2af7-a93c 　　%Jul1 10:22:05 2006 netlab ARP/4/DUPIFIP:Duplicate address 10.55.80.253 on VLAN80, sourced by 0014-2af7-a93c 　　%Jul1 10:22:09 2006 netlab ARP/4/DUPIFIP:Duplicate address 10.55.80.253 on VLAN80, sourced by 0016-ec0f-d8f2 　　%Jul1 10:22:09 2006 netlab ARP/4/DUPIFIP:Duplicate address 10.55.80.253 on VLAN80, sourced by 0016-ec0f-d8f2 　　%Jul1 10:22:09 2006 netlab