ARP病毒攻击技术分析和防御.docVIP

ARP病毒攻击技术分析与防御 　　[摘要] 本文详细分析了ARP协议以及实现ARP攻击的原理，列举了ARP病毒的各种常见现象，并给出了具体的防御方法。 　　[关键词] ARP协议 ARP病毒 分析 防御 　　 　　一、ARP协议及攻击原理分析 　　 　　ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写，局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 　　每个主机都用一个ARP高速缓存存放最近IP地址到MAC硬件地址之间的映射记录。MS Windows高速缓存中的每一条记录（条目）的生存时间一般为60秒，起始时间从被创建时开始算起。在命令提示符下，输入“arp -a”就可以查看ARP缓存表中的内容；用“arp -d”命令可以删除ARP表中某一行的内容；用“arp -s”可以手动在ARP表中指定IP地址与MAC地址的对应。默认情况下，ARP从缓存中读取IP-MAC条目，缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此，只要网络上有ARP响应包发送到本机，即会更新ARP高速缓存中的IP-MAC条目。攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。 　　ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和 MAC地址存储在ARP缓存中。因此，B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A可不知道被伪造了）。当攻击源大量向局域网中发送虚假的ARP信息后，就会造成局域网中的机器ARP缓存的崩溃。 　　 　　二、ARP病毒现象 　　 　　1.网上银行、游戏及QQ账号的频繁丢失 　　一些人为了获取非法利益，利用ARP欺骗程序在网内进行非法活动，此类程序的主要目的在于破解账号登陆时的加密解密算法，通过截取局域网中的数据包，然后以分析数据通讯协议的方法截获用户的信息。运行这类木马病毒，就可以获得整个局域网中上网用户账号的详细信息并盗取。当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了游戏服务器，那么病毒主机就会经常伪造断线的假象，那么用户就得重新登录游戏服务器，这样病毒主机就可以盗号了。 　　2.局域网内频繁性地区域或整体掉线，重启计算机或网络设备后恢复正常 　　当带有ARP欺骗程序的计算机在网内进行通讯时，就会导致频繁掉线，出现此类问题后重启计算机或禁用网卡会暂时解决问题，但掉线情况还会发生。 　　3.网速时快时慢，极其不稳定，但单机进行光纤数据测试时一切正常 　　当局域内的某台计算机被ARP的欺骗程序非法侵入后，它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包， 阻塞网络通道，造成网络设备的承载过重，导致网络的通讯质量不稳定。用户会感觉上网速度越来越慢或时常断线。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。 　　 　　三、防御方法 　　 　　1.使用可防御ARP攻击的三层交换机，绑定端口MAC-IP，限制ARP流量，及时发现并自动阻断ARP攻击端口，合理划分VLAN，彻底阻止盗用IP、MAC地址，杜绝ARP的攻击。 　　2.查找病毒源，对病毒源头的机器进行处理，杀毒或重新安装系统。解决了ARP攻击的源头PC机的问题，可以保证内网免受攻击。 　　3.对于经常爆发病毒的网络，进行Internet访问控制，限制用户对网络的访问。此类ARP攻击程序一般都是从Internet下载到用户终端，如果能够加强用户上网的访问控制，就能极大的减少该问题的发生。 　　4.关闭一些不需要的服务，条件允许的可关闭一些没有必要的共享，也包括、等管理共享。完全单机的用户也可直接关闭Server服务。 　　5.经常更新杀毒软件（病毒库），设置允许的可设置为每天定时自动更新。安装并使用网络防火墙软件，网络防火墙在防病毒过程中也可以起到至关