ARP病毒攻击解决的方案.docVIP

ARP病毒攻击解决的方案 　　[摘 要]：网络欺骗攻击作为一种非常专业化的攻击手段，给网络安全管理者带来了严峻的考验。文中探讨了ARP欺骗这一典型的欺骗攻击类型，分析了ARP病毒的攻击原理，及ARP攻击的两种情况，提出了对ARP欺骗的解决方案。 　　[关键词]：ARP；ARP欺骗；IP地址；MAC地址；病毒；攻击 　　中图分类号： TP 文献标识码：A文章编号：1002-6908（2007）0610055-01 　　 　　引言 　　 　　从去年开始，各高校机房和网吧大规模爆发ARP病毒及其各种变种。如果局域网中发现许多台电脑中毒，电脑中毒后会向同网段内所有计算机发ARP欺骗包，由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞，用户会感觉上网速度越来越慢，掉线；甚至无法上网，同时造成整个局域网的不稳定，这种现象就是我们常见的ARP病毒。 　　 　　１.ARP协议 　　 　　 ARP协议是Address Resolution Protocol（地址解析协议）的缩写。在局域网中，网络中实际传输的是帧，帧里面有目标主机的MAC地址。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地 址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓地址解析就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行[1]。 　　 　　2.ARP病毒攻击原理 　　 　　ARP病毒攻击是对内网的PC进行攻击，利用的是ARP Spoofing攻击原理。在局域网中，是通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下表所示。 　　主机 IP地址MAC地址 　　Aaa-aa-aa-aa-aa-aa 　　Bbb-bb-bb-bb-bb-bb 　　Ccc-cc-cc-cc-cc-cc 　　 我们以主机A（）向主机B（）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标B 的IP地址。如果找到了，也就知道了目标B 的MAC地址，直接把目标B 的MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到目标B 的IP地址，主机A就会向同一网段内的所有主机发出一个ARP请求的广播：的MAC地址是什么？网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：的MAC地址是bb-bb-bb-bb-bb-bb。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果ARP缓存表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。 　　从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。正常情况下A和C之间进行通讯，但是此时B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A被欺骗了），这时B就伪装成C了。同时，B同样向C发送一个ARP应答，应答包中发送方IP地址为（A的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（A的MAC地址本来应该是AA-AA-AA-AA-AA-AA），当C收到B伪造的ARP应答，也会更新本地ARP缓存（C也被欺骗了），这时B就伪装成了A。这样主机A和C都被主机B欺骗，A和C之间通讯的数据都经过了B，这就是典型的ARP欺骗过程[2]。一般情况下，ARP欺骗的某一方应该是网关。当攻击源大量向局域网中发送虚假的ARP信息后，就会造成局域网中的机器ARP缓存的崩溃。 　　 　　3.ARP欺骗的两种情况 　　 　　 ARP欺骗存在两种情况：一种是欺骗主机作为中间人，被欺骗主机的数据都经过它中转一次，这样欺骗主机可以窃取到被它欺骗的主机之间的通讯数据；另一种让被欺骗主机直接断网[3]。 　　第一种：窃取数据（嗅探） 　　 这种情况就属于我们上面所说的典型的ARP欺骗，欺骗主机向被欺骗主机发送大量伪造的ARP应答包进行欺骗，当通讯双方被欺骗成功后，自己作为了一个中间人的身份。此时被欺骗的主机双方还能正常通讯，只不过在通讯过程中