基于局域网的ＡＲＰ病毒的分析与防御.pdfVIP

基于局域网的ＡＲＰ病毒的分析与防御 BAIDU_CLB_singleFillSlot("10979"); 　　[摘 要] 本文针对目前 网络 中存在的 ARP 病毒,通过分析 ARP 协议以及 ARP 病毒实现 攻击的原理,列举了 ARP 病毒的各种常见现象,并给出了具体的防御方法。 　　[关键词] ARP 协议 ARP 病毒 IP 地址 　　随着 计算 机技术和 Internet 技术的不断推广应用, 网络逐渐成为人们日常生活中不可 缺少的部分。通过网络人们可以完成浏览信息、收发邮件、远程信息管理、与外界进行 电子 商务交易等活动。但是由于网络的开放性、资源的共享性、联结形式的多样性、终 端分布的不均匀性以及网络边界的不可知性, 网络中必然存在众多潜在的安全隐患。近年 来, 针对网络的攻击也在不断增加, 其中利用 ARP 协议漏洞对网络进行攻击就是其中的一 种重要方式。 中国论文联盟 www.LWLM.com 编辑。 　　一、ARP 病毒现象 　　1.局域网内频繁性地区域或整体掉线,重启计算机或网络设备后恢复正常。 　　当带有 ARP 欺骗程序的计算机在网内进行通讯时,就会导致频繁掉线。出现此类问题 后重启计算机或禁用网卡会暂时解决问题,但掉线情况还会发生。 　　2.网速时快时慢,极其不稳定,但单机进行光纤数据测试时一切正常。 　　当局域内的某台计算机被 ARP 的欺骗程序非法侵入后,它就会持续地向网内所有的计 算机及网络设备发送大量的非法 ARP 欺骗数据包,阻塞网络通道。造成网络设备的承载过 重,导致网络的通讯质量不稳定。用户会感觉上网速度越来越慢或时常断线。当 ARP 欺骗 的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。 　　二、ARP 病毒攻击方式 　　1.中间人攻击。中间人攻击就是攻击者将自己的主机插入两个目标主机通信路径之间, 使他的主机如同两个目标主机通信路径上的一个中继,这样攻击者就可以监听两个目标主 机之间的通信。 　　2.拒绝服务攻击。拒绝服务攻击就是使目标主机不能响应外界请求,从而不能对外提供 服务的攻击方法。 　　3.克隆攻击。攻击者首先对目标主机实施拒绝服务攻击,使其不能对外界作出任何反应 。然后攻击者就可以将自己的 IP 与 MAC 地址分别改为目标主机的 IP 与 MAC 地址,这样攻 击者的主机变成了与目标主机一样的副本。 　　三、ARP 病毒攻击原理 　　ARP 欺骗的核心思想就是向目标主机发送伪造的 ARP 应答,并使目标主机接收应答中 伪造的 IP 地址与 MAC 地址之间的映射对,以此更新目标主机 ARP 缓存。下面就在理论上 说明实施 ARP 欺骗的过程 S 代表源主机,也就是将要被欺骗的目标主机;D 代表目的主机,源 主机本来是向它发送数据;A 代表攻击者,进行 ARP 欺骗。 　　进一步假设 A 已知的 D 的 IP 地址,于是他暂时将自己的 IP 地址改为 D 的 IP 地址。当 S 想要向 D 发送数据时,假设目前他的 ARP 缓存中没有关于 D 的记录,那么他首先在局域网 中广播包含的 D 的 IP 地址的 ARP 请求。但此时 A 具有与 D 相同的 IP 地址,于是分别来自 A 与 D 的 ARP 响应报文将相继到达 S。此时,A 是否能够欺骗成功就取决于 S 的操作系统 处理重复 ARP 响应报文的机制。不妨假设该机制总是用后到达的 ARP 响应中的地址刷新 缓存中的内容。那么如果 A 控制自己的 ARP 响应晚于 D 的 ARP 响应到达 S,S 就会将如下 伪造映射:D 的 IP 地址 → A 的 MAC 地址,保存在自己的 ARP 缓存中。在这个记录过期之前 ,凡是 S 发送给 D 的数据实际上都将发送给 A。而 S 却毫不察觉。或者 A 在上述过程中,利 用其它方法直接抑制来自 D 的 ARP 应答将是一个更有效的方法而不用依赖于不同操作系 统的处理机制。进一步,A 可不依赖于上述过程,直接在底层伪造 ARP 响应报文来达到同样 的目的。转贴于中国论文联盟 http://www.lwlm.co BAIDU_CLB_singleFillSlot("10979"); 　　四、ARP 病毒防御方法 　　1.使用可防御 ARP 攻击的三层交换机,绑定端 口 MAC-IP。限制 ARP 流量,及时发现并 自动阻断 ARP 攻击端口。合理划分 VLAN。彻底阻止盗用 IP、MAC 地址,杜绝 ARP 的攻击 。 　　2.查找病毒源,对病毒源头的机器进行处理,杀毒或重新安装系统。解决了 ARP 攻击的 源头 PC 机的问题 ,可以保证内网免受攻