校园网ARP木马的入侵与防范.docVIP

校园网ARP木马的入侵与防范 摘要：校园网络在高校及教育系统中发挥越来越重要的作用，推进了学校教学和管理的现代化、信息化，改善了办学条件，同时也提高了教学质量。而其重要功能实现的条件必须是网络稳定、安全、高效的运行。然而，现实的网络安全问题却日趋严重，校园网内木马泛滥，特别是近来的ARP木马出现。广播信息多，网络安全性极差，使得网络速度变慢，甚至阻塞，无法正常运行，直接影响到学校的教学秩序。 关键词：ARP；木马入侵；Sniffer ARP Trojan intrusion and prevention within campus network ABSTRACT: Campus network plays an increasingly important role in promoting the modernization of school teaching and administration, information technology, improved school conditions, improving the quality of teaching. And its important function of the network to achieve the conditions must be stable, safe and efficient operation. However, the reality of network security problems are increasingly serious, the Trojans spread the campus network, especially the recent ARP Trojans appear. Broadcast messages and more network security is extremely poor and make the network slow down, or even block, can not function properly, a direct impact on school teaching order. Keywords: ARP; Trojan invasion; Sniffer 0．引言 2021 年来局域网曾一度成为网络蠕虫的首要攻击对象，其主要攻击手段就是受高度关注的ARP木马欺骗技术[1]。局域网中的MAC地址欺骗机制早已存在，由于此前一直未引起安全机构的重视，因此ARP欺骗木马病毒一经爆发便立刻导致各种严重后果，使全网中毒，病毒数据侵占网络带宽，网络通信阻塞，甚至崩溃。在病毒爆发的高峰期只能采取大面积断网隔离的妥协处理措施，反复中毒、反复隔离是常用手段。例我校校园网在09年4、5月期间遭到大规模ARP欺骗病毒攻击，出现网络不稳定、网速下降严重等情况，不久病毒便侵蚀几乎整个校园，超过千台计算机受到影响，网络中心不得不成批封闭网络端口，数百个学校、家庭网络被切断隔离，ARP欺骗技术逐渐肆虐整个校园网。 1．校园网存在ARP木马的表象 校园网的瞬间掉线或大面积的断网的情况多数是由于ARP欺骗所导致。ARP欺骗攻击已经成为破坏校园网正常运行的首要原因，是网管人员首先要解决的问题。 ARP欺骗木马的中毒现象表现为：使用局域网时突然掉线，之后恢复正常。比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象(无法ping通网关)，重启计算机或在MS-DOS窗口下运行命令ARP-d后，又可恢复上网。ARP欺骗木马只需成功感染一台计算机，就可能导致整个局域网无法上网，严重的甚至可能使整个网络瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取QQ密码，盗取各种网络游戏密码和账号，盗窃用户网上银行账号等等，这些都是木马的惯用手段，给用户造成了很大的不便或巨大的经济损失。 2．ARP欺骗分析 2.1ARP协议 ARP(Address Resolution Protocol)地址解析协议[2]用于将计算机的网络IP地址转化为物理MAC地址。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。在每台安装有TCP/IP协议的计算机里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如果系统ARP缓存表被修改不停的通知路由器一系列错误的内网IP或者直接伪造一个虚假网关进行欺骗时，网络就会出现大面积的掉线问题。ARP攻击在现今的网络中频频出现，有效的防范ARP形式的网络攻击己成为确保网络畅