局域网内ARP病毒的防范
摘 要:本文主要研究arp病毒的原理、病毒源的查和定位及其病毒的防御方法。
关键词:arp协议; 病毒; 防御
中图分类号:tp393.1 文献标识码:a 文章编号:1006-3315(2011)7-170-002
在计算机网络系统所受到的网络病毒危害中,局域网arp病毒是经常出现的一种,好多单位深受其害。因此,作为网络管理员,必须掌握一定的知识和采取一定的保护措施以防范arp病毒的入侵。笔者旨在通过本文,向网络管理员介绍arp病毒的攻击原理、病毒源的查和定位以及病毒的防御方法,供网管人员参考。
一、arp协议简介
现在局域网组网的一般形式是:以太网+ip通信协议,即物理网络使用以太网交换机,主机使用ip通信协议。
在以太网中,如果主机a需要向主机b发送数据,在发送前必须先解决一个问题——怎么才能
到主机b?可能有人会说通过主机b的ip地址啊。但实际上,在以太网环境中数据的传输所依懒的是以太网地址即mac地址,而非ip地址。在以太网中,一个主机和另一个主机进行直接通信,必须要知道目标主机的mac地址。因此,必须把主机b的ip地址转换成主机b的mac地址,而将已知ip地址转换为mac地址的工作是由arp协议来完成的。
arp协议是“address resolution protocol”(地址解析协议)的缩写。所谓“地址解析”就是主机在发送帧前将目标ip地址转换成目标mac地址的过程。arp协议的基本功能就是通过目标设备的ip地址查询目标设备的mac地址,以保证通信的顺利进行。
1.arp协议的工作原理
在每台安装有tcp/ip协议的电脑里都有一个arp缓存表,表里的ip地址与mac地址是一一对应的,如下所示。
我们以主机a(172.20.164.18)向主机b(172.20.164.1)发送数据为例。当发送数据时,主机a会在自己的arp缓存表中寻是否有主机b的ip受到arp攻击地址。如果到了,也就知道了主机b的mac地址,直接把主机b的mac地址写入帧里面发送就可以了。
如果在arp缓存表中没有到主机b的ip地址,主机a就会在网络上发送一个“arp请求”广播数据包,数据包里包括主机a的ip地址、mac地址、以及主机b的主机的ip地址,目的mac地址是“ff.ff.ff.ff.ff.ff”,这表示向同一网段内的所有主机发出这样的询问:“172.20.164.1的mac地址是什么?”
网络中所有的主机收到这个arp请求后,会检查数据包中的目的ip是否和自己的ip地址一致。如果不相同就忽略此数据包;如果相同,该主机即主机b首先将主机a的mac地址和ip地址添加到自己的arp列表中,如果arp 表中已经存在该ip的信息,则将其覆盖。然后给主机a发送一个arp响应数据包,告诉对方“172.20.164.1的mac地址是00-0f-1f-6b-bc-d7”。主机a收到这个arp响应数据包后,将得到的主机b的ip地址和mac地址添加到自己的arp列表中,并利用此信息开始数据的传输。
二、arp病毒攻击原理
arp病毒一般分为两种类型:arp欺骗和arp扫描。
1.arp欺骗
arp协议的设计基础就是信任局域网内所有的人,为了减少网络上过多的arp数据通信,一个主机,即使收到的arp应答并非自己请求得到的,它也会将其插入到自己的arp缓存表中,这样,就造成了arp病毒即“arp欺骗”发生的可能。
如果主机c想探听同一网络中两台主机a和b之间的通信,他会分别给这两台主机发送一个arp应答包,让两台主机都“误”认为主机c的mac地址是对方的mac地址,这样,a和b双方看似“直接”的通信连接,实际上都是通过主机c间接进行的。主机a一方面得到了想要a和b的通信内容,另一方面,只需要更改a和b数据包中的一些信息,成功地做好转发工作即可。这种arp 欺骗属于主机mac地址欺骗。
还有一种arp欺骗属于网关mac地址欺骗:主机c向局域网内所有主机发送一个arp应答包,让其他所有主机都“误”认为主机c的mac地址是网关的mac地址,这样,局域网内其他所有主机发向外部网络的数据包,实际上都是发给了主机c。
2.arp扫描
arp扫描就是病毒主机在局域网中发出巨量的arp请求广播包,几乎都是对网段内的所有主机
进行扫描。巨量的arp请求广播会占用大部分网络带宽资源,造成网络堵塞,网络中的主机无法进行数据收发,进而形成网络瘫痪。
如果运行正常的局域网中突然会出现:主机突然不能上网,过段时间又能上网,并会反复掉线;主机上网网速变慢,经常出现掉线;在ip地址设置正常的情况下,经常有主机显示“ip地址冲突”:全网同样配置下,唯独某台主机无法上网,重启主机或者禁用网卡,再启用就恢复正常,但一会又掉;正在使用某一类应用程序的主机依次掉线,或时通时断;网络堵塞,网络中的所有主机都无法上网等现象,就有可能是arp病毒所致。
三、arp病毒源的查和定位
1.使用arp命令查和定位
当局域网中发生arp欺骗的时候,arp病毒主机会向全网不停地发送arp欺骗广播,这时局域网中的其它主机就会动态更新自身的arp缓存表,将网关的mac地址记录成arp病毒主机的mac地址。这时候我们只要在其它受影响的主机中查询一下当前网关的mac地址,就知道中毒主机的mac地址了。
在cmd命令提示行下输入“arp -a”命令,输入后的返回信息如下:
internet addressphysical addresstype
172.20.164.25400-1e-c9-44-fe-9a dynamic
这时,由于这个主机的arp表是错误的记录,因此,该mac地址不是真正网关的mac地址,而是中毒主机的mac地址!这时可以使用nbtscan工具扫描全网段主机,得到全网的ip—mac地址对照表,查中毒主机的ip地址就可以了。
2.使用tracert命令查和定位
在受影响的主机中运行路由跟踪命令如:
tracert d www.qq
马上就发现第一条不是网关的ip地址,而是本网段内的另外一台主机的ip地址,再下一条才是网关的ip地址。而正常情况下,路由跟踪命令执行后的输出第一条应该是默认网关地址,由此判定第一条的那个非网关ip地址的主机就是罪魁祸首。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论