ARP病毒的攻击与防御
第32卷第4期
集宁师专学报Vol.32,No.42010年12月Journal of JiningTeachers College Dec.2010
收稿日期:5作者简介:祁宏伟(—),男,汉族,内蒙古集宁人,工程硕士,助教。
ARP 病毒的攻击与防御
祁宏伟1,张雪梅2
(1.集宁师范学院计算机系,内蒙古乌兰察布012000;2.集宁师范学院英语系,内蒙古乌兰察布)
摘要:我们在学校上网曾多次遇到过机子突然掉线,过一段时间后又会恢复正常。或者很多
老师的机器根本上不去网,一直提示I P 地址冲突,网络中心的老师发现交换机上的黄灯也是常
亮不灭。这情况明显是有大量的数据包冲击网络。出现了上述状况,原因有很多,如黑客攻击,蠕虫病毒攻击,但一般来说很可能受到了A RP 病毒的攻击。为了让更多的老师同学们认识清楚
A R P 病毒,本文将讨论A R P 病毒的攻击原理与A R P 病毒的防御与清除。
关键字:ARP 病毒;攻击;防御
中图分类号:G 2文献标识码:B 文章编号:1009-7171(2010)04-0065-04
一.A R P 病毒攻击原理
A R P 病毒可以说是自2006年底自今影响最恶劣的计算机病毒之一。感染它之后的主要症状表现为网络中的用户无法正常上网。我们先了解一下下面几个概念。
1.A R P
A R P (A ddr ess R es ol ut i on pr ot ocol ,地址解析协议),A R P 协议主要
负责将局域网中的32位I P 地址转换为对应的48位物理地址,即网卡的M A C 地址,比如I P 地址为192.168.2.1计算机上网卡的M A C 地址为00-03-0F-FE -1D -2D 。整个转换过程是一台主机先向目标主机发送包含I P 地址信息的广播数据包,即A R P 请求,然后目标主机向该主机发送一个含有I P 地址和M A C 地址数据包,通过协商这两个主机就可以实现数据传输了。
2.A R P 缓存表
每个主机都用一个A R P 高速缓存存放最近I P 地址到M A C 硬件地址之间的映射记录。M S W i ndow s 高速缓存中的每一条记录(条目)的生存时间一般为60秒,起始时间从被创建时开始算起。A RP 缓存表里的I P 地址和M A C 地址是一一对应的,如下表所示:主
机I P 地址M A C 地址A
192.168.0.1aa-aa-a a-aa -aa-00B
192.168.0.2bb-bb-bb-bb-bb-11C
192.168.0.3cc-cc-c c-cc -cc-22D 192.168.0.4dd-dd-dd-dd-dd-33
2010-0-20
1982
66集宁师专学报第32卷在安装了以太网网络适配器(即网卡)的计算机中有一个或多个A RP缓存表,用于保存I P地址以及经过解析的M A C地址。在W i ndow s中要查看或者修改A R P缓存中的信息,可以使用A R P命令来完成,比如在W i ndow s X P的命令提示符窗口中键入“A RP-a”或“A RP -g”可以查看A R P缓存中的内容;键入“A R P-d I P A ddr ess”表示删除指定的I P地址项(I P A ddr ess表示I P地址)。A R P命令的其他用法可以键入“A RP/?”查看帮助信息。
3.A RP欺骗攻击
在默认情况下,A R P从缓存中读取I P-M A C条目,缓存中的I P-M A C条目是根据A R P响应包动态变化的。因此,只要网络上有A R P响应包发送到本机,即会更新A RP高速缓存中的I P-M A C条目,攻击者只要持续不断地发出伪造的A R P响应包,就能更改目标主机A R P高速缓存中的I P-M A C条目,从而造成网络中断或中间人攻击。
简单的说将I P地址转换为M A C地址是A R P的工作,在网络中发送虚假的A R P R e sponse,就是A R P欺骗。
在现实中,我们都知道邮政机构的主要职责就是靠邮差来接收和送发包裹,我们只要填写两个正确信息:和收件人地址,就可以把邮件送达目的地。这中间起到很大的作用,它的主要作用是把相应的地址信息用数字的形式统一编码,比如:012000,就代表了乌兰察布市。
如果我们清楚的知道邮政系统是怎样把包裹送达目的地,就很容易理解A RP协议的处理过程。A R P同样处理需要两个信息来完成数据传输,一个是I P地址,一个是M A C地址。所以当A R P传输数据包到目的主机时,就好像邮局送包裹到目的地,I P地址就是,M A C地址就是收件人地址。A RP的任务就是把已知的I P地址转换成M A C地址,这中间有复杂的协商过程,这就好像邮局内部处理不同目的地的邮件一样。我们都清楚邮局也有可能送错邮件,原因很简单,就是搞错了收件人地址,或是搞错了,而这些都是人为的;同理,A RP解析协议也会产生这样的问题,只不过是通过计算机搞错,
比如,在获得M A C地址时,有其他主机故意顶替目的主机的M A C地址,就造成了数据包不能准确到达。这就是所谓的A R P欺骗。
A R P欺骗会导致什么问题呢?假设,王某在乌兰察布市,邮编是012000。朋友赵某要给王某发一封信,当赵某发现通讯录里没有王某的,他就把信件发到了乌兰察布邮局,于是邮局发了个广播给用户,问谁的地址邮编是012000,结果王某发现自己的邮编是012000,王某就会举手,说我是。这样,信件就发到王某那儿了。同时王某的地址信息也被赵某记在自己的通信录里面了。问题来了,如果在广播的时候,有人假冒王某,发出应答……。那信件就发不到王某那儿,并且,赵某的通信表里面记录了错误的邮编和地址对应的信息。
王某收不到信件,就会给赵某发信息询问,赵某又重新发,但是他通信录里面的地址是错误的,所以,每次发信王某都收不到。如果这样反复询问,那必然的结果就是错误信
祁宏伟,张雪梅:A RP病毒的攻击与防御67第4期
件越发越多,错误邮件也越收越多,超过了正常的接收量,由于超负荷运转,而最终导致邮局彻底瘫痪。而王某始终没有收到过赵某的邮件。
这就好比是A R P欺骗造成的后果,错误信件就是错误数据包,当它越来越多时,就会导致网络瘫痪,从而导致主机不能上网,影响企业的正常业务运转。
二.A R P病毒的清除与防御
在知道了A R P病毒攻击的基本原理后,还要知道它的一些明显症状,只有这样才能更有针对性地清除和防御A R P病毒。
1.A R P病毒主要症状
从影响网络连接畅通的方式来看,A RP欺骗分为两种:一种是对路由器A R P表的欺骗;另一种是对内网PC的网关欺骗。第一种A RP欺骗的原理是截获网关数据。它通知路由器一系列错误的内网M A C地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的M A C地址,造成正常PC无法收到信息,用户无法通过路由器上网。第二种A R P欺骗的原理是伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发送数据,而不是通过正常的路由器途径上网。在终端用户看来,就是上不了网,网络掉线了。而且在重启计算机或在M S-D O S窗口下运行命令A R P–d命令,又可以恢复上网了。凡是这种症状的基本上就是感染了A R P病毒。
判断是否是中了A R P病毒,最简单的方法是利用“A RP–a”命令来查看,如果发现有两个不同主机的M A C地址一样,或者直接pi ng网关I P地址,然后用“A R P–a”
查看,如果显示的网关I P地址与原有网关I P地址不一样,则证明是中了A R P病毒。
另外,还可以在“进程”选项卡中查看是否含有一个名为“M I R0.da t”的进程。
如果有,则说明已经中毒。在其上单击鼠标右键,在弹出菜单中选择【结束进程】命令来中止A R P病毒进程。
2.预防A R P病毒
预防A RP病毒的解决方案主要有如下几种:
1)采用客户机,网关服务器静态I P地址和M A C地址绑定,以自启动器批处理文件方式存于“启动”文件夹中。这里的绑定文件采用记事本或W or d等文本编辑工具即可,步骤如下:
a.在所有的客户端机器上做网关服务器的I P地址与M A C地址静态绑定。
首先在网关服务器(代理主机)的主机上查看本机M A C地址,然后运用“A RP–s I P 地址M A C地址”命令在客户机上对网关服务器进行绑定。绑定类型为“st at i c”,可以不输入。
b.在网关服务器(代理主机)的主机上做客户机器的I P地址与M A C地址静态绑定。
首先在所有的客户端机器上查看I P地址和M A C地址,查看命令如上,
然后在代理主机上做所有客户端服务器的A R P静态绑定,绑定方法也同上。
c.i ndow s
以上静态绑定后做成一个W自启动批处理文件,放在各主机的“启动”文件夹中,让计算机一启动就执行以上操作,以保证配置不丢失。
68集宁师专学报第32卷3.清除A R P病毒
下面我们讨论使用工具查并清除病毒源,我们经常用的查A R P病毒源主机的工具软件是N B TSC A N和A nt i A R P Sni f f er。
N B T SCA N是一个扫描W i ndow s网络N E T BI O S信息的小工具。但只能用于局域网,可以显示I P地址,主机名,用户名和M A C地址等等。
首先从网上下载nbt s can.r ar到硬盘后解压,然后将c ygw i n1.dl l和nbt 两个文件复制到任何目录下,进入M S-D O S窗口中,并定位到存放以上两个文件的目录下,就可以输入命令:N B T SCA N–r I P地址段(如192.168.0.0/24)。也可以仅对特定I P地址段进行查看,此时可以有两种方式:一种是采用“-”符号连接要扫描的起始和终止I P地址,如192.168.0.0-192.168.0.200,则仅对这两个起始和终止地址之间的I P地址段进行扫描;另一种是用“-”符号连接起始和终止I P地址的最后主机位,如前面192.
168.0.0-192.168.0.200,也可以直接输入192.168.0.0-200。两种运行方式的效果是一样的。
在N B T SCA N软件包中还有一个命令,那就是命令,它是一种窗口式的M A C 地址扫描器,它可以自定义扫描范围。
受到arp攻击通过扫描工具扫描后,如果发现有两个不同I P地址主机所对应的M A C地址一样,则证明肯定其中有一个是盗用了另一个主机(通常是网关服务器)的M A C地址,只要对照一下原网关服务器M A C地址即可发现A R P病毒源主机所对应的I P地址,就可以确定A R P病毒源了,然后再对其进行断网,并用专门的工具软件进行病毒清理。
参考文献:
[1]张世永.《网络安全原理与应用》.北京:科学出版社,2003。
[2]L arr y L.pet er son,B r uce S.D avi e.《Com put er N et w orks:A Sys t em A ppr oach》T hi r d Edi t i on.
机械工业出版社,2005.1。
[3]李利军.《2008网管员必读》.电子影像出版社,2008,2。
The Attacks and Defense of the ARP Virus
Qi Hongwei1Zhang xuemei2
(  1.Computer department of Jining Teachers College,Inner Mongolia Wulanchabu012000;2.English department of Jining Teachers College,Inner Mongolia Wulanchabu012000)
Abstract:When surfing the Internet at school,we always encounter the sudden losing of connection.
After a period,the computer returned to normal.There is another phenomenon that many teachers
can’t surf online.The tip“IP address conflicts”is always on their screens.Teachers at the Network
Center found the yellow lights of the switch are on all the time,which clearly indicated there were a
lot of data packets attacking the Internet.There are many reasons for the above-mentioned
circumstances,such as hacker attacks,blaster worm attacks,but in general,it is very likely that your
computer is attacked by the ARP virus.In order to make more teachers and students recognize the
ARP virus clearly,I will discuss the attacking principle of the ARP virus and the defense and
elimination of it in the thesis.
e wor ds:A P virus Attack e ense
K y R;;D f

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。