关于ARP病毒
ARP,是Address Resolve Protocol 的缩写。本文在介绍ARP基本原理的基础上,分析ARP病毒的运行机理,提出防治ARP病毒的思路。
1.ARP基础
我们知道,无论是局域网还是Internet,计算机节点之间的通信是通过IP地址来进行的。然而IP地址是逻辑上的地址,并不能直接由物理电路实现。因此,网卡之间实际进行选址时用的不是IP而是与IP对应的MAC。
当网卡接受数据的时候,会根据网卡接口电平的变化来与自身的MAC地址进行比较,如果不匹配则不进行任何操作(假设工作在正常状态下,如果网卡工作在混杂模式下,则接受发往任何MAC的数据);如果匹配,则接受此祯数据。
当网卡发送数据时,一个物理祯的祯头必须包含目标网卡的MAC地址,因为其他网卡要据此判断是否接受数据。然而发送计算机只知道目标计算机
网卡的IP地址,那么如何据此来获得目标计算机网卡的MAC地址呢。这就是著名的ARP协议。
在网卡发送数据前,计算机会根据目标计算机的IP来决定目标计算机的MAC。而这依据的就是ARP表。ARP表存在于计算机缓存中,因此可以快速查询,表结构如下:
表1 ARP表结构
|
IP地址
|
MAC地址
|
|
192.168.1.1
|
00-e0-fc-4b-9b-e7
|
|
192.168.1.2
|
00-30-48-35-8b-a8
|
|
…
|
…
|
那么,这个ARP表示如何建立的,何时建立的呢?下面以如下网络结构为例介绍。
假设A要向B发送数据,在发送前,A查找其ARP表中,是否有B的IP(192.168.1.2)的对应表项。如果没有,则A向该网络广播“我的IP是192.168.1.1,我的MAC是MAC_A,请问谁是192.168.7.2”。由于是广播,所以所有该网内的计算机都能收到这个祯,此时,C、D、E、F收到后,发现在自己的IP不是192.168.7.2,所以不做回答。而B发现自己的IP正是A想要得,所以根据A发送的信息中的A的MAC给A发送回答,回答内容是“我的IP是192.168.1.2,我的MAC是MAC_B”。A收到B的回答后,根据B的回答内容建立ARP表项(192.168.1.2--------MAC_B)。
之后A就可以据此表项向B发送数据了。那么此表项存活时间是多少呢?因为网络中的计算机可能随时更换,假设计算机B被另一台计算机B’替换了,但是仍然使用192.168.1.2这个IP,那么此时A再向192.168.1.2这个发送数据时,仍旧使用原来的表项(192.168.1.2—MAC_B),那么发送时向MAC_B发送。而此时,MAC_B已经不在网络了,所以会发生传送错误。
所以,A要定期刷新ARP表,也就是定时重新发送“我的IP是192.168.1.1,我的MAC是MAC_A,请问谁是192.168.7.2”,此时,B’会回答“我的IP是192.168.1.2,我的MAC是MAC_B”,于是A据此更新表项192.168.1.2---MAC_B为192.168.1.2---MAC_B’。之后,A向192.168.1.2发送数据时,将会发送到MAC_B’也就是B’计算机。
2.ARP病毒原理
上面分析了ARP的基本原理,可见ARP在网络中占据着极其重要的地位。然而这其中存在着一个危险的假设:所有的计算机都严格遵守ARP协议,不私自发送ARP报。不幸的是,这个假设往往被黑客利用。考虑如下情况:
计算机F被黑客植入了木马程序,该程序不断地向网内所有计算机发送“我的IP是192.168.1.2,我的MAC是MAC_F”,这样网内计算机就会在ARP表中加入192.168.1.2---MAC_F,这样本来想发往192.168.1.2(计算机B)的数据,却被发送到了计算机F。考虑更为严重的情况,计算机B为网关,网内所有计算机发往因特网的数据都要先发送到B,然后由于F的扰乱,这些数据被发送到了F。F上的黑客程序又可以把这些数据发往Internet远端的黑客,此时的黑客相当于控制了F所在的整个网络内的计算机。这种病毒叫做网关欺骗。
3.防治ARP病毒思路
3.1 查找ARP病源所在计算机
分析收到的ARP包,如果本机没有发送ARP请求包,而不断地收到ARP回答包,则分析此包的源MAC,从而确定病源计算机。
3.2 抵挡策略
发现之后,如果再收到病源MAC发来的ARP包,则丢弃。从而就避免了病源的干扰。如流行的360ARP防火墙就是实现类似的功能。
如果知道实际网关的MAC,则可以建立永久ARP表项,不再更新网关的ARP表项,从而避免了网关欺骗。
分享到:
相关推荐
毕业设计——ARP病毒分析及防护措施.doc
关于ARP病毒的分析
针对ARP病毒的特性详细分析和处理方法
ARP病毒攻击技术分析与防御 ARP病毒攻击技术分析与防御 ARP病毒攻击技术分析与防御
ARP病毒攻击分析及其防范措施
ARP病毒原理分析与防范措施.pdf
当局域网内某台主机感染ARP病毒后,就会运行ARP欺骗的木马程序。造成网络时断时续,影响用户...文章从ARP病毒攻击现象分析,根据ARP病毒攻击原理,查找出局域网内感染ARP病毒的主机,最后提出ARP病毒有效的解决方案。
浅谈ARP病毒在局域网中的分析处理及防御.ppt
此类情况就是网络受到了ARP病毒攻击的明显表现,其目的在于,该病毒破解游戏加密解密算法,通过截取局域网中 的数据包,然后分析游戏通讯协议的方法截获用户的信息。运行这个病毒,就可以获得整个局域网中游戏玩家的...
9.1.3 ARP病毒分析 177 9.1.4 防御措施 177 9.2 木马入侵 178 9.2.1 木马病毒的原理 179 9.2.2 木马入侵的步骤 179 9.2.3 木马病毒的特征 179 9.2.4 防护策略 180 第十章 常用名词解释 183 第十一章 网吧常见故障...
1.ARP病毒专杀,发现本机有对外攻击行为时,自动定位本机所感染的恶意程序。 2.拦截外部ARP攻击,在系统内核层拦截接收到的虚假ARP数据包,保障本机ARP缓存表的正确性。 3.拦截对外ARP攻击,在系统内核层拦截本机...
网吧技术培训手册 ...9.1.3 ARP病毒分析 176 9.1.4 防御措施 176 9.2 木马入侵 177 9.2.1 木马病毒的原理 178 9.2.2 木马入侵的步骤 178 9.2.3 木马病毒的特征 178 9.2.4 防护策略 179 第十章 常用名词解释 182
9.1.3 ARP病毒分析 177 9.1.4 防御措施 177 9.2 木马入侵 178 9.2.1 木马病毒的原理 179 9.2.2 木马入侵的步骤 179 9.2.3 木马病毒的特征 179 9.2.4 防护策略 180 第十章 常用名词解释 183 第十一章 网吧常见故障...
9.1.3 ARP病毒分析 177 9.1.4 防御措施 177 9.2 木马入侵 178 9.2.1 木马病毒的原理 179 9.2.2 木马入侵的步骤 179 9.2.3 木马病毒的特征 179 9.2.4 防护策略 180 第十章 常用名词解释 183 第十一章 网吧常见故障...
在系统内核层拦截本机对外的ARP攻击数据包,避免本机感染ARP病毒后成为攻击源。 3.拦截IP冲突。在系统内核层拦截接收到的IP冲突数据包,避免本机因IP冲突造成掉线等。 4.主动防御。主动向网关通告本机正确的MAC...
软件介绍 ARP防火墙通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址,可以保障数据流向正确,不经过第三者,... 查杀ARP病毒。发现本机有对外攻击行为时,自动定位本机感染的恶意程序、病毒程序;
1.ARP病毒专杀,发现本机有对外攻击行为时,自动定位本机所感染的恶意程序。 2.拦截外部ARP攻击,在系统内核层拦截接收到的虚假ARP数据包,保障本机ARP缓存表的正确性。 3.拦截对外ARP攻击,在系统内核层拦截本机...
基于ARP协议的欺骗及其预防,傅军,孙谦,本文针对目前校园网用户ARP病毒的频繁发作,分析了ARP病毒攻击原理,讨论了ARP欺骗行为的判定,提出了对ARP欺骗的解决方案。
你的网络是否经常掉线,是否经常发生IP冲突? <br/> 你是否担心通讯数据受到监控(如MSN、QQ、EMAIL)? <br/> 你的网络... 查杀ARP病毒.发现本机有对外攻击行为时,自动定位本机感染的恶意程序、病毒程序;
程序使用VC++开发,实现了基于网络抓包记录在...3号程序可应用在我行业务流量监控、病毒木马后门流量监控、ARP病毒监控、网络异常监控等实际应用场景。程序涉及的关键技术点有:内存表扫描、BarChart图标表控件使用等。