admin管理员组文章数量:1531943
2024年5月20日发(作者:)
新 疆 石 油 科 技 2012年第2期(第22卷) ・75・
ARP病毒的原理、防御及清除方法
沈娜①
新疆油田公司采油工艺研究院.834000新疆克拉玛依
龚林强
中国石油克拉玛依石化公司
摘要 从ARP病毒定义、ARP病毒发作时的现象出发,详细介绍了ARP病毒原理以及ARP病毒新的表现形式,最后给出了局
域网ARP病毒的网络免疫措施和解决方案。
关键词ARP病毒木马病毒网络免疫网络安全
1 ARP病毒简介
ARP病毒不是具体某一种病毒的名称,而是对利
用ARP协议的漏洞进行传播的一类病毒的总称。
ARP(Address Resolution Protoco1)的中文名称为地址
解析协议,它的运行方式比较简单,整个过程是由
ARP请求(ARP Request)与ARP应答f ARP Reply)两
2.2欺骗网关攻击
攻击者伪造ARP报文,发送源IP地址为同网段
内某一合法用户的IP地址。源MAC地址为伪造的
MAC的ARP报文给网关,使网关更新自身ARP表中
原合法用户的IP地址与MAC地址的对应关系。这
样,网关发给该用户的所有数据全部重定向一个错误
的MAC地址,导致该用户无法正常访问外网。
种信息包所组成。网络常识告诉我们。数据链路层在
传递信息包时,必须利用数据链路层地址来识别目标
2_3中间人攻击
ARP中间人攻击是恶意攻击者想探听另外两台
计算机之间的通信,它可以分别给这两台计算机发送
伪造的ARP应答报文。使两台计算机更新自身ARP
设备;网络层在传递信息包时,必须利用网络层地址
来识别目标设备。通俗来说.当我们在网络中利用IP
地址传递信息包时,必须要知道目标的MAC地址.这
项工作就由ARP完成。由于ARP的请求信息包为以
映射表中与对方IP地址相应的表项。此后这两台计
算机之间通信实际上是通过黑客所在的主机间接进
行的,黑客充当了中间人的角色,可以对信息进行窃
取和篡改。ARP欺骗只需成功感染一台电脑。就可能
太网广播信息包,即ARP请求无法通过路由器传送
到其他网络。因此,ARP仅能解析同一网络内的MAC
地址,无法解析其他网络的MAC地址。
导致整个局域网都无法上网。严重的甚至可能带来整
个网络的瘫痪。该病毒发作时除了会导致同一局域网
2 ARP病毒的攻击方式
2.1伪冒网关攻击
攻击者伪造ARP报文,发送源IP地址为网关IP
地址、源MAC地址为伪造的MAC地址的ARP报文
给被攻击的主机,使这些主机更新ARP表中网关IP
地址的对应关系。这样,主机访问网关的流量.被重新
定向到一个错误的MAC地址,导致用户无法正常访
内的其他用户上网出现时断时续的现象外.还会窃取
用户密码,给用户造成不便或经济损失。
由于ARP病毒不同于其它病毒.它的攻击是基
于基础网络协议的缺陷,所以ARP病毒攻击的防御
不同于常见病毒,单靠传统杀毒软件和防火墙难以根
除。ARP病毒不仅攻击PC机,还攻击路由器、核心交
换机、一般交换机等各种网络设备,传播和危害范围
很广
问外网。这样,如果某台PC机的ARP表被攻击者修
改,他就无法正常上网。而且。攻击者还可以使用第三
方PC机的MAC作为伪造MAC。这样即使在被攻击
者PC机上查到了伪造MAC地址,也很难定位哪台
PC机是真正的攻击者。
3 ARP病毒攻击原理
ARP欺骗的核心思想就是向目标主机发送伪造
的ARP应答,并使目标主机接收应答中伪造的IP地
①作者简介:工程师,2004—07毕业于西南石油学院计算机科学与技术专业
新 疆 石 油 科 技
址与MAC地址之间的映射对.以此更新目标主机
ARP缓存。
ARP工作时。首先请求主机发送出一个含有所希
望到达的IP地址的以太网广播数据包,然后目标IP
的所有者会以一个含有IP和MAC地址对的数据包
应答请求主机。这样请求主机就能获得要到达的IP
地址对应的MAC地址,同时请求主机会将这个地址
对放入自己的ARP表缓存起来,以节约不必要的
ARP通信。假如主机A要与主机B通信,它首先会
检查自己的ARP缓存中是否有B这个地址对应的
MAC地址.如果没有它就会向局域网的广播地址发
送ARP请求包.大致的意思是B的MAC地址是什么
请告诉A,而广播地址会把这个请求包广播给局域网
内的所有主机。但是只有B这台主机才会响应这个
请求包,它会回应A一个ARP包,大致的意思是B的
MAC地址是B的MAC地址是00—14~22—34—80—53。
这样的话主机A就得到了主机B的MAC地址,并且
它会把这个对应的关系存在自己的ARP缓存表中。
之后主机A与主机B之间的通信就依靠两者缓存表
里的MAC地址来通信了,直到通信停止后2min,这
个对应关系才会从表中被删除。
ARP请求中包含目的主机的IP地址.它向以太
网上的每一个主机询问:“如果你是这个IP地址的拥
有者,请回答你的MAC地址”。具有此IP地址的主机
收到这份广播报文后,会向源主机回送一个包含其
MAC地址的ARP应答。显然,这个过程是建立在主
机之间相互信任的基础上的,这就为网络安全留下了
隐患。ARP运行效率很高,其关键在于每一个主机都
有一个ARP缓存表,这个缓存表存放了最忌的IP地
址与MAC地址之间的映射记录。由于ARP缓存表是
动态更新的,主机在接收到ARP应答或请求后就更
新ARP缓存表,而不管自己是否曾经发送了ARP请
求或已经接收了ARP应答,这就为实施ARP欺骗提
供了可能。
通过以上分析可知,ARP协议具有动态性、无序
性、无记忆性、无安全管理等特性,这就是ARP攻击
的基础
4 ARP病毒的防御方法
在局域网中,通信前必须通过ARP协议来完成
IP地址转换为第二层物理地址(即MAC地址)。ARP
协议对网络安全具有重要的意义。通过伪造IP地址
和MAC地址实现ARP欺骗,对网络的正常传输和安
全都是一个很严峻的考验。
2012年第2期(第22卷)
上面已经说过,欺骗形式有欺骗路由器ARP表
和欺骗电脑ARP两种,我们的防护当然也是两个方
面的,首先在路由器上进行设置。来防止路由器的
ARP表被恶意的ARP数据包更改;其次,我们也会在
电脑上进行一下设置,来防止电脑的ARP表受恶意
更改。两个方面的设置都是必须的,不然,如果您只设
置了路由器的防止ARP欺骗功能而没有设置电脑.
电脑被欺骗后就不会把数据包发送到路由器上,而是
发送到一个错误的地方,当然无法上网和访问路由器
了。
4.1设置前准备
当使用了防止ARP欺骗功能:即IP和MAC绑
定功能后,最好不要再使用动态IP地址分配,因为电
脑可能获取到和IP与MAC绑定条目不同的IP,这时
候可能会无法上网,可以通过以下步骤来避免这一情
况的发生。
(1)把路由器的DHCP功能关闭:打开路由器管
理界面。“DHCP服务器”__>“DHCP服务”.把状态由
默认的“启用”更改为“不启用”,保存并重启路由器:
(2)给电脑手工指定IP地址、网关、DNS服务器
地址。
4.2设置路由器防止ARP欺骗
使用可防御ARP攻击的三层交换机,绑定端口
MAC—IP。限制ARP流量,及时发现并自动阻断ARP
攻击端口。合理划分VLAN。彻底阻止盗用IP、MAC
地址,杜绝ARP的攻击。
4-3设置电脑防止ARP欺骗
路由器已经设置了防止ARP欺骗功能,接下来
来设置电脑的防止ARP欺骗。微软的操作系统中都
带有ARP这一命令行程序,我们可以在windows的
命令行界面来使用它。打开windows的命令行提示符
如下:
、
通过“arp—s+路由器IP如192.168.1.1+路由器的
MAC地址”这条命令来实现对路由器的ARP条目的
静态绑定。至此,我们已经设置了电脑的静态ARP条
目,这样电脑发送到路由器的数据包就不会发送到错
误的地方去了。
5 ARP 7I内母I的查杀
ARP病毒没有明显的特征.对于一般的杀毒软件
来说是很难查杀的。ARP病毒的查杀首先要对局域网
内的ARP中毒机器进行定位.然后再进行清除。ARP
病毒的定位有3种方法:直接定位、工具定位以及嗅
ARP病毒的原理、防御及清除方法 ・77・
探定位,结合起来效果更佳。
于错误的MAC地址,均被发到了中毒主机。此时,中
5.1使用ARP—a命令
在命令提示符下敲入“ARP—a”命令查询一下当
前网关的MAC地址,如果与网关的真实MAC不符,
那它就是攻击者的MAC地址。如果相符,则打开
MAC地址扫描工具,形成当前局域网的IP和MAC
毒主机越俎代庖,起了缺省网关的作用。
6结束语
通过分析和采取以上的防护措施以后,可以有效
地避免ARP病毒在局域网中造成的用户网络中断,
对应表,再与正确的对应表相比较。即可确定攻击者
的MAC地址
运行不稳定等现象,确保局域网正常工作。
参考文献
l李扬继,方勇等.针对ARP协议的攻击与防范fJ1.信息安全与
通信保密,2004(8):4J0—42
5.2使用Sniffer软件抓包
如果是ARP报文泛洪攻击.使用Sniffer软件嗅
探全网,哪个MAC地址的ARP包泛滥即为攻击者。
5.3使用Tracert命令
在任意_一一台收影响的主机上.跟踪一个外网地
址,如在DOS命令窗口下运行如下命令:Tracert
157.55.85.212。假定设置的默认网关为10.71.216.1,
2于静苗.ARP病毒简介及查杀方法.网络安全技术与应用.
2008—02
3梁亚声.计算机网络安全教程(第2版)[M】.北京:机械工业出
版社.2008
4李俊民,郭丽艳.网络安全与黑客攻防宝典[M】.北京:电子工
业出版社.2o1O
第一跳却是1O.71.216.133,那么,IP地址为
1O.71.216.133的计算机就是病毒源。
中毒主机在受影响的主机和网关之间 扮演了
“中间人”的角色。所有本应该到达网关的数据包。由
责任编辑:周江
收稿日期:2012一O2—23
(上接第74页)
后由控制中心根据任务列表启动“任务管理”为相应
的后继活动新建任务:
完毕,并成功地集成于《采油工艺方案与施工设计管
理系统》,效果良好。通过审批流建模,实现了审批过
(7)异常处理。系统在运行过程中难免会发生异
常情况,如果这些异常得不到处理,系统的可靠性就
得不到保障,该模块主要是在系统产生异常时自动转
入到异常处理过程。由用户或计算机自动处理这些
问题,及时地修正或终止流程。引擎的开发是基于多
线程技术的,其中开启一条线程进行寻找已完成任
务,通过对相应流程的解析自动生成新的审批任务添
加到相应的任务项中:另外再开一条线程扫描审批超
程规范化、合理化;提高技术文档资料安全性;最终
实现了审批过程的可控化与自动化。
参考文献
1肖颖,陈德人,陈敏.基于Web Service的可视化工作流系统的
研究【A】.国家高技术计划自动化领域CIMS主题专家组.网
络化制造与大规模定制学术会议论文集【C】.2003:165—168
责任编辑:李未蓝
收稿日期:2012—03—09
时的任务,对其进行相关处理。采用多线程技术保证
了扫描进行的实时性,提高了审批流的自动化程度及
工作效率。
5 结束语
面向文档审批的可视化工作流原型系统已开发
版权声明:本文标题:ARP病毒的原理、防御及清除方法 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1716168129a489626.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论