ARP病毒的分析与防治

来源 :知识与创新 | 被引量 : 0次 | 上传用户:suuuper4w
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  摘要:文章主要阐述了ARP协议的原理及工作过程,详细的分析了ARP木马如何利用协议自身造成欺骗,提出了针对性的防范措施和处理该病毒的方法。
  关键词:ARP病毒 MAC地址 网络安全
  
  该木马病毒是利用ARP协议自身的缺陷,通过虚拟局域网网关地址,骗取主机的MAC地址,截获网络其他计算机的通信信息,使数据包不能正确转发,造成通信故障,中毒症状表现为用户频繁断网,重新连接网络后又恢复正常。这对网络的安全是个很大的威胁。
  
  ARP协议工作原理
  
  (一)ARP协议
  ARP地址解析协议,用于将计算机的网络地址(IP地址32位)转化为物理地址(MAC地址48位)。由于在网络通信中,二层的以太网交换设备不能识别32位的IP地址,这就需要先通过DNS协议先获取对方主机的IP地址,再使用ARP协议得到对方主机的MAC地址,才能进行网络通信。
  (二)ARP的工作过程
  源主机通过ping目的主机的IP,向目的主机发送数据包,如果在ARP缓存表中可以查到目的主机的IP-MAC对应记录,则可以直接转为MAC后发送;如果查不到目的主机信息,则通过ARP广播请求每一台主机,只有具有此IP地址的目的主机收到广播后,会发送一个包含自己MAC信息的数据包,由源主机的数据链路层把收到的IP-MAC对应,动态地更新到ARP缓存。
  
  ARP木马的攻击分析
  
  (一)ARP欺骗使网络中断
  ARP木马通过伪造假的IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发送伪造的ARP响应包,就能修改目的主机的ARP缓存中IP-MAC的条目,就会造成网络中断或中间人攻击。
  (二)ARP伪造IP造成IP冲突
  网络中每台主机都有唯一的IP标识,如果出现相同IP地址的主机时,就会产生IP地址冲突。而利用ARP欺骗就可以伪造这个reply,使目的主机一直被地址冲突困扰。一台主机A在连接网络时向ARP发送自己的数据包并广播自己的IP地址,如果网络中存在相同IP的主机B会通过ARP来reply该地址,频繁发送ARP欺骗数据包,这样两台主机都会收到IP冲突的警告。
  (三)ARP木马作为“中间人”盗取信息
  一种欺骗是向目的主机发送假的ARP数据包,包含网关的IP和伪造的MAC地址,这样目的主机根据收到的ARP包更新自己的ARP缓存表,这样目的主机根据这个错误地址发的数据包都会被这个假的网关所截取,造成信息丢失。另一种欺骗是向网关发送伪造的ARP数据包,发送方用目的主机的IP和伪造的MAC地址,这样网关上的ARP记录就是错误的,所以网关根据这个地址发送给目的主机的数据包就会被ARP病毒截取,造成目的主机能够发送数据到网关,但是收不到网关的数据。如果ARP木马同时欺诈双方,就可以作为中间人获取双方信息,这就造成了对网络安全极大的威胁。
  
  ARP木马的检测
  
  (一)使用ARP-a命令发现ARP攻击
  每台装有TCP/IP协议的计算机中都会存在一个ARP缓存表,使用arp-a命令就可以查看本主机的ARP缓存内容,所以每执行一个PNG命令,ARP缓存就会增加一个目的IP地址的记录;如果数据包是发送到不同网段,缓存表会存在一条网关的IP-MAC地址的一一对应的记录,如表1所示:
  


  由表1可见,目的主机的IP所对应的MAC地址与真正的MAC地址不符,说明本机已遭受ARP攻击。
  (二)内网测试ARP木马
  由于ARP主要攻击对象是网关,所以我们同样可以查看网关的ARP缓存,如果有多个IP都指向同一个MAC地址,就说明存在ARP欺骗攻击,并且这个MAC地址所对应的主机就是ARP攻击源。样数据包没有丢失可以暂时认为没有遭到ARP攻击,然后可用其他方法继续检测。如果输入ping IP命令后显示如表2,在丢了几个包后又连上,那么很可能是中了ARP病毒,这时候再通过ARP-a命令对照查找ARP表,确定是否中了ARP木马。
  


  (三)检测本机的ARP木马
  同时按住“Ctrl+Alt+Del”键,打开任务管理器,看进程中是否有MIR0.dat进程,如果有,就说明本机中了ARP病毒,可以立刻结束该进程。
  (四)监听数据报文
  当局域网中存在ARP攻击时,一般不会单独的攻击某一台机器,而是针对整个局域网,ARP攻击源一般会向本网段内所有主机发送ARP请求报文,因此可利用抓包工具。使用这种工具,可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。
  
  防治ARP木马的安全措施
  
  (一)划分VLAN
  在交换机上划分VLAN,这样在一定程度上可以减少ARP的查找范围和攻击的范围。来自vlan1的数据包只允许进入port1,并可转发到交换机switch的网关主机上,而不会将数据包传到其他vlan中。
  (二)MAC地址绑定
  把交换机端口和MAC地址绑定,限制含有非法MAC地址的数据包通过,这样就很好的阻止了ARP欺骗。802.1X的出现降低了实现的难度。有条件的话最好把每台机器都执行“arp-s网关IP地址网关MAC地址”,手动绑定网关地址。校园网可以建立网关和网内所有机器的MAC地址对应表,生成ARP命令批处理文件,置于公共服务器,这样每个中端在启用时调用,达到MAC地址绑定。
  (三)静态ARP
  由于ARP本身是动态的,所以在不断更新ARP缓存时容易遭到ARP木马的欺骗,如果把这种动态关系变成静态的,那么这种攻击将没有机会。静态ARP即通过静态的方法实现“IP-MAC”地址的映射。即在主机上建立静态ARP表,这种方法开销较大。
  (四)计算机及时更新杀毒软件
  由于很多ARP攻击不是人为造成的,而是一些感染了ARP木马病毒的计算机充当了ARP攻击源的角色,因此经常更新自己系统的补丁,升级杀毒软件的病毒库是保障计算机安全中十分必要的。
  (五)使用专门的ARP防火墙预防ARP木马
  由于ARP木马的特殊性,无法找到一个彻底根治的办法,只有加强防范措施。而一般的杀毒软件对普通病毒有效,但对ARP木马的防护效果就不那么明显。目前使用最广泛地专门的ARP防火墙,如AntiARP。开机后启动该程序,可以有效拦截ARP攻击。
  
  对已感染ARP木马的计算机的处理
  
  (一)杀毒
  目前各大杀毒软件只能避免电脑主机成为攻击方,并不能抵御ARP防御。或者使用ARP专门的杀毒工具,网上有下载,运行后可以查出电脑是否感染ARP木马。
  (二)使用专门的ARP软件查杀ARP攻击
  首先查明本机的网关地址,在DOS下运行“ipconfig”,最后一列所对应的就是自己的网关地址。在运行AntiARP后检查网关地址和MAC地址是否对应,确认后选定“自动保护”。
  (三)手动绑定默认网关和MAC地址
  首先用“arp-a”查出默认网关和对应MAC地址,再用arp-d清除缓存,然后把默认网关和对应MAC进行绑定,通过命令arp -s IP地址对应MAC地址。这种处理在重启后就不起作用了,如果想要在开机就直接绑定需要用到bat文件。
  写法:@echo off
   Arp-d
   Arp-s 网关IP地址网关MAC地址
  保存为“arap.bat”
  再将bat文件加入启动项,将这个批处理软件拖到“Windows-开始-程序-启动”中。
  也可以加入注册表中:我的电脑-HKEY_LOCAL_MACH NE\SoftWare\Microsoft\Windows\CurrentVersion\Run,系统启动后就会自动执行arp命令绑定网关。
  本文虽然分析出了ARP协议具有这种自身的缺陷使得病毒有生存的前提,但是我们必须肯定这种技术,ARP能够快速的将IP地址转换为MAC地址,所以仍然被广泛的用以太网。我们只能更加深入的对其研究,发挥其优点,弥补其缺点,找出切实可行的办法对付这种木马。其实最关键的大家应该提高防毒意识,加强对计算机病毒的检测,这样才能更好的控制病毒。
  (作者单位:中南财经政法大学信息管理与信息系统专业)
  
  参考文献
  [1]刘远生.计算机网络安全[M].清华大学出版社,2006.
  [2]李新明.ARP攻击原理及解决方法[J].益阳职业技术学院学报,2006(4).
其他文献
摘要:马克思人的本质观科学阐释了人是什么的问题,指出人的本质即是社会性的实践,劳动是人的类本质,社会关系是人的一般本质,深刻理解和把握马克思人的本质观的基本观点,对于确认思想政治教育活动中受教育者的主体地位,对于思想政治教育方法的创新等具有指导作用。坚持以马克思人的本质观为指导,解放思想,开拓创新,促进思想政治教育的发展,致力于提高思想政治教育的有效性。  关键词:马克思 人的本质 思想政治教育 
期刊
摘要:文章在结合酒店经营特色的基础上对平衡记分卡的财务、顾客、内部业务流程和学习与成长四个因素进行了应用分析。  关键词:酒店管理 绩效评估 平衡记分卡    作为绩效管理的重要工具之一的平衡积分卡(Balanced score card)的概念是由罗伯特S.卡普兰和戴维P.诺顿提出的一套用于评价企业战略经营业绩的财务与非财务指标体系。平衡积分卡的提出有着重要的意义:其一,实现了财务指标与非财务指
期刊
摘要:文章从岩溶地面塌陷的影响因素、形成机制和防治对策方面对岩溶地面塌陷进行研究,为岩溶地面塌陷的科学防治提供依据。  关键词:岩溶塌陷 形成机制 防治方法    本文综合研究了岩溶地面塌陷的影响因素及形成机制,在此基础上,提出了岩溶地面塌陷的防治对策,对于深化对岩溶地面塌陷的机制认识及科学防治岩溶地面塌陷具有一定的借鉴意义。    岩溶塌陷发育机理    第一,渗透变形效应。这是抽水引发塌陷的主
期刊
摘要:具备自主学习能力是信息时代和英语学科双重需要的呼唤。文章通过分析自主学习的有关理论,揭示自主学习的核心和本质,探讨如何培养学生英语自主学习能力。  关键词:自主学习 外语学习 自主学习能力    由于科学技术的进步,计算机的普及和互连网在世界各个角落的延伸,使人类置身于一个空前的信息时代。新知识,新技术的快速更新,要求现代教育的最终目的不只是向受教育者传授现有知识,而是教会他们如何学习,引导
期刊
摘要:绩效管理是企业人力资源管理中的一个重要环节,它不仅可以节约管理者的时间,避免冲突与尴尬,还能够促进员工的发展,提高人力资源管理的水平,进而达到员工与组织双赢的局面。文章从员工与组织两个角度出发,试图将人与组织匹配的理论应用于绩效管理。  关键词:绩效管理 人与组织匹配 流程分析    绩效管理(performancemanagement)已成为世界大多数优秀公司战略管理的有效工具,绩效管理的
期刊
本文主要通过查明某站址场地岩土工程条件,为最终确定总平面布置、主要建(构)筑物的地基基础方案设计及不良地质作用的整治等,提供岩土工程勘测资料和建议。    场地工程地质条件    (一)地形地貌  该站址区勘察范围高程约112.2-125.5m,最大高差约9.5m,自然坡度为5-12°。丘顶及近丘顶处山坡为果园,该站址勘察范围内间杂分布有多处人工水塘,面积为250-1800m2,水深1.0-2.0
期刊
摘要:在房地产行业发展持续高涨与国家宏观调控日见成效的双重背景下,房地产业进入了新一轮的调整期。文章在对中国房地产企业进行了问卷调查的基础上,用统计学的因子分析和回归分析方法,探讨了房地产开发企业的绩效与企业能力要素之间的关系并得出相应结论。  关键词:房地产 企业能力 绩效 实证    房地产业是国民经济的先导性产业,是为人们进行生产、居住、学习和其他社会活动等提供基础性物质条件的产业,是当今世
期刊
摘要:由于膨胀土的显著胀缩特性,膨胀土的工程特性不能满足工程的需要,因此需要对其进行改性处理。文章通过试验来研究某膨胀土石灰改性试验。  关键词:膨胀土 石灰 试验    国内外研究者都认为,石灰改性膨胀土是经济可行的方法。采用石灰、石灰加粉煤灰、化学剂(即康派特和青神剂)等作为添加剂掺入膨胀土中,分别进行改性土的试验。对各种改性剂和设计配合比配制的改性土进行常规、强度、膨胀和动力-轴试验研究,目
期刊
摘要:目前硬件加速技术已经逐步应用于实际的设计验证。文章通过介绍SpringSoft公司的Gemini硬件验证平台的基本功能和应用,结合Co-Simulation方式在实际项目中的应用,给出使用该套验证系统对项目的实际效果和意义。  关键词:硬件加速器 混合仿真 仿真加速    随着FPGA技术的发展,将设计提前实现于FPGA上,使得设计更早有效且高速的测试。从客观上看,我们需要这样一个平台,首先
期刊
摘要:文章介绍了一些新老结合的库容测量方法。在水库水下地形及其周边地形测量中,如何应用GPS、测深仪定位技术为基础,结合全站仪数字化成图系统及测深技术的提高,为快速准确地采集水库及其周边高密度、高精度的水下、及设计高程以下的地形数据,建立新的库容数据管理系统提供可靠的第一手资料。  关键词:GPS 数字化成图 水库 库容 水下地形    水库库容是水库调度的重要参数,然而,不少水库库容经常会发生变
期刊