首页 浅谈ARP病毒攻击原理与解决方案

浅谈ARP病毒攻击原理与解决方案

举报
开通vip

浅谈ARP病毒攻击原理与解决方案浅谈ARP病毒攻击原理与解决方案 沿 海 企 业 与 科 技2007 年第 09 期 NO.09,2007 COASTAL ENTERPRISES AND SCIENCE & TECHNOLOGY 总第 期 (88 ) (Cumulatively NO.88) 浅谈 AR P 病毒攻击原理与解决方案 韦巍, 林 源 [ 摘 要] 当局域网内某台主机感染 AR P 病毒后, 就会运行 AR P 欺骗的木马程序, 造成网络时断时续, 影响用户正 常使用网络。文章从 AR P 病毒攻击现象分析, 根据 AR P 病毒...

浅谈ARP病毒攻击原理与解决方案
浅谈ARP病毒攻击原理与解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 沿 海 企 业 与 科 技2007 年第 09 期 NO.09,2007 COASTAL ENTERPRISES AND SCIENCE & TECHNOLOGY 总第 期 (88 ) (Cumulatively NO.88) 浅谈 AR P 病毒攻击原理与解决方案 韦巍, 林 源 [ 摘 要] 当局域网内某台主机感染 AR P 病毒后, 就会运行 AR P 欺骗的木马程序, 造成网络时断时续, 影响用户正 常使用网络。文章从 AR P 病毒攻击现象分析, 根据 AR P 病毒攻击原理, 查找出局域网内感染 AR P 病毒的主机, 最后提出 AR P 病毒有效的解决方案。 [ 关键词] AR P 病毒; MAC ; 地址; IP 地址 [ 作者简介] 韦巍, 广西财经学院现代教育技术部助理工程师, 中央财经大学在读研究生, 研究方向: 计算机网络及应 用, 广西 南宁, 530003; 林源, 广西财经学院现代教育技术部工程师, 研究方向: 计算机网络及应用, 广西 南宁, 530003 [ 中图分类号] TN 915.08 [ 文献标识码] A [ 文章编号] 1007- 7723( 2007) 09- 0040- 0002 缓 存 中 的ARP 从 缓 存 中 读 取 IP- MAC 条 目 , 一、ARP 病毒攻击现象 IP- MAC 条目是根据 ARP 响应包动态变化的。因 当局域网内某台主机感染 ARP 病毒后,就会 此, 只要网络上有 ARP 响应包发送到本机, 即会更 运行 ARP 欺骗的木马程序, 欺骗局域网内所有主 新 ARP 高速缓存中的 IP- MAC 条目。当攻击源大 机和路由器, 导致局域网内其他电脑因网关物理 量向局域网中发送虚假的 ARP 信息后, 就会造成 地址更改, 让所有上网的流量必须经过病毒主机。 局域网中的主机 ARP 缓存崩溃。攻击者只要持续 其他用户原来直接通过路由器上网现在转由通过 病毒主机上网, 切换的时候用户会断一次线。 不断地发出伪造的 ARP 响应包, 就能更改目标主 由于 ARP 欺骗的木马程序发作的时候会发出 机 ARP 缓存中的 IP- MAC 条目, 造成网络中断。 大量的数据, 包导致局域网通讯阻塞以及其自身 处 交换机上同样维护着一个动态的 MAC 缓存,理能力的限制, 用户会感觉上网速度越来越慢。 交换机内部有一个对应的列表, 交换机的端口对 应 MAC 地址表记录着每一 个端口下面 存在哪些 当 ARP 欺骗的木马程序停止运行时, 用户会恢复 MAC 地址, 这个表开始是空的, 交换机从来往数据 从路由器上网, 切换过程中用户会再断一次线。如 帧 中 学 习 。 因 为 MAC- PORT 缓 存 表 是 动 态 更 新 此不断重复, 造成网络时断时续, 影响用户正常使 的, 那么让整个交换机的端口表都改变, 对交换机用网络。 进行 MAC 地址欺骗, 不断地发送大量假 MAC 地 二、ARP 病毒攻击原理址的数据包, 交换机就更新 MAC- PORT 缓存。如 ARP 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 是“Address Resolution Protocol”( 地果 能 通 过 这 样 的 办 法 把 以 前 正 常 的 MAC 和 Port 址解析协议) 的缩写。在局域网中, 网络中实际传对应的关系破坏了; 那么交换机就会进行泛洪发 输的是“帧”, 帧里面是有目标主机的 MAC 地址 送给每一个端口, 让交换机基本变成一个 HUB( 集 的。在以太网中, 一个主机要和另一个主机进行直 线器) , 向所有的端口发 送数据包, 造 成交换机 接通信, 必须要知道目标主机的 MAC 地址。但这 MAC- PORT 缓存的崩溃, 造成网络中断。 个目标 MAC 地址是如何获得的呢? 它就是通过地 三、如何查找感染 ARP 病毒主机址解析协议获得的。所谓“地址解析”就是主机在 ARP 病毒发作时候的特征为中毒的机器会伪 发送帧前将目标 IP 地址转换成目标 MAC 地址的 造某台电脑的 MAC 地址。如该伪造地址为网关服 过程。ARP 协议的基本功能就是通过目标设备的 IP 地址, 查询目标设备的 MAC 地址, 以保证通信 务器的地址, 那么对整个网络均会造成影响, 用户的顺利进行。当计算机接收到 ARP 应答数据包的 表现为上网经常时断时续。下面介绍两种如何在 时候, 就会对本地的 ARP 缓存进行更新, 将应答中 局域网中查找感染 ARP 病毒主机的方法。( 注: 以 的 IP 和 MAC 地址存储在 ARP 缓存中。 下使用的 IP 地址和 MAC 地址均为举例测试)每 个 主 机 都 用 一 个 ARP 高 速 缓 存 存 放 最 近 方法一: 在局域网内的任意客户机上进入命令 IP 地址到 MAC 硬件地址之间的映射记录。ARP 高 速缓存中的每一条记录条目的生存时间一般为 60 提示符 (或 MS- DOS 方式), 依次输入如下命令查 秒, 起始时间从被创建时开始算起。默认情况下, 看: C:\>arp - d 40 C:\>arp - a 另取) , 内容如下: @echo off Interface: 172.168.100.93 on Interface 0x2 arp - d Internet Address Physical Address Type arp - s 网关 IP 地址 网关 MAC 地址 172.168.100.24 00- 05- 5d- ff- a8- 87 dynamic 将文件中的网关 IP 地址和 MAC 地址更改为 172.168.100.254 00- 05- 5d- ff- a8- 87 用户自己的网关 IP 地址和 MAC 地址即可。 dynamic 3. 将 这 个 批 处 理 软 件 拖 放 到“windows—开 始—程序—启动”中。这样开机后就会自动绑定网 可 以 看 到 172.168.100.24 的 MAC 地 址 和 172.168.100.254 的网关 MAC 地址相同, 那么实际关 IP 地址和网关 MAC 地址, 有效防止 ARP 欺骗。 检 查 结 果 为00- 50- da- 8a- 62- 2c 是当然, 单靠以上的操作基本可以解决问题, 但172.168.100.24 的 MAC 地 址 , 我 们 可 以 判 定 是建议通过一些手段来进一步控制 ARP 病毒的攻 172.168.100.24 实际上为感染了 ARP 病毒的主机,击。 它伪造了 172.168.100.254 的 MAC 地址。1. 病毒源, 对病毒源头的机器进行处理, 杀毒 在 172.168.100.24 主机上进入命令提示符(或或重新装系统。此操作比较重要, 解决了 ARP 病毒 MS- DOS 方式), 用 arp - a 命令查看:攻击的源头主机的问题, 可以保证内网免受攻击。 2. 安装杀毒软件 ( 必须要经常更新病毒库代 C:\>arp - a 码) , 对机器进行定期病毒扫描杀毒。安装并使用 Interface: 172.168.100.24 on Interface 0x2 网络防火墙软件, 网络防火墙在防病毒过程中也 Internet Address Physical Address Type 可以起到至关重要的作用, 能有效地阻挡自来网 172.168.100.254 00- 05- 5d- ff- a8- 87 络的攻击和病毒的入侵。部分盗版 Windows 用户 不能正常安装补丁, 不妨通过使用网络防火墙等 dynamic 其他方法来做到一定的防护。 可 以 看 到 感 染 了 ARP 病 毒 的 主 机 上 显 示 的 3. 及时给系统安装补丁程序, 通过 Windows MAC 地址是正确的, 而且该机运行速度缓慢, 应该 Update 安装好系统补丁程序(关键更新、安全更新 为所有流量在二层通过该主机进行转发而导 致, 和 Service Pack)。 ARP 刷 只有等 该机重启后所有电脑都不能上网,4. 给 系 统 管 理 员 账 户 设 置 足 够 复 杂 的 强 密 新 MAC 地址后网络才正常。码, 最好能是 12 位以上, 字母 + 数字 + 符号的组 合; 也可以禁用或删除一些不使用的账户。 : 用户在自己的电脑上安装防护 ARP 方法二 5. 关闭一些不需要的服务, 条件允许的可关 攻击工具 AntiArp, 安装完毕重新启动电脑使 An- tiArp 工具自动搜索检测本机的 IP 地址、MAC 地址 和网关地址, 然后 AntiArp 工具会自动绑定网关 IP 地址和网关 MAC 地址, 有效防止 ARP 欺骗。若在C$、D$等管理共 闭一些没有必要的共享,也包括 享。完全单机的用户也可直接关闭 Server 服务。 局域网内有 ARP 攻击, 该软件会自动提示攻击者 6. 不 要 随 便 点 击 打 开 QQ、MSN 等 聊 天 工 具 的 IP 地址和 MAC 地址, 这样用户就可以把攻击者 上发来的链接信息, 不要随便打开或运行陌生、可 的地址告诉有关网络运行部门, 由他们来进行下疑文件和程序, 如邮件中的陌生附件、外挂程序 一步的处理工作。 等。 四、病毒有效解决方案ARP ARP 病 毒 攻 击 防 制 是 一 个 任 重 而 道 远 的 过 经过以上所述的两种方法查找到感染 ARP 病 程, 必须高度重视这个问题, 而且不能大意马虎。毒的主机, 可以联系有关网络运行部门, 对感染 我们可以采取以上的方法和建议随时警惕 ARP 病 ARP 病毒主机的 MAC 地址进行记录, 暂时封闭其 , 以减少受到的危害, 提高工作效率, 防毒的攻击网络接口, 禁止中毒电脑上网, 保证其他用户能够 止 ARP 病毒扩大化感染, 从而保证网络的正常运 正常上网, 只有在该用户重新安装操作系统, 清除 ARP 病毒, 再开放其网络端口。 行。 用户还可以采用在电脑上绑定网关 IP 地址和 网关 MAC 地址的方法来解决并且防止 ARP 欺骗, 具体操作步骤如下: [ 参考文献] 1. 进 入 命 令 提 示 符(或 MS- DOS 方 式), 用 arp [ 1] 王达. 网 管 员 必 读—网 络 安 全[ M] . 北 京:电 子 工 业 出 — ,2005. 版社- a 命令查看, 获取本机的网关 IP 地址和网关 MAC [ 2] 刘永华, 解圣庆. 局域网组建、管理与维护[ M] . 北 京:清 地址。,2006. 华大学出版社2.编写一个批处理文件 arp.ba(t 文件名可自己 [ 3] 李春洪, 李文中.计算机网络[ M] . 北京:清华大学出版社, 2006. 41
本文档为【浅谈ARP病毒攻击原理与解决方案】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑, 图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
该文档来自用户分享,如有侵权行为请发邮件ishare@vip.sina.com联系网站客服,我们会及时删除。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
下载需要: 免费 已有0 人下载
最新资料
资料动态
专题动态
is_751406
暂无简介~
格式:doc
大小:20KB
软件:Word
页数:0
分类:生活休闲
上传时间:2017-08-31
浏览量:10