在局域网中如何效的防御ARP病毒.doc

在局域网中如何有效的防御ARP病毒 摘 要：本文介绍了arp协议的基本原理，阐述了arp欺骗攻击产生的原因及在idc中常见攻击手段。arp病毒是一种地址欺骗的病毒，通过伪造ip地址和mac地址来完成arp欺骗，对arp病毒的攻击原理做了探讨与分析。 关键词：arp攻击；ip地址；mac地址；idc 一、引言 随着计算机网络的普及，很多公司、企业、学校等都建立了自己的局域网，这确实给工作带来了很大的方便，提高了工作效率。但与此同时专门针对局域网的木马病毒也随之出现，特别是近些年arp木马病毒很是猖獗，给我们的日常工作带来了很多麻烦。本文仅就arp木马病毒进行介绍与分析，包括其类型、攻击计算机时的一些症状、攻击的原理及预防方法和注意事项 二、arp协议简介 arp address resolution protocol 是地址解析协议，提供了从ip地址到物理地址的映射。即通过已知的网络层 ip层，也就是相当于osi的第三层 地址获得数据链路层 mac层，也就是相当于osi的第二层 的mac地址。 arp工作原理:主机a向主机b发送报文，会首先查询本地的arp缓存表，通过b的ip地址找到对应的mac地址后，就会进行数据传输。如果未找到，则a会广播一个arp请求报文 此报文中包含主机a的ip地址到物理地址的映射及主机b的ip地址 ，请求主机b回答其物理地址。网上所有主机包括b都收到该arp请求，但只有主机b识别自己的ip地址，于是向a主机发回一个arp响应报文。其中就包含有b的mac地址，a接收到b的应答后，就会更新本地的arp缓存。接着使用这个mac地址发送数据。因此，本地高速缓存的这个arp表是本地网络流通的基础，而且这个缓存是动态的。 局域网一般通过统一的网关来访问外部网络，比如上网浏览网页 http协议 ，某机器上的恶意代码通过欺骗，让其他机器将网关ip的mac地址都指向自己，又欺骗网关使得其他机器ip的mac地址也指向自己，只有它自己保存着一份真实的ip—mac转换表。这样，基于网中所有机器的上网包都通过该恶意代码的机器进行转发，从而该代码就能截获局域网其他用户的很多上网信息。这种采用arp欺骗的恶意代码就是arp病毒 三、arp病毒 arp地址欺骗类病毒 以下简称arp病毒 是一类特殊的计算机病毒，该病毒一般属于木马病毒，不具备主动传播的特性，不会自我复制。但是由于其发作的时候会向局域网发送伪造的arp数据包，自身伪装成网关，干扰全网的运行，因此它的危害比一些蠕虫还要严重得多。 下面我们来看一下arp病毒有哪些类型。 arp病毒大致分三类： 第一种：病毒主机只冒充网关ip地址。如果其他用户的电脑事先把网关的mac地址做了arp绑定，那么病毒主机其实影响不到它。安装了anti之类的软件也能起到预防效果。 第二种：病毒主机疯狂地与全网所有ip地址进行冲突。遭受到ip冲突攻击的电脑往往会突然有几秒钟网络不通，然后恢复正常，几分钟后，下一轮冲突开始，又会断网几分钟。对于这一种病毒，即使装了之类的软件，效果也不大，甚至在交换机上做mac地址绑定都用处不大。只能把病毒机器所在的交换机端口down掉。 第三种：这是目前最厉害的arp病毒，它可以进行双向arp欺骗。病毒主机随机选择一些内网的在线主机进行欺骗，告诉它们病毒主机就是防火墙，然后他又欺骗防火墙，说那些被欺骗的主机的mac地址都是我病毒主机的mac地址。这样一来，防火墙的arp表中，那些主机的ip对应的mac是病毒主机的，而被骗的主机则都把数据发给病毒主机进行转发，而防火墙返回的数据包也都会经过病毒主机转发，病毒主机就可以从数据包中抓取游戏帐号、密码等信息。 四、诊断、检测和防治arp病毒 如果用户发现以上疑似情况，可以通过如下操作进行诊断：点击“开始”按钮— 选择“运行”—输入cmd后单击“确定”，在出现的窗口中输入“arp—d”后敲回车。然后重新尝试上网，如果能恢复正常则说明此次掉线可能是受arp欺骗所致。 “arp—d”命令用于清除并重建本机arp表并不能抵御arp欺骗，执行后仍有可能再次遭受arp攻击。 可以使用局域网内arp病毒检测工具程序。运行输程序后输入本网段的网关ip地址，点击“获取网关mac地址”，检查网关ip地址和mac地址无误后，点击“自动保护”。若不知道网关ip地址，可通过以下操作获取：点击“开始”按钮→选择“运行”→输入command点击“确定”→输入iconfig按回车，“default gateway”后的ip地址就是网关地址。软件会在提示框内出现病毒主机的mac地址。 例如某台主机的地址是00：e0：63：9a：5c：3d，除此之外检测到的就是arp攻击地址，可上报网络中心进行屏蔽 要防治arp病毒可在计算机上安装arp防火墙，这样既可以拦截外