ARP病毒入侵原理及解决方案-

1、第28卷第3期咸宁学院学报Vo.l28,No.3 2008年6月Journal of X ianni n g Universit y Jun.2008文章编号:1006-5342(200803-0063-04ARP病毒入侵原理及解决方案*张文亮(咸宁学院网络管理中心,湖北咸宁437100摘要:通过局域网连接I NTERNET的用户,对于AR P病毒应该都不会陌生,并且基本上都深受其害.这个病毒在很大程度上降低了网络的性能,甚至瘫痪,导致用户无法正常使用网络.本文从该病毒入侵原理的角度来分析我们如何去防范该病毒,并给出具体的解决方案.关键词:局域网;I NTERNET;ARP病毒中图分类号:TP

2、309.5文献标识码:A0引言ARP地址欺骗类病毒(以下简称ARP病毒是一类特殊的病毒,该病毒一般属于木马(T ro j a n病毒,不具备主动传播的特性,不会自我复制.但是由于其发作的时候会向全网发送伪造的ARP数据包,干扰全网的运行,因此它的危害比一些蠕虫还要严重得多.其危害主要表现在:局域网内的部分或所有电脑不能上网;无法打开网页或打开网页慢;在打开的网页顶部和底部插入恶意广告;不断提示I P地址冲突(非I P共用产生的I P地址冲突;局域网时断时续并且网速较慢等.11ARP病毒入侵原理ARP全称为A ddress Reso lution Protoco,l中文名称是地址解析协议.它工作

3、在数据链路层,在本层和硬件接口联系,同时对上层提供服务.所谓/地址解析0就是主机在发送数据包前将目标主机I P地址(I P地址32位转换成目标主机MAC地址(MAC地址48位的过程.2ARP协议属于链路层的协议,以太网中的数据帧从一个主机到达网内的另一台主机是根据48位的以太网地址(MAC 地址来确定接口的,而不是根据32位的I P地址.内核(如驱动必须知道目的端的MAC地址才能发送数据.当源主机需要传送数据给目标主机的时候,首先会在本机ARP缓存表(ARP缓存表是用来保存该网络中各个电脑的I P地址和MAC地址的对应关系的中查询目标设备的MAC地址,如果在ARP缓存表中可以查询到目的主机对应

4、的MAC地址,便立即把查询到的MAC地址作为目的主机地址,并将数据传送给该MAC地址所在的接口;如果在ARP缓存表中没有查询到目的主机对应的MAC地址,这个时候源主机就会向全网络发送一个ARP广播包,询问目的主机I P地址对应的MAC地址.这时,该网段的计算机以及网关都会收到该ARP广播包,当目的主机收到该包的时候,它会单独给源主机发送一个包并告诉源主机自己的MAC地址,当源主机收到来自目的主机的应答包后,便会将目的主机的I P地址和MAC地址的对应关系写入自己的ARP缓存表,从而继续完成数据的传送.3*收稿日期:2008-03-20图12ARP病毒的表现形式2.1网络频繁掉线网络频繁掉线主要

5、表现为用户在使用网络的过程中,网页打开速度慢、时断时续甚至根本打不开以及其它的网络应用处于断线状态.这种现象是因为感染ARP病毒的主机一旦收到ARP请求包后,便向源主机发送伪造的ARP包,导致源主机无法与真正的目的主机通讯.当伪造的ARP包中包含错误的网关信息时,源主机会误认为中毒主机就是网关,便会通过中毒主机连接外网,如果中毒主机性能很差,无法胜任/网关临时代理0功能,就会表现为用户网络连通,但延时太大,所以用户上网才会觉得慢、时断时续,甚至根本无法连接网络.2.2弹出恶意广告ARP病毒在伪装网关的基础上,还会对HTTP 请求访问进行修改.HTTP是应用层的协议,主要是用于W EB网页访问.

6、当源主机请求网关访问某个网站的时候,中毒主机仍然会担任/网关临时代理0之职,仍然会给源主机下载所请求的web网站内容,但不同的是,在将w eb内容传送给源主机的同时(图示1第六步,会在下载的w eb内容中插入恶意网址连接,该恶意网址连接会利用MS06-014和M S07-017等多种系统漏洞,向源主机种植木马病毒.将进一步破坏用户系统以及网络环境.2.3提示I P地址冲突ARP病毒还会造成用户I P地址冲突,并不断的提示,干扰用户正常使用网络.正常情况下,当主机A在连接网络(或更改I P地址的时候就会向网络发送ARP包广播自己的I P地址,也就是freearp.如果网络中存在相同I P地址的主

7、机B,那么B就会通过ARP来reply该地址,当A接收到这个rep l y后,A就会跳出I P地址冲突的警告,当然B也会有警告.但如果网内存在ARP欺骗病毒,那么中毒主机便可以伪造这个ARP rep l y,ARP rep l y 的内容就是/我的地址和主机A一样0,主机A就误认为自己的I P和别人冲突了,就会不断的出现I P地址冲突警告,也就无法与网络通信.2.4欺骗网关,彻底断网前面几点我们讲的都是ARP病毒欺骗主机的情况.现在我们讲ARP病毒最严重的一种破坏方式,即:欺骗网关.中毒主机向网关发送伪造的ARP应答数据包,其中发送方的I P地址为目标主机的I P地址,而MAC地址则为一个伪造

8、的地址.这样,路由器的ARP表中就产生了一条错误的I P -MAC记录,网关发送给目标的数据包都是使用了错误的MAC地址.这种情况下,目标能够发送数据到网关,却不能接收到来自网关的任何数据.导致主机彻底处于断线状态.2.5其它随着ARP病毒的扩散日益严重,很多黑客利用了ARP病毒的特性结合其他木马病毒对用户实施更严重的攻击与破坏.例如:目前对用户破坏比较大的一种病毒是/磁碟机新变种0病毒.一旦感染这个病毒,首先它会在指定的网站下载ARP病毒,然后不间断的对网内的其他用户实施ARP攻击,并且中毒的计算机基本上失去了病毒防护能力,将所有的与病毒防护有关的软件实施禁用;无法显示隐藏文件;在进程中多了

9、几个以管理员为用户名的进程:LSASS.exe、S M SS.exe等,并无法结束这些进程.此类病毒查杀难度很大,用户计算机基本上处于瘫痪状态.此类病毒最有效的清除办法就是利用专杀工具反复查杀.3ARP病毒的解决及防范64咸宁学院学报第28卷3.1用户的角度3.2网络管理员的角度对于一个中、大型的网络而言,用户太多,要求每个用户都做到ARP病毒的防范,似乎不大可能.哪怕只有一台计算机没有做好防范措施,也会对网络造成很大的影响,所以从用户的角度去抑制或清除该病毒始终是不够彻底的.要彻底的解决这个病毒,还是应该从网络管理的角度着手.网络管理员还可以利用第三方软件对网络进行实时监控、扫描,发现ARP

10、病毒以及锁定病毒源.以cisco2950交换机为例,在交换机端口上实施MAC地址与端口绑定和I P地址与端口的绑定相结合,从而达到在端口上应用I P与MAC地址绑定的功能.一旦绑定之后,交换机的ARP表就固定了,无论接收到来自任何计算机的ARP欺骗都无法修改交换机的ARP表,同时也就保证了路由的准确性.以此来避免ARP病毒各式各样的攻击、欺骗.具体实施如下:Sw itch(confi gM ac access-list ex tended MAC0 #定义一个MAC地址访问控制列表并且命名该列表名为MAC0Sw itch(confi gIp access-list ex tended I P0

11、#定义一个I P地址访问控制列表并且命名该列表名为I P0#定义所有主机可以访问I P地址为的主机Sw itch(confi g-ifi n terface Fa0/20#进入配置具体端口的模式Sw itch(config-ifm ac access-g roupMAC0in #在该端口上应用名为MAC0的访问列表(即前面我们定义的访问策略Sw itch(confi g-ifIp access-group I P0in#在该端口上应用名为I P0的访问列表(即前65第3期张文亮ARP病毒入侵原理及解决方案面我们定义的访问策略Sw itch(con fi gno m ac

12、access-li s t ex tended MAC0#清除名为MAC0的访问列表Sw itch(configno Ip access-g r oup I P0in#清除名为I PO的访问列表4总结ARP病毒如果要彻底的解决,首先要保证局域网内的任何一台计算机不能感染ARP病毒,也不可以存在带来ARP病毒的其他木马病毒.所以ARP病毒的防范不是简单的只防ARP病毒,还需要防范其它更多的木马病毒.随着网络应用的日益扩大,形形色色的网络病毒泛滥,肆意破坏网络环境.因此网络安全、病毒防范对于网络用户而言应该放在首要的位置,也应该是一项长期的工作,要养成一种好的上网习惯,才能给自己以及他人营造一个安

13、全、可靠、高效的网络环境.真正的做到网络安全、人人有责.参考文献:1邓吉,柳靖.黑客攻防实战详解安全技术大系M.北京:电子工业出版社,2006.2史蒂文斯(W.R ichard Stevens.TCP/IP详解(卷1:协议M.北京:机械工业出版社,1991.3多伊尔,卡罗尔.TCP/IP路由技术(第一卷M.第2版.北京:人民邮电出版社,2007.4科默(Come r,D.E.用TCP/I P进行网际互连(第一卷:原理、协议与结构M.第5版.北京:电子工业出版社,2007.版.北京:清华大学出版社,2006.Invasi on M echanis m s and Solutions of ARP

14、-V irusZHANG W en-li a ng(Center of Net w or k M anage m en,t X iann i n g Un i v ersity,X iann i n g437100,Ch i n aAbst ract:The I nternet users who are jo i n ed through the LAN m ay not feel strange to ARP v irus,and are basically hurt deeply by i.t This v irus reduces the net w ork perfo r m ance to a great exten,t and even m akes the net w or k paralysed,causing users to be unab le to use the net w or k nor m ally.F