2024年5月8日发(作者:)
维普资讯
网络与安全技术
2007年11月10日第11期
坪 金融董J;垂.
ARP病毒攻击原理及防范
◆ 中国人民银行株洲市中心支行 贺朝晖
ARP病毒是一种地址欺骗病毒。当局域网内
某台主机运行ARP时,ARP会欺骗局域网内所有
ARP广播包,这表示向同一网段内的所有主机发
出询问:“192.168.16.2的MAC地址是什么?”网络
上其他主机并不响应该ARP询问,只有主机B接
收这个帧时,才向主机A做出回应:“192.168.16.2
的MAC地址是bb—bb—bb—bb—bb—bb”。这样,主机
的主机和路由器,让所有上网的数据都必须经过病
毒主机,原来直接通过路由器上网的用户现在转由
通过病毒主机上网。
一
、
ARP病毒原理
A就知道了主机B的MAC地址,它就可以向主机
B发送信息了。同时它还更新了自己的ARP缓存
表,下次再向主机B发送信息时,可直接从ARP缓
在以太网介质局域网中,数据帧在链路层是按
照MAC地址进行发送和接收的,一个主机要和另
一
个主机进行直接通信,必须知道目标主机的
存表里查找。缓存中的IP—MAC条目根据ARP响
应包动态变化,只要网络上有ARP响应包发送到
本机上,本机就会更新ARP高速缓存中的IP—
MAC条目。
MAC地址,IP地址和MAC地址的转换通过ARP
协议(Address Resolution Protocol,地址解析协议)实
现。每台安装有TCPAP协议的计算机里都有一个
ARP缓存表,IP地址与MAC地址的对应如表1所
示:
ARP缓存表为ARP欺骗和病毒攻击提供了可
能。ARP协议的基础是信任局域网内所有的人,计
表1 IP地址与MAC地址对应表
IP地址
l92.168.16.1
192.168.16.2
192.168.16-3
192.168.16.4
算机在收到伪造的ARP应答数据包时,也会对本
MAC地址
aa—aa—_aa— aa—aa—aa
bb—bb—bb—bb—bb—bb
cc—cc_cc_cc—cc—cc
dd—dd—dd—dd—dd—dd
说明
主机A
主机B
主机C
主机D
地的ARP缓存进行更新。例如,B向A发送一个自
己伪造的ARP应答,说其IP地址是l92.168.10.3
(主机C),MAC地址是BB—BB—BB—BB—BB—BB,当
A接收到B伪造的ARP应答,就会将ARP缓存表
中主机C的MAC地址改为主机B的MAC地址,
当主机A向主机B发送数据时,主机A会在
自己的ARP缓存表中寻找是否有目标IP地址。如
果找到了,也就知道了MAC地址,直接把目标
此后A发往C的数据,实际上被B接收了,主机C
并不会响应,因为数据帧的MAC地址与它的MAC
地址不匹配。
MAC f ̄tA- ̄入帧里发送即可;如果在ARP缓存表
中没有找到相对应的IP地址,主机A就会在网络
上发送一个目标MAC地址“FF.FF.FF.FF.FF.FF”的
攻击者或通过计算机实施ARP欺骗,通常出
于两个目的。一是冒充网关,作为“中间人”(man
in the middle)对网络进行嗅探,截获特定的数据信
N0V.10.2007 NO.1 1
囵
维普资讯
坪切金 电肛
兀 ̄ANCIAL C0MPU rER OF HUANA
网络与安全技术
2007年1 1月10 Et第1 1期
息;二是制造混乱,造成IP地址冲突,导致网络不
能正常使用。攻击源大量向局域网中发送虚假的
ARP信息后,会造成局域网内通讯壅塞,计算机
ARP缓存崩溃。
二、ARP病毒的清除
ARP病毒通常用高级语言编写,由几个部分
预。但在互联网上,用户升级的自动化程度和及时
性都较差,用户必须经常检查病毒定义并主动进行
升级。如果病毒定义滞后,系统对较新的病毒就没
有防范能力,会给病毒以可乘之机。
(二)、安装ARP专杀T具和病毒防火墙
目前,针对ARP病毒 现了不少专杀T具或
ARP防火墙工具,对于防范ARP病毒具有一定的
积极作用。此类软件的功能通常包括:在系统内核
组成,每一部分都是单独的文件,以单独的进程驻
留内存,而且ARP病毒可以通过任务管理器查看。
ARP病毒的这些特点使用户在遇到ARP病毒时可
以遵循一定的步骤通过手工的方法进行清除。
(一)、关闭系统恢复功能。本步骤仅用于
Windows Me和Windows XP系统。
层拦截外部虚假ARP数据包,保障系统不受ARP
欺骗、ARP攻击影响,保持网络畅通及通讯安全;
自动监测本机ARP缓存表,如发现网关MAC地址
被恶意程序篡改,将报警并自动修复,以保持网络
畅通及通讯安全;主动与网关保持通讯,通告网关
正确的MAC地址,保持网络畅通及通讯安全。An—
tiARP就是一款实用的丁具。
但ARP专杀T具大多只能保护PC机,不能
保护路由器(网关)。如果一台带毒的计算机向路由
器发送伪造的ARP应答包,由于路由器并不受专
杀工具保护,它将根据伪应答包更新特定计算机在
ARP缓存表中的MAC地址,这将导致PC机知道
网关在哪里,而网关不知道真正的PC机在哪里,
通讯会出现时断时通。
(二)、更新杀毒软件的病毒定义。安装最新的
病毒代码库,以便杀毒软件识别、处理更多的病毒。
(三)、重新启动计算机,进入安全模式。这一
步操作非常关键,目的是为了使杀毒在安全的系统
下进行,避免循环感染。在安全模式下,Windows系
统只运行最基本的程序,因此病毒不会被执行,这
样可以确定系统是安全的。
(四)、使用杀毒软件对本地计算机进行全面扫
描,发现带毒文件一律删除。
(五)、删除病毒在注册表中添加的键值。杀毒
软件在很多时候不能自动修复注册表设置,用户必
须通过手工完成,这一步操作的步骤因具体的病毒
而-it-所不同。
(三)、在网关和用户端实行“双向绑定”
要消除ARP病毒的影响,最根本的方法是在
路由器和客户机上同时绑定IP与MAC地址,实行
“双向绑定”。
三、ARP病毒的防范
由于ARP病毒的影响较为严重,在日常工作
中,要在以下三个层次上进行防范:
在每台PC机上绑定网关和其他PC的MAC
地址。采用固化ARP表,使下列指令在开机后自
动执行:
arp d清空ARP表
arp—s 192.168.0.254 00一eo-4c一8c一9a一47绑定网关
arp—s 192.168.0.1 00一eo-4c一8c一9a一48绑定主机1
arp—s 192.168.0.2 00一e0-4e一8e一9a--49……
(一)、及时升级系统补丁和病毒定义
病毒是利用操作系统的漏洞进行传播和感染
的,因此及时打好操作系统的补丁,能够有效堵塞
漏洞,减少病毒入侵的机会。在内网上,可以利用
WSUS、Lan—Desk技术建立补丁分发系统,及时更
新用户操作系统;在互联网上,用户可使用
Windows Update安装系统补丁程序(关键更新、安
全更新和Service Pack),但自动化程度和实际效果
往往受到制约。
为了清除病毒,首先要正确识别病毒,确保当
arp—s 192.168.0.n 00-e0—4c一8e一9a一50绑定主机N
在路由器中把所有PC的IP—MAC输入到一
个静态表中。经过上述绑定后,PC与路由器之间,
PC与PC之间都能找到对方的真实MAC地址,链
路层数据帧也能顺利发送到目标主机,从而保证了
IP通讯的正常进行。
(责任编辑:高碧波)
前的病毒定义库是最新的。很多单位内网上可以利
用网络防病毒系统实现自动升级,用户不需要干
NOV.10.2007 NO.1 1
发布评论