2024年5月8日发(作者:)

维普资讯

2007年2月 

绵阳师范学院学报 

Journal ofMianyang Normal University 

Feb.,2007 

V01.26 No.2 

第26卷第2期 

ARP欺骗木马病毒分析与防御研究 

孥 勇 

(绵阳师范学院经济与管理科学系,四川绵阳621000) 

摘要:介绍了ARP协议及其工作原理,并由此指出ARP欺骗木马病毒是通过虚拟网关对局域网中的主机 

进行欺骗,从而捕获所有上网数据并窃取重要信息的一种病毒。文章在分析了该类病毒发作症状的基础上,给出 

了在局域网内定位染毒主机、预防和清除该类病毒的简单有效的解决方案。 

关键词:ARP;病毒;MAC地址 

中图分类号:TP393.08 文献标识码:A 

t 

文章编号:1672-612x(2007)02-0116-.04 

0 引言 

ARP,全称Address Resolution Protocol,中文名为地址解析协议,它工作在数据链路层,在本层和硬件接 

口联系,同时对上层提供服务。在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC 

地址)…。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网 

络中产生大量的ARP通信量使网络阻塞。 

IP数据包通过以太网发送,以太网设备并不识别32位IP地址,它们是以48位以太网地址传输以太网 

数据包。因此,必须把IP目的地址转换成以太网目的地址。在以太网中,一个主机要和另一个主机进行直 

接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析 

协议(即ARP)获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。 

ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。 

1 ARP的工作原理【2 J 

首先,每台主机都会在自己的ARP缓冲区(ARP Cache)中建立一个ARP列表,以表示IP地址和MAC 

地址的对应关系。 

其次,当源主机需要将一个数据包发送到目的主机时,会首先检查自己ARP列表中是否存在该IP地址 

对应的MAC地址,如果有,就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP 

请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、 

以及目的主机的IP地址。 

第三,网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。 

如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列 

表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个ARP响应数据包,告诉对 

方自己是它需要查找的MAC地址。 

第四,源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的 

ARP列表中,并利用此信息开始数据的传输。 

收稿日期:2006・12-02 

作者简介:李勇(1975一 ),男,讲师,硕士。研究方向:信息系统与信息管理。 

维普资讯

第2期 李勇:ARP欺骗木马病毒分析与防御研究 ・117・ 

ARP协议的工作过程如下图所示: 

①发送广播报义,询问主qLB 

的lP地址与物理地址映射关系 

主机A 主机× 主机B 主机Y 

②发送响应报文,回答主机B 

的lP地址与物理地址映射关系 

图1 ARP工作过程 

2 ARP欺骗木马病毒攻击原理 

ARP木马病毒欺骗攻击的实质是:伪造源MAC地址发送ARP响应包,对ARP高速缓存机制进行攻 

击 J。详解如下: 

每个主机都用一个ARP高速缓存存放最近IP地址到MAC硬件地址之间的映射记录。MS Windows高 

速缓存中的每一条记录(条目)的生存时间一般为6O秒,起始时间从被创建时开始算起。 

默认情况下,ARP从缓存中读取IP—MAC条目,缓存中的IP—MAC条目是根据ARP响应包动态变化 

的。因此,只要网络上有ARP响应包发送到本机,即会更新ARP高速缓存中的IP—MAC条目。 

ARP协议并不只在发送了ARP请求才接收ARP应答。因此当计算机接收到ARP应答数据包的时候, 

不管这个ARP应答数据包是否自己请求的,它都会对本地的ARP缓存进行更新,将应答中的IP和MAC地 

址存储在ARP缓存中。 

假设局域网网关是C,其IP地址是192.168.10.3,MAC地址是:00一A0一E3一B4~18—2C,局域网内 

所有主机的ARP缓存都存有网关c的IP—MAC映射记录,局域网内所有信息都经由网关c发送到外网,这 

是没有染毒时的情况。如果局域网内的B主机感染了ARP欺骗木马病毒,染毒主机B就会向主机A发送 

个自己伪造的ARP应答,而这个应答中的数据中发送方IP地址是192.168.10.3(这是网关C的真实IP 

地址,但现在是由染毒主机B伪造到数据包里面的),MAC地址是18—23—58一C4—26—37(网关C的 

MAC地址本来应该是OO~A0一E3一B4—18—2C,这里染毒主机B将自己的MAC地址伪造进数据包里)。 

当主机A接收到主机B伪造的ARP应答,就会更新本地的ARP缓存,从此主机A上发出的所有信息就被伪 

造的网关主机B所截获,主机B上的木马病毒就可以捕获主机A所有的上网数据信息。使用上述方法,染 

毒主机B可以欺骗局域网内所有主机,让所有上网的流量必须经过病毒主机,从而达到窃取重要信息的目 

的 。 

3 ARP欺骗木马病毒的发作症状 

局域网内被ARP木马病毒欺骗成功的主机在将真正的网关IP切换为病毒主机的IP时,该机器会瞬间 

断网一次。如果某ARP木马病毒以盗取银行帐号、QQ帐号、游戏服务器帐号等为目的,它就会频繁制造瞬 

间断网现象,以诱使用户多次输入帐号信息,由于所有信息都将被病毒主机捕获,病毒就有可能窃取出帐号 

维普资讯

ll8・ 绵阳师范学院学报(自然科学版) 第26卷 

等重要信息。 

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力 

的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切 

换过程中用户会再断一次线。 

近来绵阳师范学院各计算机实验室以及绵阳市内多家单位都反映上网频繁掉线,在排除硬件故障的情 

况下,基本上均是ARP木马病毒造成的。 

4 AI 欺骗木马病毒的定位与清除 

在局域网中受影响的客户机上,于“开始”一“程序”一“附件”菜单下调出“命令提示符”。输入并执行 

以下命令:ARP—A,在回馈信息中会发现重复MAC地址。该MAC地址对应的即为使用染毒的计算机。而 

重复的地址就是被arp欺骗后的网关地址。此时可根据MAC地址前的IP地址查找该计算机并采取有效手 

段关闭程序。如果在运行该程序前,该机IP地址已经被更改,则需通过对应的MAC列表查找该物理网卡所 

存在的计算机。 

知道了使用ARP欺骗木马的主机的MAC地址后,可以使用NBTSCAN工具来快速查找它。NBTSCAN 

可以取到PC的真实IP地址和MAC地址,如果有ARP欺骗木马病毒在做怪,可以找到装有木马的PC的IP 

和MAC地址。NBTSCAN可到http://www.utt.com.cn/upload/nbtscan.rar下载 J。 

假设查找一台MAC地址为“00A012345679”的病毒主机。 

1)将压缩包中的nbtscan.exe和cygwin1.dU解压缩放到C:\nbtscan下。 

2)在Windows开始一运行一打开,输入cmd,在出现的DOS窗口中输入:nbtscan—r 192.168.1.0/24 

(搜索整个192.168.1.0—192.168.1.254网段,可根据实际要搜索的网段输入),回车。屏幕显示如下: 

C:\nbtscan>nbtscan—r 192.168.1.0/24 

Warning:一r option not supported under Windows.Running without it. 

Doing NBT nalne scan for aYYresses from 192.168.1.0/24 

IP address NetBIOS Name Server User MAC address 

192.168.1.0 Sendto failed:Cannot assign requested aY-Yress 

192.168.1.101 F3BOBD9101B6419 <server> unknown 00一ll一43—39—0l一60 

192.168.1.102 C4B926CE77C244l 

192.168.1.126 test 

<server> unknown 52—54一AB—AO—D7一E3 

<server> unknown 00一AO一12—34—56—79 

3)从上面的IP一一MAC对应表,可以查出“00A012345679”的病毒主机的IP地址为“192.168.1.126”。 

接下来我们就可以通过IP地址找到对应的病毒主机,然后利用反病毒软件杀除病毒。网管员应保留一 

份网内机器名、IP地址、MAC地址的对应表,以方便未来的工作。 

5 AI 欺骗木马病毒的预防 

1)绑定网关,避免被病毒欺骗。如工作站采用xp/2k3操作系统,可逐台执行”ARP—S网关IP网关 

MAC”来绑定网关的IP地址。可以把局域网内所有网关的绑定命令生成arp命令批处理文件,有条件的把 

文件放置于公共服务器,每个终端在启动中调用此文件,达到网关MAC绑定作用 。 

2)绑定工作站。使用可防御ARP攻击的三层交换机,绑定端El—MAC—IP,限制ARP流量,及时发现 

并自动阻断ARP攻击端口,合理划分VLAN,彻底阻止盗用IP、MAC地址,杜绝ARP的攻击。 

维普资讯

第2期 李勇:ARP欺骗木马病毒分析与防御研究 ・ll9・ 

3)对于经常爆发病毒的网络,进行Intemet访问控制,限制用户对网络的访问。此类ARP攻击程序一般 

都是从Internet下载到用户终端,如果能够加强用户上网的访问控制,就能极大的减少该问题的发生。 

4)利用工具软件监测网络,发现异常,立即处理。Anti ARP Snifer软件可以监测局域网中每台计算机 

发出的ARP协议包,一旦发现有机器发送过量的ARP协议包,就可以初步断定该机器染有ARP欺骗木马病 

毒,从而可以有的放矢地检测和清除病毒。 

参考文献: 

[1] 王达.网管员必读一网络安全[M].北京:电子工业出版社,2005:l1. 

[2]任泰明.TCP/IP协议与网络编程[M].武汉:武汉大学出版社,2005:5. 

[3] 范敏.电子政务的信息安全与对策[J].绵阳师范学院学报,2006,25(2):91—94. 

[4]仇宇.Internet网络安全与防火墙技术的探讨[J].绵阳师范学院学报,2004,23(5):31—35,42 

[5] 吴文铁.校园网Web资源建设与安全的研究[J].绵阳师范学院学报,2003,22(02):36—4O. 

[6] (美)布拉格著.网络安全完全手册[M].程代伟译.北京:电子工业出版社,2005:10. 

A Defense Research on the ARP Deceit of Trojan Horse Virus 

LI Yong 

(Department of Economyl and Management Science,Mianyang Normal University,Mianyang,Sichuan 62 1000) 

Abstract:By introducing ARP agreement and its principle of work,the paper points out that the ARP deceit 

of Trojan Horse virus practices its deceit by way of dummy gateway to get all the surfing data and to stem important 

information from the host computer in the L N.After analyzing the paroxysm symptom of this kind of virus.this 

paper gives out a simple but efficient salvation for the location of the polluted host computer in the LAN,SO as to ef- 

fectively prevent and eliminate this kind of virus. 

Key words:ARP;virus;MAC address