2024年3月20日发(作者:)

科技信息 。本刊重稿0 SCIENCE&TECHNOLOGY INFORMATION 2011年第33期 

机房防御ARP病毒攻击的策略 

江芝蒙侯翔 

(四川文理学院现代教育技术中心 四川 达州635000) 

【摘 ̄]AIkP病毒是机房局域网中常见的一种病毒,本文通过对ARP病毒的工作原理、典型现象、处理方法和预防措施进行了深入的探 

讨和研究,希望能对其他的机房维护人员在防范AI:LP病毒方面提供一定的参考。 

【关键 ̄]ARP病毒;机房;局域网;防御 。: 

0引言 

ARP协议具有动态性、无序性、无记忆性、元安全管理等特性,这也是 

ARP攻击的基础。 

高校教学机房是学校计算机及相关课程实验教学、课程设计、毕 

2.3 ARP病毒的欺骗分类 

业设计及学生自学计算机科学知识、提高计算机操作技能、应用能力 

ARP欺骗的分类从影响网络连接通畅的方式来看.可以分为二 

的主要场所.教师经常会在计算机机房进行授课.并且根据课程安排 

种:一种是对路由器ARP表的欺骗:另一种是对内网PC的网关欺骗 

需要连接到INTERNET上进行实际操作。但是很多时候经常会出现一 

第一种ARP欺骗是通过截获网关数据实现的。它通知路由器一系列 

种情况:学生机不能够连接网络.或者网络时断时续.通过重启路由 

错误的内网MAC地址,并按照一定的频率不断进行。使真实的地址信 

器,网络又恢复正常,但很快故障又发生了。究竟是什么原因导致出现 

息无法通过更新保存在路由器中.结果路由器的所有数据只能发送给 

这种现象呢?作为一名机房的维护人员.笔者经过反复研究和测试,发 

错误的MAC地址.造成正常网内主机无法收到信息 第二种ARP欺 

现这是典型的ARP攻击,或者也称为ARP病毒。下面对机房局域网 

骗是通过伪造网关实现的。它的原理是建立假网关,让被欺骗的主机 

的ARP病毒欺骗原理和防治方法作简要分析研究 

向假网关(其实是局域网内一台被感染ARP病毒的普通电脑)发送数 

据,而不是通过正常的路由器途径上网。由于假网关处理速度和本身 

1 ARP病毒简介 

不断地在滥发广播消息.相对网内其他Pc而言.该!PC是无法登陆网 

ARP病毒并不是某一种病毒的名称.而是对利用ARP协议的漏 

络的了。 

洞进行传播的一类病毒的总称。ARP协议是TCP/IP协议组的一个协 

2.4 ARP病毒的故障现象 

议.用于进行把网络地址翻译成MAC地址 通常此类攻击的手段有两 

当局域网内某台主机运行ARP欺骗的木马程序时.会欺骗局域 

种:路由欺骗和网关欺骗。ARP病毒是一种入侵电脑的木马病毒,对电 

网内所有主机和路由器.让所有上网的流量必须经过病毒主机 其他 

脑用户私密信息的威胁很大 

用户原来直接通过路由器上网现在转由通过病毒主机上网.切换的时 

ARP(Address Resolution Protoco1)的中文名称为“地址解析协议”. 

候用户会断一次线。切换到病毒主机上网后,假如用户已经登陆了某 

它的运行方式比较简单,整个过程是由ARP请求(ARP Request)与 

些服务器.那么病毒主机就会经常伪造断线的假像.那么用户就得重 

ARP应答(ARe Reply)NJ种信息包所组成。网络常识告诉我们,数据链 

新登录服务器。这样病毒主机就可以盗号了。 

路层在传递信息包时.必须利用数据链路层地址(例如:以太网卡的 

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致 

MAC地址)来识别目标设备;网络层在传递信息包时,必须利用网络层 

局域网通讯拥塞以及其自身处理能力的限制.用户会感觉上网速度越 

地址(例如:IP地址)来识别目标设备。通俗来说,当我们在网络中利用 

来越慢 当ARP欺骗的木马程序停止运行时.用户会恢复从路由器上 

IP地址传递信息包时.必须要知道目标的MAC地址.这项工作就由 

网.切换过程中用户会再断一次线。 

ARP完成。 

防御策略 

由于ARP的请求信息包为以太网广播信息包.即ARP请求无法 

3 ARP病毒的 

通过路由器传送到其他网络 因此.ARP仅能解析同一网络内的MAC 

3.1机房局域网可采用IP与MAC绑定 

地址.无法解析其他网络的MAC地址。 

在Pc端上通过IP地址和MAC地址的绑定.在网络交换设备上 

采用IP和MAC的端口绑定 而ARP欺骗是通过ARP的动态实时的 

2 ARP病毒欺骗原理 

规则欺骗内网计算机.所以把ARP全部设置为静态可以解决对内网 

2.1 ARP病毒原理 

计算机的欺骗.同时在网关也要进行IP和MAC的静态绑定.这样的 

ARP病毒是一种木马程序.其本质就是利用ARP本身的漏洞进 

双向绑定可以在一定程度上解决问题 

行ARP欺骗.即通过伪造IP 

MAC 

地址实现 

ARP 

欺骗.在网络中产

但是这两种方法也不能完全杜绝ARP欺骗.内网计算机上所设 

生大量的ARP通信量使网络阻塞.或使信息流向错误的服务器.从而 

置的静态ARP项还是会被ARP欺骗所改变。而网络设备上只作IP和 

使个人主机无法收到信息 

MAC地址的绑定,也是不安全的。假如同一层下的某台机器发送伪造 

2.2 ARP病毒的欺骗过程 

的ARP reply给网关.但是源IP和源MAC地址都是欲攻击的那台主 

ARP协议的基础就是信任局域网内所有的用户.也就是说它的 

机的.还是会造成网络把流量送到欺骗者所连的那个物理端口.从而 

假设前提是:局域网中任何一台电脑.其发送的ARP数据包都是正确 

造成网络故障。 

的。那么这样就很危险了!因为实际上.局域网内并非所有的计算机都 

3.2采用Super Vlan或Pvlan技术 

能安分守己,往往会有非法者的存在。在实际操作中,由于局域网内部 

Super VLAN也被叫做VLAN聚合.这种技术能够在同一个子网 

的拓扑结构一般都为总线型.也就是说当A主机发送广播数据包时. 

中生成出多个Sub VLAN,而将整个IP子网指定为一个VLAN聚合 

除了B主机以外,局域网内的其他主机也会同时收到此数据包,只不 

(super VLAN),所有的Sub VLAN都使用Super VLAN的默认网关IP 

过其他主机对该数据包进行了屏蔽.不会作出回应。但如果有一台主 

地址.不同的Sub VLAN仍保留各自独立的广播域 子网中的所有主 

机C主动在B主机向A主机发回数据包之前.抢先发回了数据包。由 

机只能与自己的默认网关通信 如果将交换机的每个端口化为一个 

于协议中并没有规定ARP缓存表对接收到的ARP数据包的正确与 

Sub VLAN,则实现了所有端口的隔离.也就避免了ARP欺骗。 

否进行审查.这时A主机ARP缓存表中B主机的IP、MAC地址就被 

PVLAN即私有VLAN(Private VLAN).PVLAN采用两层VLAN隔离 

C主机的地址所假冒 从而导致A主机的数据包被发向C主机.而B 

技术.只有上层VLAN全局可见,下层VLAN相互隔离。如果将交换 

主机却没有接收到数据 

机的每个端口划分成为一个子VLAN.就能够实现所有端口之间的隔 

通过以上分析可知.ARP工作的原理不需要通过双方互相的验 

离。 

证.仅仅是建立在双方互相信任的基础上.另外映射关系不是持久的, 

PVLAN和Super VLAN技术都能够实现端口之间的隔离.但实现 

是有存在时间的.而且不会去记忆是否曾经发送过请求报文。因此 

的方式和出簏 是不同的。PVLAN是为了节省VLAN,(下转第25页) 

_

科技信息 0本刊重稿O SCIENCE&TECHNOLOGY INFORMATION 2011年第33期 

3仿真结果与分析 

在对噪声抑制方面有很大的优势,在去噪的同时,边缘检测效果良好。 

通过实验对比,也可以发现阈值越过小,检测的结果中含有很大 

我们在lena的原始图像中加入高斯噪声( =0,0-2=0.o1),然后运 

的噪声干扰,但如果阈值过大,很多细节上的边缘都检测不出来,因此 

用经典边缘检测方法和模极大值法分别进行边缘的提取.实验结果如 

小波模极大值还有很多要改善的地方。 ・ 

图3.1。 

●■■ 

■■■ 

噪声图像 Sobel检测Laplace检测 

Canny检测 模极大值检测,阚值=0.25模极大值检测,闽值:0.15 

【参考文献】 

l 1 JChow C K.Kaneko Boundary detection of radiographic images by a threshold 

method[M].ED.New York:Academic,1972. 。 

【2 JCanny J.A Computational Approach to Edge Detection[J].班EE Tram?on 

Pattern Analysis and Machine Intelligence,1986,8(1):679-697. l { 

[3Is.Mallat.A theory for multiersolution signal decomposition:the wavdet 

representation IEEE Trans Oll Pattern Analysis and Machine Intelligence,1989,1 1 

 ̄):674-693. 

【4js.Mallat,S.Zhong.Characterization of sinalgs From Multiscales Edges田. 

IEEE Trans on Pattern Analy8is and Machine Intelligence,1992,14(7):7l0—732. 

[5]彭玉华.小波变换与工程应用[M】.北京:科学出版社,1999. 

[6]李牧,藏希拮,闫继宏,等.基于类内方差最小化及模糊控制算法的小波边缘 

检测技术.电子学报,2008,36(9):1741—1745. 

L7 JJ.F.Canny.A Computaitonal Approach to Edge Detection.IEEE Trans.PaR ̄n 

Ana1.Machine Inte1 l,1986,8(6):679—698. 

作者简介:王彬,毕,l-I-中国海洋大学,获硕士研究生学位,目前研究方向 

图3.1各种方法的边缘检测效果 

为图像处理、模式识别、信号与信息处理。 

由实验结果可以看出,经典算子对于边缘的定位比较准确,运算 

速度快,但是对于噪声极其敏感。Canndy算子本身对于边缘过于敏 

感,因此受噪声的影响最大,边缘信息淹没于噪声中。其他方法虽然略 

优于Canndy算子,但是边缘信息亦不完整。而本文选用的模极大值法 

※基金项目:山东省自然科学基金(ZR2OI OFLO07)。 

t 

。 [责任编辑:■明明】 

(上接第12页)5高校班主任工作评价的方法 

高校班主任工作的评价.可以采取自评与他评相结合.定期与不 

[1]贺芳.高校班主任绩效考核评估模型研究.北京机械工业学院学报,2008(3) 

【参考文献】 

定期相结合的方法.按照自我评价、民主评议、答辩、打分、反馈、整改 

的考核评价程序进行.将各方面积极的因素都充分的调动起来.或以 

班级为单位,或以年级为单位.提供一个评价他人和反省自己的空间. 

80. 、 

※基金项目:东北林业大学大学生日常思想政治教育研究项目基 

,. 

督促他人的同时能够更加严格的要求自己。对于考核评价的结果要充 

金资助。项目批准号2009X8C0002。 

分利用.针对出现的共性或个性问题.分别采取普遍调整和个别教育 

的方式进行整改.严格高校班主任管理.加强高校班主任教育。提高高 

[责任编辑:王爽] 

校班主任的素质,为大学生成长成才作出贡献。l 

(上接第27页)而SuperV1an则是为了节省IP地址。 

【参考文献】 

[1]闰实,等.高校校园ARP病毒欺骗原理及防御方法叨.网络安全技术与用 

3_3使用软件 

06:48,73. 

对于计算机不是很熟悉的老师和同学.最好使用软件来解决ARP 

2010,

谈构建完善的校园网防范ARP攻击[J].硅谷,2010,7:65. 

中毒问题。推荐使用ARP防火墙和ARP卫士。ARP防火墙是基于IP 

[2]李振强-

[3]于佳.浅谈ARP欺骗原理与防范 中国校外教育,2010,10:163. 

地址和MAC地址的绑定.使用简单。适用于普通的ARP欺骗。如果用 

ARP防火墙依然不能解决问题的话.也可以使用ARP卫士.ARP卫士 

通过底层核心驱动能很好解决ARP欺骗、攻击问题。 

[4]王玉伟,沈国梁.浅议校园网中ARP攻击及其防护措施啊.科技信息,2010,17 

6o. 

[5]方向丽.浅谈局域网的ARP病毒攻击和防范叫.网络与信息,2010,2:52—53. 

作者简介:' ̄At(198t--),男,汉族,四川渠县人,研究方向为网络安全管 

理维护。 

4结语 

计算机病毒技术和反病毒技术都是呈现螺旋式发展的趋势.互为 

f ̄(1983-'-),男,四川达州人,助教,研究方向为计算机应用及软件开发。 

促进。没有任何一种反病毒技术手段可以使我们高枕无忧.而技术手 

段也仅仅只是一种方法。在对付计算机病毒最根本的方法仍然是预防 

※科研项目:I ̄tJII文理学院2009年度院级科研项目。项目编号 

为主.这就要靠一套行之有效的、严格的法律、法规和章程制度及措施 

0Z;四川文理学院2010年度院级科研项目。项目编号 

来保障.其核心是人.要使用计算机文化来约束自己的行为,不要使 

2009B1

用、传播非法的、来历不明的软件。l 

201 0B07Z。 

[责任编辑:王静]