2024年3月20日发(作者:)
维普资讯
第2O卷第O4期
农业图书情报学刊
Vo1.2O.NO.04
2008年O4月
Journal of Library and Information Sciences in Agriculture
Apt.2008
图书馆局域网防ARP病毒攻击方法探讨
管荣荣.罗红飞
(湖南科技大学图书馆,湖南湘潭411201)
摘 要:ARP病毒攻击在图书馆局域网中经常出现,这种病毒清理和防范比较困难,不少网络管理员对此感到困
扰。在图书馆以电子阅览室受害最为明显,影响也较大,给读者和工作人员带来诸多不便。为避免或尽量减少因
ARP病毒攻击造成的影响,笔者对ARP病毒的症状、攻击原理及处理办法等几个方面作了粗浅的探讨。
关键词:图书馆;局域网;ARP病毒;病毒防范
中图分类号:TP393.1:TP393.08 文献标识码:B 文章编号:・1002—1248(2008)04—0026-04
Study on Methods to Prevent the Attack bv ARP Virus in Library LAN
GUAN Rong-rong.LUO Hong—fei
(Library,Hunan University of Science and Technology,Xiangtan 41 1201,China)
Abstract:The attackofARP virus often appearsinlibraryLAN Itisdiifcultto cleanup andpreventvirus attacks.Inorderto
solve this problem,many network administrators feel puzzled.The library electronic reading rooms received great and signiif-
cant injury,which renders enormous inconveniency ot readers.In order to avoid and reduce the effect of ARP virus attacks,
hte authors ofthis paper has studied the symptoms ofARP virus and principle ofARP ivres attacks and methods to deal with
ARP virus attacks.
Key words:libraries;LAN;ARP virus;vires prevention
现在通过网络传播的病毒越来越多,不但传播的
上网(无法ping通网关);上网速度变慢、网络时断
途径多而且速度很快,危害和破坏性也越来越大,文
时续、反复掉线、Ⅲ浏览器频繁出错、或突然不能
件传输、网络资源共享、电子邮件甚至浏览网页都可
上网,过段时间又能上网;在IP地址设置正常的情
能感染病毒。ARP病毒攻击在局域网中就很常见, 况下,可能电脑会显示“IP地址冲突”;重启计算机
这种病毒清理和防范比较困难,不少网络管理员对此 或在MSDOS窗口下运行命令ARP—d后,又可恢复
感到困扰。特别在图书馆局域网中,以电子阅览室受 上网一段时间;有时访问网上邻居也不正常,拷贝文
害最为明显,影响也较大,有时整个网段几百台计算 件无法完成,出现错误,一些常用软件出现故障;局
机工作很不正常,或者彻底无法上网,有时学校网管 域网内的ARP包爆增,使用ARP查询的时候会发现
中心为了保证校园网其他网段不受影响,只得将中毒 不正常的MAC地址,或者是错误的MAC地址对应,
网段关闭,给读者和工作人员带来诸多不便。为避免
或者出现一个MAC地址对应多个IP的情况Ⅲ;网络
或尽量减少因ARP病毒攻击造成的影响,笔者根据
用户在使用计算机过程中,突然发现无法上网,采取
自己的工作经验对ARP病毒的症状、攻击原理及处
先禁用网卡,然后再启用,若启用后能够上网,很可
理办法等作了粗浅的探讨。
能是ARP病毒所致;如果点击“开始”按钮->选择
“运行”一>输入“arp—d”一>点击“确定”按钮,然
1 ARP病毒的症状
后重新尝试上网,若能恢复正常,则说明此次网络掉
在局域网中,原本可以正常上网的计算机,当被 线也可能是受ARP欺骗攻击所致[2]。
ARP病毒攻击后,常常出现以下不正常的现象:使
用身份认证上网的用户,能够通过认证,但不能正常
2 ARP攻击的原理
收稿日期:2007.12.24
作者简介:管荣荣(1964.),女,馆员,发表论文数篇;罗红飞(1972一),女,助理馆员。
维普资讯
第O4期 管荣荣等:图书馆局域网防ARP病毒攻击方法探讨 27
P—MAC条目,造成网络中断或中间人攻击l5j。
ARP f AddressResolutionProtoco1)即地址解析协
I
议.用于将计算机的网络地址(IP地址32位)转化
ARP病毒就是通过伪造IP地址和MAC地址实
为物理地址(MAC地址48位)。ARP协议是属于链
现ARP欺骗,能够在网络中产生大量的ARP通信量
路层的协议,在以太网中的数据帧从一个主机到达网
使网络阻塞,进行ARP重定向和嗅探攻击,使内网
内的另一台主机是根据48位的以太网地址(硬件地
PC机的ARP表混乱同。
址)来确定接KI的.而不是根据32位的IP地址。内 当局域网内某台主机运行ARP欺骗木马程序时,
核(如驱动)必须知道目的端其硬件地址才能发送数
会欺骗局域网内所有主机和路由器,让所有上网的流
据,点对点的连接不需要ARP协议l3j。
从IP地址到物理地址的映射有表格方式和非表
格方式两种。具体来说就是ARP将网络层(IP层)
地址解析为数据连接层(MAC层)的MAC地址。
当某主机A要向主机B发送报文,会查询本地的
ARP缓存表,找到B的IP地址对应的MAC地址后,
就会进行数据传输。如果未找到,则广播A一个
ARP请求报文(携带主机A的IP地址和MAC地
址),请求IP地址为IPb的主机B回答物理地址
MACb。网上所有主机包括B都收到ARP请求,但
只有主机B识别自己的IP地址,于是向主机A发回
一
个ARP应答。其中就包含有B的MAC地址,A
接收到B的应答后,就会更新本地的ARP缓存。接
着使用这个MAC地址发送数据。因此,本地高速缓
存的这个ARP表是本地网络流通的基础,并且是动
态的。
当然当计算机A接收到B的应答后,就对本地
的ARP缓存进行更新.并将应答中的IP和MAC地
址存储在ARP缓存中,但随之会带来问题,因为如
果当B向A发送一个由自己冒充C而伪造的ARP应
答.即IP地址为C的IP,而伪造了MAC地址,则
当A接收到B伪造的ARP应答后,就会更新本地的
ARP缓存并进行保存,此时A并不清楚被伪造了。
这样在A看来C的IP地址没有变,而它的MAC地
址已不是原来的MAC了。由于局域网是根据MAC
地址而不是IP进行数据传输的,所以,那个伪造出
来的MAC地址在A上被改变成了一个不存在的
MAC地址,这样就会造成网络不通.导致A不能
Ping通C 。
每个主机都用一个ARP高速缓存存放最近IP地
址到MAC硬件地址之间的映射记录。默认情况下,
ARP从缓存中读取IP—AMC条目,缓存中的IP—MAC
条目是根据ARP响应包动态变化的。因此,只要网
络上有ARP响应包发送到本机,即会更新ARP高速
缓存中的IP—AMC条目。攻击者只要持续不断的发出
伪造的ARP响应包就能更改目标主机ARP缓存中的
量必须经过病毒主机。其他用户原来直接通过路由器
上网现在转由通过病毒主机上网,切换的时候用户会
断一次线 由于ARP欺骗的木马程序发作的时候会
发出大量的数据包导致局域网通讯阻塞以及其自身处
理能力的限制,用户会感觉上网速度越来越慢。当
ARP欺骗木马程序停止运行时,用户会恢复从路由
器上网.切换过程中用户会再断一次线l7j。
ARP欺骗从影响网络连接通畅的方式来看,分
为二种,一种是对路由器ARP表的欺骗;另一种是
对内网PC的网关欺骗。第一种ARP欺骗的原理
是——截获网关数据。它通知路由器一系列错误的内
网MAC地址,并按照一定的频率不断进行,使真实
的地址信息无法通过更新保存在路由器中,结果路由
器的所有数据只能发送给错误的MAC地址,造成正
常PC无法收到信息。第二种ARP欺骗的原理
是——伪造网关。它的原理是建立假网关,让被它欺
骗的PC向假网关发数据,而不是通过正常的路由器
途径上网。在PC看来,就是上不了网了, “网络掉
线了”嘲
3防AFIP病毒攻击的方法
防病毒关键还在于这个“防”字,要做好这个
“防”字,平时就应做好以下几步:
3、1及时打好安全补丁
windows系统因为在设计时尚有未考虑周全而存
在一些安全漏洞,或称安全缺陷,这些漏洞一旦被恶
意用户利用,就会造成信息泄漏、不明原因死机、文
件丢失、不能上网或系统破坏等,若为网络服务器操
作系统漏洞则网站可能遭黑客攻击。
目前已知的windows2000漏洞有:输入法、MS
SOL Server的SA空密码、系统管理权限、安全帐户
管理、SQL Server的函数库、快捷方式、域帐号锁
定、组策略等许多漏洞。而Windows XP系统也有
如:UPNP服务、升级程序、帮助和支持中心、压缩
文件夹、热键、帐号快速切换等多个漏洞[91。这些漏
洞对用户来说是严重的安全隐患。很多病毒的流行,
维普资讯
农业图书情报学刊:网络技术 第20卷
大都利用了微软操作系统中的漏洞或后门,因此打好 分区或整个硬盘直接备份到一个扩展名为.gho的镜像
安全补丁显得十分重要。
文件里,在需要时又可把保存的镜像文件恢复到相应
3.2安装和更新杀毒软件 的分区或硬盘中,从而起到保护硬盘的作用。图书馆
为保证计算机系统的安全,尽管对系统打了补 大多有电子阅览室,而且计算机数量较大,少的几十
丁,但安装杀毒软件也是十分必要的。因为毕竟还有 台,多的几百台,安全维护是一项巨大而繁锁的任
很多漏洞可能未被揭示,何况无数黑客正不遗余力地 务,使用GHOST可节省因重复安装系统而耗费的许
将病毒或恶意程序通过各种途径和方式入侵我们的计
多宝贵时间,大大减轻维护工作量,它是电子阅览室
算机。当然对杀毒软件也应注意以下几点:
计算机维护必不可少的优秀工具软 。
(1)选好杀毒软件在Windows时代,杀毒软件
3.5安装A1LP防火墙
必须具有查解32位病毒的能力,应能准确处理运行 3.5.1安装ARP防火墙单机版
在Windows 95/98/NT下的PE文件、32位驱动程序
该软件原名“Anti ARP Sniffer”,采用全新系统
的文件、Os/2下的LX文件,迅速查解包括CIH在
内核层拦截技术,能彻底解决所有ARP问题,突破
内的各种病毒和Trojan。除此以外,一个好的杀毒软
传统拦截技术,在受到攻击时网络仍然正常通讯,彻
件至少应该具有以下技术功能:内存解毒、查解变体
底解决在受到攻击时出现的丢包现象,自动拦截并防
代码机和病毒制造机制、虚拟机技术、未知病毒预 御各类ARP攻击程序、ARP病毒、ARP木马,通过
测、在线监控、实时解毒、病毒源跟踪、压缩还原技 智能分析抑制所有ARP恶意程序发送虚假数据包。
术、应急恢复、多平台支持、网络反病毒、检测病
自动识别所有ARP攻击程序,快速定位局域网ARP
毒数量、以及友好的用户界面、快速的在线升级、简 攻击者,能自动统计ARP广播包发送接受数据。
单易用的特性等【Ⅻ。
3.5.2安装ARP防火墙网络版
(2)升级杀毒软件由于新病毒的出现无论在种 在使用ARP防火墙网络版时要注意以下几个方
类还是数量上,都让人难以预料,定期或不定期访问
面: (1)要在局域网全部计算机安装本软件才能彻
一
些在线安全站点,获取最新的安全资料,升级杀毒
底解决ARP问题; (2)建议在ARP防火墙服务端
软件。对于防毒是很有必要的。
同时安装ARP防火墙客户端程序,以防止服务端受
(3)定期扫描系统让计算机干净无病毒的运行
到攻击导致客户端无法正常上传数据; (3)ARP防
是计算机用户所希望的,要做到这一点除了要注意使 火墙单机版与ARP防火墙网络版客户端不能同时使
用安全外,还应定期扫描整个系统。 用; (4)建议客户端使用密码验证以及热键呼出,
3.3做好硬盘保护
以防止客户端关闭软件; (5)安装ARP防火墙网络
硬盘还原卡或还原软件是实现单机保护、实时监
版网关IP/MAC要设置为自动获取,以免更换网关设
控、随时或定时立即还原的一种专用插卡或保护软 备需要重新修改。
件。由于它们可以对计算机系统和数据起到保护作
在ARP防火墙网络版服务端可按以下方法查找
用.确保系统及管理软件的正常运行,杜绝绝大部分 攻击者:运行服务端目录下的MacScan.exe,扫描 与
病毒和木马的入侵,方便维护,因此被广泛应用于各
MAC对应的列表,完成后按保存即可,该程序支持
种单机或网络环境。常见的还原卡品牌有华苏、远
自定义IP与MAC对应列表,IP与MAC地址的格式
志、金盾、小哨兵、蓝沙、三茗等,而还原软件也有
为: IP:MAC, 比如192.168.67.113:11—22—33.44—
如还原精灵、冰点还原等。图书馆电子阅览室最适宜
5D一66,当发现11.22—33—44—5D.66 AMC地址进行欺
于用这种方式来保护计算机的系统,它将使电子阅览 骗的时候,软件会显示192.168.67.113的计算机发送
室的计算机维护管理更加安全、方便和快捷【“】。
ARP欺骗包,自定义的IP对应列表保存在软件安装
3.4做好系统备份
目录下即可,名称为mac.txtt 】。只要找准了发送
,尽管打了补丁,装了杀毒软件,也做了硬盘保
ARP欺骗包的计算机就可很方便地以该机进行处理
护,但网上病毒的肆虐以及学生读者中也不乏计算机
了。
“高手”.电子阅览室计算机的系统还是经常被破坏。
3.5-3安装网络执法官
因此做好系统备份也是系统维护的重要一环。Ghost 网络执法官即“长角牛网络监控机”的原名,是
是系统备份和还原的方便快捷的常用软件。它可以将
一
款局域网管理软件。只需在局域网内的一台普通计
维普资讯
第O4期 管荣荣等:图书馆局域网防ARP病毒攻击方法探讨
算机上运行,即可穿透各用户防火墙,监控整个网络
的连接情况.其主要功能有:禁止未经确认的网卡接
参考文献:
]liangniu007.ARP中毒的症状[OL].http://zhidao.baidu.
入网络,提高整个局域网安全性;监控各用户所用
[1
IP,防止IP盗用;实时检测各用户的IP、MAC、主
可限定各用户的权限,包括所用的IP范围(实现静态
com/question/3 l 5 ll 508.htm1.2007-07-26.
2]AI 病毒故障现象诊断及排除[OL].http:llwww.oily.org/224.
机名并记录以供查询;以网卡作为识别用户的依据,
[
htm1.2007.06.25.
3]佚名.ARP协议分析[OL].http://publish.it1 68.com/2007/06 14/
IP.MAC绑定)、上线的时段等;保护指定主机,防止
[
被木马、病毒或恶意程序施行ARP欺骗,保护局域
20070614l30001.shtm1.2007.06.14.
网中各用户的网络安全及畅通等。
3.6临时处理办法
在遇到ARP攻击时也可采取以下临时办法进行
处理: (1)在能上网时,进入MS.DOS窗口,输入
命令:ARP—a查看网关IP对应的正确MAC地址,
将其记录下来。如果此时已经不能上网,则先运行一
次命令ARP—d将ARP缓存中的内容删空,计算机
可暂时恢复上网(攻击如果不停止),一旦能上网就
立即将网络断掉(禁用网卡或拔掉网线),再运行
ARP—a。 (2)如果已经有网关的正确MAC地址。
在不能上网时,手工将网关IP和正确MAC绑定.
可确保计算机不再被攻击影响。手工绑定命令为:
ARP—S网关IP网关MAC。在MS.DOS窗口下执
行。绑定完.可用ARP—a查看ARP缓存,可以看
出类型由动态(dynamic)变为了静态(static),就不
会再受攻击影响了。但是,手工绑定在计算机关机重
启后就会失效,需要再绑定。因此。要彻底根除攻
击,只有找出网段内被病毒感染的计算机,将其进行
杀毒处理才能解决。找出病毒计算机的方法:如果
已有病毒计算机的MAC地址,可使用NBTSCAN或
者NETROB0COP软件找出网段内与该MAC地址对
应的IP,即病毒计算机的IP地址,对其进行查封或
杀毒处理 ]
[4]rksdyvstar.AI 是什么东西[OL].http://zhidao.baidu.
corn/question/t3845304.htm1.2006-10-14.・
[5]peanut ̄ro.AI 病毒攻击技术分析与防御[OL].http:llwww.
yuanma.org/data/2006/0627/article
986.htm.2006-06-27.
[6]那罡.专家出手权威解决网吧”AI 病毒攻击”[OL].http:
//netbar.zo1.corn.cn/41/416396.htm1.中国计算用户(转载).
2006.1 0.26.
[7]peanut ̄ro.ARP病毒预防与查杀[OL].http:llwww.yuanma.
org/data/2006/0627/article
986.htm.2006-06-27.
[8]lynn.黑客技术-AI 欺骗[OL].http://publish.it168.
com/2007/0614/20070614l37901.shtm1.2007.06.14.
[9]月夜海风.windows漏洞知识[OL].http:, .anhuiblog.
com/u2/liujiang/archives/2006/6264.htm1.2006-9-22.
[10]ACmilan.Windows下的计算机防毒[OL].http:llwww.e7coo1.
com/bbs/reading.asp?id=l90409&page=1.2005-12-03.
[11]曾光中.图书馆电子阅览室计算机维护点滴谈[J]_河北科技
图苑,2007,(2).7 1.
【12】曾光中,赵叶玲.GHOST工具软件在图书馆电子阅览室的应
用探讨[J]_新世纪图书馆,2007,(4):72.
[13]<ARP防火墙网络版V3.0.0.1网络版>使用帮助[OL].
http://www.anfiarp.com/antiarphelplI.asp.
[14]liangniu007.ARP中毒的症状[OL].http://zhidao.baidu.
corn/question/3 l 5 ll 508.htm1.2007—7-26.
发布评论