浅谈ARP病毒入侵原理和解决方案
来源:小侦探旅游网
维普资讯 http://www.cqvip.com 2008年07月 内蒙古民族大学学报 Journal of Inner Mongolia University for Nationalities Ju1.2008 Vo1.14 No.4 第14卷第4期 浅谈ARP病毒入侵原理和解决方案 崔广明 (内蒙古通辽市技工学校,内蒙古通辽028000) (摘要]网络为我们现代社会的工作、学习和生活带来了很大的便利,了解计算机及网络的工作 原理对我们安全、有效的使用网络提供了必要的基础,同时也减少了计算机病毒带来的危害和损失。 [关键词]计算 ̄t,;ARP病毒原理;解决方法 [中图分类号]TP309.5 1 ARP协议 在局域网中,是通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重 [文献标识码]A [文章编号]1008—5149(2008)04—0026—02 要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。 ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是 有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但 这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP 地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保 证通信的顺利进行。每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的, 如下表所示。 主机IP地址MAC地址 A 192.168.16.1 aa—aa—aa—aa—aa—aa B 192.168.16.2 bb—bb—bb—bb—bb—bb C 192.168.16.3 cc—cc—cc—cc—cc—cc D 192.168.16.4 dd—dd—dd—dd—dd—dd 我们以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例。当发送数据时,主机A会在自己的ARP缓存 表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了; 如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF. FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2的MAC地址是什么?”网络上其他主机并不响 应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.16.2的MAC地址是bb_bb—bb—bb— bb—bb”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存 表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表 中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。 从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。对目标A 进行欺骗,A去Ping主机C却发送到了DD—DD—DD—DD—DD—DD这个地址上。如果进行欺骗的时候,把C的MAC地 址骗为DD—DD—DD—DD—DD—DD,于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发 送的数据包了么,嗅探成功。 ・[收稿日期2oo8—04—20 [作者简介]崔广明(1967一),男,内蒙古通辽市人,讲师,主要从事计算机应用方面的研究。 维普资讯 http://www.cqvip.com A对这个变化一点都没有意识到,但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发 送给C的数据包可没有转交给C。 做“man in the middle”,进行ARP重定向。打开D的IP转发功能,A发送过来的数据包,转发给C,好比一个路由器一 样。不过,假如D发送ICMP重定向的话就中断了整个计划。 D直接进行整个包的修改转发,捕获到A发送给C的数据包,全部进行修改后再转发给C,而C接收到的数据包完全 认为是从A发送来的。不过,C发送的数据包又直接传递给A,倘若再次进行对C的ARP欺骗。现在D就完全成为A与C 的中间桥梁了,对于A和C之间的通讯就可以了如指掌了。 2 ARP欺骗 从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺 骗。 第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进 行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC 无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而 不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。 3 检查和处理“ARP欺骗”木马的方法 (1)检查本机的“ARP欺骗”木马染毒进程 同时按住键盘上的“CTRL”和“ALT”键再按“DEL”键,选择“任务管理器”,点选“进程”标签。察看其中是否有一个名 为“MIR0.dat”的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。 (2)检查网内感染“ARP欺骗”木马染毒的计算机 在“开始”一“程序”一“附件”菜单下调出“命令提示符”。输入并执行以下命令:Ipconfig 记录网关IP地址,即“Default Gateway”对应的值,例如“59.66.36.1”。再输入并执行以下命令:arp—a 在“Internet Address”下找到上步记录的网关IP地址,记录其对应的物理地址,即“Physical Address”值,例如“00一O1一 e8一lf一35—54”。在网络正常时这就是网关的正确物理地址,在网络受“ARP欺骗”木马影响而不正常时,它就是木马所 在计算机的网卡物理地址。 也可以扫描本子网内的全部IP地址,然后再查ARP表。如果有一个IP对应的物理地址与网关的相同,那么这个IP 地址和物理地址就是中毒计算机的IP地址和网卡物理地址。 (3)置ARP表避免“ARP欺骗”木马影响的方法 本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关IP地址和网关 物理地址,然后在“命令提示符”窗口中输入并执行以下命令:arp—s网关IP网关物理地址。 (4)作批处理文件。客户端做对网关的arp绑定,具体操作步骤如下: 步骤一:找本网段的网关地址,比如192.168.1.1,以下以此网关为例。在正常上网时,“开始一运行一cmd—确定”,输 入:arp—a,点回车,查看网关对应的Physical Address。比如:网关192.168.1.1对应00一O1—02一O3一o4一O5。 步骤二:编写一个批处理文件rarp.bat,内容如下: @echo off arp—d arp—s 192.168.1.1 00一O1一O2一O3一o4一O5 保存为:rarp.bat。 步骤三:运行批处理文件将这个批处理文件拖到”Windows--.开始一程序一启动”中,如果需要立即生效,请运行此文 件。 注意:以上配置需要在网络正常时进行 (5)使用安全工具软件。及时下载Anti ARP Snifer软件保护本地计算机正常运行。 参考文献 [1]潭浩强主编.计算机基础[M].北京:清华大学出版社,2001. (2]张越今.网络安全与计算机勘察技术学[M].北京:清华大学出版社,2003. (责任校对郑瑛) 27