ARP病毒原理

ARP病毒原理（精选十篇）

ARP病毒原理篇1

最近几年开始在学校的局域网爆发了“ARP欺骗”木马病毒, 病毒发作时其症状表现为计算机网络连接正常, 能登陆成功却无法打开网页, 极大地影响了局域网用户的正常使用。为了能使正常的教育教学工作不受影响, 就有必要针对ARP病毒进行分析, 用以防范办公室、机房等地不受其困扰。

2. ARP协议的工作原理

ARP协议的作用就是在于把32位的IP地址变换成48位的以太地址。在以太局域网内数据包传输依靠的是MAC地址, IP地址与MAC对应的关系依靠ARP缓存表, 每台主机都有一个ARP缓存表。缓存表里的IP地址与MAC一一对应的关系如下表示:

主机IP地址MAC地址

A 192.168.0.1 aa-aa-aa-aa-aa-aa

B 192.168.0.2 bb-bb-bb-bb-bb-bb

C 192.168.0.3 cc-cc-cc-cc-cc-cc

D 192.168.0.4 dd-dd-dd-dd-dd-dd

下面我们举例说明数据源主机需要将一个数据包要发送到目的主机的过程。我们以主机A向主机B发送数据为例。当发送数据时, 主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了, 也就知道了目标MAC地址, 直接把目标MAC地址写入帧里面发送就可以了;如果在缓存表中没有找到相对应的IP地址, 主机A就会在网络上发送一个广播, 目标MAC地址是“FF.FF.FF.FF.FF.FF”, 这表示向同一网段内的所有主机发出询问:“192.168.0.2的MAC地址是什么?”网络上只有主机B接收到这个帧时, 才向主机A做出这样的回应:“MAC地址是bb-bb-bb-bb-bb-bb”。这样, 主机A就知道了主机B的MAC地址, 它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表, 下次再向主机B发送信息时, 直接从缓存表里查找。

3. ARP病毒的欺骗原理和欺骗过程

ARP欺骗的目的就是为了实现全交换环境下的数据监听, 大部分的木马或病毒使用ARP欺骗攻击也是为了达到这个目的。

假设一个只有三台电脑组成的局域网, 该局域网由交换机 (Bwitch) 连接。其中电脑A代表攻击方;电脑B代表源主机, 即发送数据的电脑;令一台电脑名叫D代表目的主机, 即接收数据的电脑。MAC地址分别简化为:MAC-A, MAC-B, MAC-D。

正常情况下B电脑要给D电脑发送数据, 则要先查询自身的ARP缓存表, 查看里面是否有192.168.0.4这台电脑的MAC地址, 如果有, 就将MAC-D封装在数据包的外面, 直接发送出去即可。如果没有, B电脑便向全网络发送一个这样的ARP广播包:B的IP是192.168.0.2, 硬件地址是MAC-B, 要求返回IP地址为192.168.0.4的主机的硬件地址。而D电脑接受到该广播, 经核实IP地址, 则将自身的IP地址和MAC-D地址返回到B电脑。现在B电脑可以在要发送的数据包上贴上目的地址MAC-D发送出去, 同时它还会动态更新自身的ARP缓存表, 将192.168.0.4-MAC-D这一条记录添加进去, 这样, 等B电脑下次再给D电脑发送数据的时候, 就不用发送ARP广播包进行查询了。

但是, 上述数据发送机制有一个致命的缺陷, 即认为无论局域网中哪台电脑, 其发送的ARP数据包都是正确的。比如在上述数据发送中, 当B电脑向全网询问后, A电脑却返回了D电脑的IP地址和和自己的硬件地址。由于A电脑不停地发送这样的应答数据包, 则会导致B电脑又重新动态更新自身的ARP缓存表, 这回记录成:192.168.0.4与MAC-A对应, 我们把这步叫做ARP缓存表中毒。这样, 就导致以后凡是B电脑要发送给D电脑, 都将会发送给A主机。也就是说, A电脑就劫持了由B电脑发送给D电脑的数据。这就是ARP欺骗的过程。

4. 带来的故障

当局域网内某台主机运行ARP欺骗的木马程序时, 会欺骗局域网内所有主机和路由器, 让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网, 切换的时候用户会断一次线。

切换到病毒主机上网后, 如果用户已经登陆了传奇服务器, 那么病毒主机就会经常伪造断线的假像, 那么用户就得重新登录传奇服务器, 这样病毒主机就可以盗号了。

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制, 用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时, 用户会恢复从路由器上网, 切换过程中用户会再断一次线。

5. 结论

ARP欺骗的技术含量低, 随便哪个人都可以通过攻击软件进行ARP欺骗。很难预防, 但知道其原理后并不难解决, 如及时下载安装系统补丁、所装杀毒软件及时升级, 安装ARP专杀与防范软件等。

参考文献

[1].谢希仁, 计算机网络.电子工业出版社.2004.

[2].邱雪松, ARP病毒原理与防御.柳钢科技出版社.2006.

如何查杀ARP病毒篇2

其实该方法就是强制指定ARP对应关系。由于绝大部分ARP欺骗病毒都是针对网关MAC地址进行攻击的，使本机上ARP缓存中存储的网关设备的信息出现紊乱，这样当机器要上网发送数据包给网关时就会因为地址错误而失败，造成计算机无法上网。

第一步：我们假设网关地址的MAC信息为00-14-78-a7-77-5c，对应的IP地址为192.168.2.1。指定ARP对应关系就是指这些地址。在感染了病毒的机器上，点击桌面->任务栏的“开始”->“运行”，输入cmd后回车，进入cmd命令行模式;第二步：使用arp -s命令来添加一条ARP地址对应关系，例如arp -s 192.168.2.1 00-14-78-a7-77-5c命令。这样就将网关地址的IP与正确的MAC地址绑定好了，本机网络连接将恢复正常了;第三步：因为每次重新启动计算机的时候，ARP缓存信息都会被全部清除。所以我们应该把这个ARP静态地址添加指令写到一个批处理文件(例如：bat)中，然后将这个文件放到系统的启动项中。当程序随系统的启动而加载的话，就可以免除因为ARP静态映射信息丢失的困扰了。

2、清空ARP缓存：

大家可能都曾经有过使用ARP的指令法解决过ARP欺骗问题，该方法是针对ARP欺骗原理进行解决的。一般来说ARP欺骗都是通过发送虚假的MAC地址与IP地址的对应ARP数据包来迷惑网络设备，用虚假的或错误的MAC地址与IP地址对应关系取代正确的对应关系。若是一些初级的ARP欺骗，可以通过ARP的指令来清空本机的ARP缓存对应关系，让网络设备从网络中重新获得正确的对应关系，具体解决过程如下：

第一步：通过点击桌面上任务栏的“开始”->“运行”，然后输入cmd后回车，进入cmd(黑色背景)命令行模式;

第二步：在命令行模式下输入arp -a命令来查看当前本机储存在本地系统ARP缓存中IP和MAC对应关系的信息;

第三步：使用arp -d命令，将储存在本机系统中的ARP缓存信息清空，这样错误的ARP缓存信息就被删除了，本机将重新从网络中获得正确的ARP信息，达到局域网机器间互访和正常上网的目的。

如果是遇到使用ARP欺骗工具来进行攻击的情况，使用上述的方法完全可以解决。但如果是感染ARP欺骗病毒，病毒每隔一段时间自动发送ARP欺骗数据包，这时使用清空ARP缓存的方法将无能为力了。下面将接收另外一种，可以解决感染ARP欺骗病毒的方法。

3、添加路由信息应对ARP欺骗：

常见的ARP病毒都是针对网关的，那么我们是否可以通过给本机添加路由来解决此问题呢。只要添加了路由，那么上网时都通过此路由出去即可，自然也不会被ARP欺骗数据包干扰了。第一步：先通过点击桌面上任务栏的“开始”->“运行”，然后输入cmd后回车，进入cmd(黑色背景)命令行模式;第二步：手动添加路由，详细的命令如下：删除默认的路由： route delete 0.0.0.0;添加路由：route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1;确认修改：route change此方法对网关固定的情况比较适合，如果将来更改了网关，那么就需要更改所有的客户端的路由配置了。

ARP病毒原理篇3

ARP协议

在局域网中，虽然我们习惯用IP地址来标识计算机，但在网络数据传输过程中，真正起到地址作用的是“MAC地址”。MAC(Media Access Control)地址又称物理地址，它通常由网卡生产厂家烧入网卡的EPROM(一种闪存芯片)，一般情况下它是全球唯一的。

一个主机要和另一个主机直接通信，必须知道目标主机的MAC地址。ARP协议“Address Resolution Protocol(地址解析协议)”的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，我们可以通过在DOS命令提示符下，输入：arp-a来获得本机的ARP缓存表。

如果在ARP缓存表中没有找到相对应的IP地址，主机就会在网络上发送一个广播，目标IP的主机接收到这个帧时，会向主机做出相应的回应。这样，主机就知道了目标主机的MAC地址，就可以向目标主机发送信息了。

ARP攻击原理

ARP攻击的最主要手段就是用伪造源MAC地址发送ARP响应包，对ARP高速缓存机制的攻击。攻击者持续不断地发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC條目，造成网络中断或中间人攻击。

当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址)，MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了)。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存(A可不知道被伪造了)。当攻击源大量向局域网中发送虚假的ARP信息后，就会造成局域网中的机器ARP缓存的崩溃。以笔者所在的网络为例，通过抓包工具捕获数据包的结果来看，可以明显看到一个ARP攻击者的攻击情况。

ARP攻击的目的和现象

当局域网内某台主机运行ARP的欺骗木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网，现在则转由通过病毒主机上网。

这样做的目的有很多，比如用户已经登录了网游服务器，病毒主机就会经常伪造断线的假像，那么用户就得重新登录网游服务器，病毒主机就可以趁机盗号。所以当你遇到下面几个情况的时候，一定要注意可能是你的网络中出现了ARP木马。

1)上网速度突然变得异常的缓慢

2)经常断线。

3)访问所有的网站，杀毒软件都会弹出窗口说页面有病毒。

当怀疑局域网中存在ARP攻击时，可以打开DOS命令提示符，输入“arp-d”，清空ARP列表。如果能够恢复网络访问，则基本可以确定局域网中存在ARP攻击，或者有电脑染上了ARP病毒。接下来可以反复查看ARP列表，也就是反复使用“arp-a”命令(其间不要进行网络通信)，如果发现除了网关以外的某个IP会自动出现在列表中，而这个IP又没有和本机进行实质的数据通信，则基本可以确定攻击源，接下来需要断开该计算机的网络连接并彻底杀毒。

应对ARP欺骗攻击

面对凶猛的ARP攻击，以上提到的方法只能应急，该如何进行全面防范呢?利用Anti ARP Sniff，可以保护你的网卡和网关的通讯不被第三方监听，让ARP攻击对你的爱机无技可施。Anti ARP Sniff可以100％防御所有利用ARP技术的恶意程序，发现异常并自动重写ARP数据，它还具备追踪ARP攻击者的功能，能够追踪对方的IP地址，这样我们就能找出ARP攻击的“始作俑者”。

在Anti ARP Sniff主窗口的“网关地址”栏中输入网关地址，点击“获取MAC”按钮，获得网关的MAC地址，之后点击“自动保护”按钮，即可开启ARP攻击保护功能，当局域网中有人试图对本机进行攻击时，Anti ARP Sniff~口可出现ARP欺骗提示信息，在“欺骗数据详细记录”列表中显示ARP欺骗攻击事件信息。从中选中合适的ARP攻击事件，点击“追捕攻击者”按钮。即可得到攻击者的IP和MAC地址信息了，据此可以轻松找出局域网中的“破坏分子”。对于饱受ARP攻击之苦的用户，Anti ARP Sniff能让你轻松摆脱烦恼。

浅谈ARP病毒的攻击原理篇4

众所周知, 最近这些年网络已经在我们的生活以及生产活动中得到非常广泛的使用, 它的这种普及程度为我们开展生活以及生产活动贡献了非常积极地力量, 不过我们在进行工作的时候常常会面临一个非常大的困境, 即网络非常容易受到各种病毒的影响, 一旦受到这种影响, 它将失去其原有的功能, 严重的阻碍了我们开展正常的生产活动。目前校园局域网出现了非常恶劣的ARP欺骗木马病毒, 这种病毒的位置程度非常严重, 而且不易察觉, 通常的反应是网络能够合理的连接, 而且也可以登录到我们所需的网站, 可是问题就在于我们无法浏览所需的页面, 这对于我们开展工作来说是一种非常大的损失。

2 ARP协议的工作原理

在以太网中传输的数据包是以太包而以太包的寻址是依据其首部的MAC地址。如果我们只是知道一个具体的主机的网络地址, 此时内核系统是不能够实现数据传输活动的, 而进行这项活动的必要条件是需要获取上述机器的MAC址。

在以太局域网内数据包传输依靠的是MAC地址, IP地址与MAC对应的关系依靠ARP缓存表, 通常来讲, 任何一台机器自身都具备一个独特的缓存表。它具有非常强大的功能, 能够帮助我们在合理的状态下, 确保将数据信息合理的对应的进行输送。通常我们能够在窗口中进行相关的操作, 比如查看信息或者是将信息更新等。

当在进行活动的时候, 即主机把设定好的数据信息发送到我们所需的机器上的时候, 主机会对本身的列表进行合理认真的自检, 查看气宗有没有我们所需的地质, 假如查找之后发现有该地址, 此时我们只需把要传递的信息进行输送即可完成。但是如果经过检查没有发现我们所需的地址, 此时主机就会自行想相关的网站发送广播信息, 针对所需的信息进行征询。当在寻找的范围中的全部数量的设备收到信息之后, 都会自行的查看信息中的地质和本机的是否相同, 假如不同的话, 此时就不需要做任何的反映活动, 假如检查之后发现相同, 此时本机就会自行将发送端的MAC地址和IP地址添加到自己的ARP列表中, 假如列表中原本就有所需的地址, 此时系统会自动的把原有的信息进行处理, 然后向征询信息的设备发送信息, 此回应的目的是向其表达本机就是广播中所要的地址, 源主机收到这个ARP响应数据包后, 将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中, 然后借助这一信息进行输送活动。不过也会存在不属于上述情况的状态发生, 通常是因为查询的地址并不在设定的范围之内, 此时就收不到回应的信息, 代表我们的此次查找活动没有取得成功。

3 病毒的运行模式以及机理

通过分析我们发现绝大多数的木马等通过ARP进行不当行为是为了能够获取在有效环境中合理的对信息进行监听, 进而供给系统。上述的病毒也不例外。

我们来做过比喻, 如果一个局域网中仅有三个计算机, 这个网络的运行是辅助交换机来进行的。我们把第一个电脑设定为甲, 它来充当病毒者, 另一个叫做乙, 它充当的是源主机, 也就是具体的负责信息传输。然后把最后一个叫做丁, 它的角色是代表接受信息的主机。这三台电脑的IP地址分别为:192.168.0.2, 192.168.0.3, 192.168.0.4, MAC地址分别为:MAC-A, MAC-S, MAC-D。

首先, 计算机乙要向丁输送信息, 它回自行对本身的缓存信息进行查阅, 分析其中有没有丁计算机的网络地址, 假如有它的地址, 此时即可直接的对信息进行输送即可。如果没有, 乙电脑便向全网络发送一个这样的ARP广播包:乙的IP是192.168.0.3, 硬件地址是MAC-S, 要求返回IP地址为192.168.0.4的主机的硬件地址。此时, 计算机丁收到信息之后, 首先会自行的检查自身的地址, 发现就是需要的信息, 此时将信息输送给计算机乙。现在乙电脑可以在要发送的数据包上贴上目的地址MAC-丁发送出去, 同时它还会动态更新自身的ARP缓存表, 将192.168.0.4-MAC-丁这一条记录添加进去, 因此, 当计算机乙要想再次向丁输送信息时, 即可直接发送即可, 上述的步骤就是我们在合理的状态下进行的信息输送步骤。

不过上面讲述的这个步骤存在一个非常大的弊端现象, 也就是说这项活动的基础是网络中所有的计算机都是安全有效的, 换句话讲, 它必须在这个背景下进行, 不管是网络中的哪一个具体的计算机, 它们输送的信息都能保证是合理的。比如在上述数据发送中, 当乙电脑向全网询问后, 丁电脑也回应了自己的正确MAC地址。但是当此时, 甲电脑却返回了丁电脑的IP地址和和自己的硬件地址。由于甲电脑不停地发送这样的应答数据包, 则会导致乙电脑又重新动态更新自身的ARP缓存表, 这回记录成:192.168.0.4与MAC-A对应, 我们把这步叫做ARP缓存表中毒。这样, 就导致以后凡是乙电脑要发送给丁电脑, 都将会发送给甲主机。也就是说, 甲电脑就劫持了由乙电脑发送给丁电脑的数据。这就是ARP欺骗的过程。

结语

通过上面的分析, 我们得知, ARP欺骗是目前网络管理, 特别是校园网管理中最让人头疼的攻击, 它的攻击技术含量低, 随便一个人都可以通过攻击软件来完成ARP欺骗攻击。同时防范ARP欺骗也没有什么特别有效的方法, 目前只能通过被动的亡羊补牢形式的措施了。无论是攻和防, 首要的就是找出每种攻击的“症结”之所在。只有这样才能找到行之有效的解决方案。当然最根本的办法在客户端自身的防范上, 如及时下载安装系统补丁、所装杀毒软件及时升级, 安装ARP专杀与防范软件等。

摘要：与我们生活非常密切的有各个范围之内的不同形式的局域网。学校中广泛使用局域网, 它有非常多的优势, 对于学习师生之间的互动有非常优秀的促进作用, 不过最近一段时间由于受到一些病毒的危害, 网络运行遇到很多不利因素, 笔者基于目前的这种背景环境重点的分析讲解了目前面对的这一现象以及应对的方式。

关键词：网络协议,IP地址,ARP病毒

参考文献

[1]宋生勇.浅谈局域网防ARP病毒[J].柴达木开发研究, 2011 (03) .

[2]杨涛, 宋群豹, 范玮.基于局域网的ARP病毒的分析与防御[J].商场现代化, 2009 (18) .

ARP病毒原理篇5

面对着局域网中成百台电脑，一个一个地检测显然不是好办法，其实我们只要利用ARP病毒的基本原理：发送伪造的ARP欺骗广播，中毒电脑自身伪装成网关的特性，就可以快速锁定中毒电脑。可以设想用程序来实现以下功能：在网络正常的时候，牢牢记住正确网关的IP地址和MAC地址，并且实时监控着来自全网的ARP数据包，当发现有某个ARP数据包广播，其IP地址是正确网关的IP地址，但是其MAC地址竟然是其它电脑的MAC地址的时候，这时，无疑是发生了ARP欺骗。对此可疑MAC地址报警，在根据网络正常时候的IP-MAC地址对照表查询该电脑，定位出其IP地址，这样就定位出中毒电脑了。下面详细说一下如何利用命令行方式检测ARP中毒电脑的方法。

命令行法

这种方法比较简便，不利用第三方工具，利用系统自带的ARP命令即可完成，

当局域网中发生ARP欺骗的时候，ARP病毒电脑会向全网不停地发送ARP欺骗广播，这时局域网中的其它电脑就会动态更新自身的ARP缓存表，将网关的MAC地址记录成ARP病毒电脑的MAC地址，这时候我们只要在其它受影响的电脑中查询一下当前网关的MAC地址，就知道中毒电脑的MAC地址了，查询命令为 ARP -a，需要在cmd命令提示行下输入。输入后的返回信息如下：

Internet Address Physical Address Type

192.168.0.1 00-50-56-e6-49-56 dynamic

ARP病毒原理篇6

1.1 ARP攻击的原理

只有了解了ARP的工作原理, 我们才能更有效地阻止ARP的攻击。简单地说, ARP的原理就是:首先, 每台主机都会在自己的ARP缓冲区中建立一个ARP列表, 以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时, 会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址, 如果有﹐就直接将数据包发送到这个MAC地址;如果没有, 就向本地网段发起一个ARP请求的广播包, 查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后, 会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同, 该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中, 如果ARP表中已经存在该IP的信息, 则将其覆盖, 然后给源主机发送一个ARP响应数据包, 告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后, 将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中, 并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包, 表示ARP查询失败。

下面举个简单的例子:

假设A的地址为:IP:192.168.10.1 MAC:AA-AA-AA-AA-AA-AA

假设B的地址为:IP:192.168.10.2 MAC:BB-BB-BB-BB-BB-BB

那么根据上面的原理, 我们简单说明这个过程:A要和B通讯, A就需要知道B的MAC地址, 于是A发送一个ARP请求广播 (谁是192.168.10.2, 请告诉192.168.10.1) , 当B收到该广播, 就检查自己, 结果发现和自己的一致, 然后就向A发送一个ARP单播应答 (192.168.10.2在BB-BB-BB-BB-BB-BB) 。

1.2 ARP攻击的方式

当主机收到一个ARP的应答包后, 它不会去验证自己是否发送过这个ARP请求, 而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。ARP缓存表的这一缺陷, 就使攻击主机截取两主机之间的数据通信成为可能。

例如主机B向主机A发送一个ARP应答包说192.168.1.1的MAC地址是00-aa-00-62-c5-03, 主机A收到这个后并没有去验证包的真实性而是直接将自己ARP列表中的192.168.1.1的MAC地址替换成00-aa-00-62-c5-03, 同时主机B向网关D发送一个ARP响应包说192.168.1.2的MAC是00-aa-00-62-c5-03, 同样, 网关D也没有去验证这个包的真实性就把自己ARP表中的192.168.1.2的MAC地址替换成00-aa-00-62-c5-03。当主机A想要与主机C通信时, 它直接把应该发送给网关192.168.1.1的数据包发送到00-aa-00-62-c5-03这个MAC地址, 也就是发给主机B, 主机B在收到这个包后经过修改再转发给真正的网关C, 当从主机C返回的数据包到达网关D后, 网关也使用自己ARP表中的MAC, 将发往192.168.1.2这个IP地址的数据发往00-aa-00-62-c5-03这个MAC地址也就是主机B, 主机B在收到这个包后再转发给主机A完成一次完整的数据通信, 这样就成功地实现了一次ARP欺骗攻击。当局域网内某台主机运行ARP欺骗的木马程序时, 会欺骗局域网内所有主机和路由器, 让所有上网的流量必须经过病毒主机。原来直接通过路由器上网的机器, 现在转由通过病毒主机上网, 切换会使用户断一次线。

2 防治方法

2.1 ARP病毒的查找

调出“命令提示符”。输入并执行以下命令:ipconfig, 记录网关IP地址, 即“DefaultGateway”对应的值, 例如“10.10.10.1”。再输入并执行以下命令:arp–a在“InternetAddress”下找到上步记录的网关IP地址, 记录其对应的物理地址, 即“PhysicalAddress”值, 例如“00-aa-00-62-c6-09”。在网络正常时这就是网关的正确物理地址, 在网络受“ARP欺骗”木马影响而不正常时, 它就是木马所在计算机的网卡物理地址。扫描本子网内的全部IP地址, 然后再查ARP表。如果有一个IP对应的物理地址与网关的相同, 那么这个IP地址和物理地址就是中毒计算机的IP地址和网卡物理地址。隔离该机器可在一定程度上减轻对其它计算机的影响。

2.2解决方法

2.2.1临时应急型

用上边介绍的方法确定正确的网关IP地址和网关物理地址, 然后在“命令提示符”窗口中输入并执行以下命令:arp–s网关IP网关物理地址。这样即可使网关地址与真正的网关MAC地址绑定, 使得局域网内病毒主机无法再进行干扰!对每台主机进行IP和MAC地址静态绑定。例如:“arp–s10.10.10.1 00-aa-00-62-c6-09”。

如果设置成功, 在PC上面执行arp-a可以看到相关的提示:

Internet Address Physical Address Type

10.10.10.1 00-aa-00-62-c6-09 static (静态)

一般情况下, 如果不绑定, 呈现动态:

Internet Address Physical Address Type

110.10.10.1 00-aa-00-62-c6-09 dynamic (动态)

该方法的优点是:在一定程度上可以对ARP攻击行为进行防御, 但部署复杂, 且需要手工进行操作, 一旦客户机或网关更改MAC地址, 将需要重新进行绑定, 非常繁琐。而ARP攻击程序需要驻留内存, 需要占用一定的资源, 效果也不是很好。

2.2.2彻底解决方法

3 防范措施

(1) 在客户端使用ARP命令绑定网关的真实MAC地址。

(2) 不要把你的网络安全信任关系建立在IP基础上或MAC基础上, (rarp同样存在欺骗的问题) , 理想的关系应该建立在IP+MAC基础上。

(3) 设置静态的MAC-->IP对应表, 不要让主机刷新你设定好的转换表。

(4) 除非很有必要, 否则停止使用ARP, 将ARP做为永久条目保存在对应表中。

(5) 使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。

(6) 使用"proxy"代理IP的传输。

(7) 使用防火墙连续监控网络, 一旦出现了ARP攻击, 防火墙马上会做出反应, 及时处理。但是也要注意到如果使用了SNMP (简单网络管理协议) , ARP的欺骗也可能导致陷阱包丢失。

4 结语

在对ARP攻击的原理进行研究后, 我们针对其破坏原理, 经过研究、探索, 提出了临时应急型、彻底解决办法以及防范措施, 从效果上看, 可以有效地反击ARP的攻击现象, 确保网络安全。但是, 我们必须清醒地看到, 在ARP攻击与反ARP攻击的道路上, 还会出现新情况、新问题。因此, 我们一定要刻苦学习、加强研究, 勇于探索, 彻底清除ARP攻击现象, 千方百计确保网络科学、安全、高效运行。

参考文献

[1]陈英.局域网内ARP协议攻击及解决方法[J].中国安全科学学报, 2007 (7)

ARP病毒原理篇7

1. 局域网中的ARP欺骗病毒

1.1 ARP欺骗病毒的症状

近几年, 高校中的局域网时常会断线, 一段时间过后又能恢复正常通讯。具体表现为:客户端计算机瞬间与服务器通讯中断, 无法正常运行;IE浏览器频繁报错或访问网页的速度变得极其缓慢;一些常用软件出现运行故障自动关闭等;若通过802.1X身份认证接入局域网, 会突然遇到用户认证成功但无法访问网络的情况。当重启计算机后又能恢复正常的网络通讯。

1.2 ARP欺骗病毒的危害

这类病毒可能会使局域网内的用户无法正常上网, 最严重的情况下将导致整个局域网瘫痪。这类木马病毒除了让用户不能正常访问网络, 还会窃取用户的个人资料与隐私, 如上网账号、密码等。这将给用户带来经济上的损失。

1.3 ARP欺骗病毒的欺骗方式

当下, 这类病毒可以分为两种:仿冒网关攻击病毒和欺骗网关攻击病毒。

1.4 ARP欺骗病毒的工作原理

1.4.1 仿冒网关攻击病毒

这类病毒利用局域网内中毒计算机的MAC地址 (网卡物理地址) 来取代网关的MAC地址, 让被它欺骗的计算机向假网关发送数据, 而不是通过正常的网络设备 (如交换机、路由器等) 来上网, 从而造成网络内部互通, 但用户上不了网。如图1所示。

当这类病毒运行时, 网关的MAC地址就彻底发生了改变, 真实的网关MAC地址就被中毒计算机的MAC地址所取代。如图2所示。

现在来看一下该病毒的工作原理和机制。当局域网中的计算机PC-A打开一个网页时, 正常情况下, 计算机PC-A发出的通信数据包直接流向网关。但当局域网内感染了该病毒后, 计算机PC-A发出的数据包在流经网关之前必须经过计算机PC-B。

根据图3, 用语言来描述整个过程将更直观, 也便于读者理解。

第一步:计算机PC-B发出ARP欺骗病毒广播包, 对外称自己就是网关。第二步:局域网内每一台计算机都能接收到计算机PC-B发出的ARP欺骗病毒广播包并更新ARP表, 所以ARP缓存就会中毒。第三步:局域网内任意一台计算机通过中毒的计算机PC-B访问因特网, 可能导致整个局域网通讯中断。

1.4.2 欺骗网关攻击病毒

这类病毒首先会截获网关的通讯数据, 然后通知网络设备 (如交换机、路由器等) 一系列错误的内部MAC地址并不断重复上述过程, 使真实的MAC地址信息无法通过更新保存在网络设备中, 最终导致网络设备发送传出的数据包只能传送到错误的MAC地址上。

仍以图三为例, 用语言来描述整个过程将更直观, 也便于读者理解。

第一步:计算机PC-B (见表1) 仿冒计算机PC-A (见表2) 向网关发送伪造的ARP报文 (其MAC地址为CC-CC-CC-CC-CC-CC) 。

第二步:网关的ARP表 (见表3) 中记录了错误的计算机PC-A的地址映射关系, 从而导致正常的数据报文无法正确地被PC-A接收。

2. ARP欺骗病毒的防范方法

2.1 提高电脑用户安全防范意识水平

接入局域网中的用户应不断提升网络安全防范意识。建议如下:⑴给管理员账户设置相对复杂的权限密码;⑵禁用操作系统的自动播放功能;⑶经常更新杀毒软件的病毒库, ⑷安装网络防火墙;⑸定期更新操作系统和相关应用软件补丁;⑹关闭一些不必要的服务, 例如一些共享服务, 如单机用户可彻底关闭server服务。

2.2 使用专业软件防护

使用ARP防护软件, 例如AntiARP Sniffer。该软件有2个功能。第一, 防止用户通讯时数据包被第三方截取;第二, 防止ARP病毒发送地址冲突数据包。该软件操作起来也很方便, 如果该软件频繁地提示用户IP地址冲突, 则说明局域网中存在ARP欺骗病毒。用户只要将计算机中的[事件查看器]打开就可以获取到冲突的MAC地址, 将它们复制到该软件的[本地MAC地址栏], 完成后点击[防止地址冲突]。再禁用本地网卡, 然后启用。用CMD命令打开MS-DOS窗口输入Ipconfig/all指令查看当前MAC地址是否与本地MAC地址匹配, 如果符合将不再显示地址冲突。

2.3 上网客户端静态地址绑定

编写一个批处理文件, 将其命名为antiarp.bat。该文件的功能是将交换机的网关IP地址和网关MAC地址进行绑定。用户可使用[arp–a]命令查看交换机网关IP地址和网关MAC地址。将这个批处理文件拖到[windows—开始—程序—启动]中, 之后用户每次开机都会自动加载该文件。代码:@echo off;arp-d;arp-s网关IP地址网关MAC地址;

2.4 局域网划分VLAN (虚拟局域网) 隔离ARP欺骗病毒

局域网中的网管员应根据单位网络拓扑结构划出若干个VLAN。当网管员发现有用户的计算机向局域网发送大量地址冲突数据包时, 应该利用技术手段对该用户的交换机端口定位, 然后将该端口划分到一个单独的VLAN隔离该用户, 以避免对其他用户造成影响或者直接屏蔽该用户的上网端口。

3. 结束语

局域网内部防御ARP病毒攻击的方法是在客户端、网络接入设备和服务器端建立立体防御机制。但这些办法无法从根本上根治ARP病毒, 因为ARP病毒是基于ARP协议的安全缺陷产生的。今后随着Ipv6的应用与普及, ARP病毒将被根治。

摘要：近几年, APR欺骗病毒在局域网内大量出现导致用户上网非常不稳定。该文章将详细介绍这类病毒的攻击原理及预防措施。

关键词：ARP病毒,工作原理,预防方法,局域网

参考文献

[1]谢希仁.计算机网络 (第四版) [M].大连:大连理工大学出版社, 2004.

[2]黄剑飞.构建网络安全的几点设想[J].教育与职业, 2004 (20) :66～67

ARP病毒原理篇8

ARP欺骗具有隐蔽性、随机性的特点, 在Internet上随处可下载的ARP欺骗工具使ARP欺骗更加普遍。目前利用ARP欺骗的木马病毒在局域网中广泛传播, 给网络安全运行带来巨大隐患, 是局域网安全的首要威胁。有时会出现网络设备完好, 运转正常的情况下, 局域网内用户上网速度缓慢甚至完全阻塞的情况, 这种现象往往是由于局域网内遭到ARP攻击引起的, 一些带有ARP欺骗功能的木马病毒, 利用ARP协议的缺陷, 像大规模爆发的流行性感冒一样, 造成网络时断时续, 无法正常上网。同时清理和防范都比较困难, 给不少的网络管理员造成了很多的困扰。

二、ARP协议概述

ARP协议全称为Address Resolution Protocol, 即地址解析协议, 是TCP/IP协议栈中的基础协议之一, 它工作于OSI模型的第二层, 在本层和硬件接口间进行联系, 同时为上层 (网络层) 提供服务。是将IP地址与网络物理地址一一对应的协议, 负责IP地址和网卡实际地址 (MAC) 之间的转换。也就是将网络层地址解析为数据链路层的M A C地址。在以太网中, 一个网络设备要和另一个网络设备进行直接的通信, 除了知道目标设备的I P地址外, 还要知道目标设备的M A C地址。A R P协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通讯的顺利进行。当一个网络设备需要和另一个网络设备通信时, 它首先把目标设备的I P地址与自己子网掩码进行“与”操作, 以判断目标设备与自己是否位于同一网段内, 如果目标设备与源设备在同一网段内, 则源设备以第二层广播的形式 (目标MAC地址全为1) 发送ARP请求报文, 在ARP请求报文中包含了源设备与目标设备的IP地址。如果目标设备与源设备不在同一网段, 则源设备首先把IP分组发向自己的缺省网关, 由缺省网关对该分组进行转发。

三、ARP协议的缺陷

1. 主机ARP列表是基于高速缓存动态更新的。

由于正常的主机间的MAC地址刷新都是有时限的, 这样恶意用户如果在下次交换之前成功地修改了被欺骗机器上的地址缓存, 就可以进行假冒或拒绝服务攻击。

2. 可以随意发送ARP应答分组。

由于ARP协议是无状态的, 任何主机即使在没有请求的时候也可以做出应答。因此任何时候发送ARP应答。只要应答分组是有效的, 接收到ARP应答分组的主机就无条件地根据应答分组的内容刷新本机高速缓存。

四、ARP的主要攻击类型

ARP期骗是指利用ARP协议的漏洞, 通过向目标设备主机发送虚假的ARP报文, 达到监听或者截获目标主机数据的攻击手段。主要攻击类型:冒充主机欺骗网关 (对路由器ARP表的欺骗) 、冒充网关欺骗主机 (对内网P C的网关欺骗) 。

1. 冒充主机欺骗网关

攻击主机C发出一个报文, 其中源MAC地址为MAC C, 源IP地址为IP A。这样任何发往主机A的报文都会被发往攻击主机C。网关无法与真实主机A直接通信。假如攻击主机不断地利用自己的真实MAC地址和其他主机的IP地址作为源地址发送ARP包, 则网关无法与网段内的任何主机 (攻击主机C除外) , 进行直接通信。然而, 这种情况下, 交换机是不会产生任何报警日志的, 原因在于, 多个IP地址对应一个MAC地址在交换机看来是正常的, 不会影响其通过IP所对应的MAC来交付报文。

如果攻击者将网关ARP缓存中的MAC地址全部改为根本就不存在的地址, 那么网关向外发送的所有以太网数据帧会丢失, 使得上层应用忙于处理这种异常而无法响应外来请求, 也就导致网关产生拒绝服务 (不能响应外界请求, 不能对外提供服务) 。

2. 冒充网关欺骗主机

(1) 在主动攻击中, 攻击者C主动向A发送ARP应答数据包, 告诉A, B (网关) 的IP地址所对应的MAC地址是CC-CC-CC-CC-CC-CC, 从而使得A修改自己的ARP列表, 把B的IP地址对应的M A C地址修改为攻击者C的M A C地址。

(2) 同时, 攻击者C也主动向B发送ARP应答数据包, 告诉B, A的IP地址所对应的MAC地址是CC-CC-CC-CC-CC-CC, 从而使得B修改自己的ARP列表, 把A的IP地址对应的MAC地址修改为攻击者C的MAC地址。

(3) 从而使得A←→B之间的通信形式变成A←→C←→B, 实现了中间人攻击。

在被动攻击中, 攻击者C只在A或者B发送ARP请求数据包时, 延时一段时间发送应答数据包, 使得自己的应答包在正确的应答包之后到达, 防止自己修改的相应主机的ARP列表被正确的应答包再次修改。

那么主机A发往网关B的报文都会被发往攻击主机C, 造成主机A突然断网。如果攻击主机向网关B转发了来自主机A的报文, 那么主机A能通过攻击主机C继续上网, 但其上网质量完全取决于攻击主机C, 通常表现为时断时续。

例如, 网络上有3台主机, 有如下的信息:

主机名IP地址硬件地址

A 202.206.208.1 AA:AA

B 202.206.208.2 BB:BB

C 202.206.208.3 CC:CC

这三台主机中, C是一台被入侵者控制了的主机, 而A信任B, 入侵者的目的就是要伪装成B获得A的信任, 以便获得一些无法直接获得的信息等。

四、ARP欺骗防范和解决方案

1.手动防御

防御A R P欺骗的简单方法是网络管理员分别在主机和路由器上静态绑定地址映射。这种方法非常有效, 但仅适用于小规模的局域网, 而且这种方法不适用于DHCP自动分配地址的情况, 也不能适应网络的动态变化。对于大型动态IP的网络, 建立DHCP服务器 (建议建在网关上) 。所有客户机的IP地址及其相应主机信息, 只能由网关这里取得, 网关开通DHCP服务, 保持网内的机器IP/MAC一一对应的关系。在由DHCP服务器构成的动态分配主机IP的环境中, 主机申请IP时的MAC地址和IP地址是一一配对的, 也是唯一的, 上述的攻击主机C也不能例外, 不可能利用一个MAC地址申请到多个IP地址, 更不可能申请到网关地址。同时, 网关机器关闭ARP动态刷新的过程, 使用静态路由, 这样的话, 即使犯罪嫌疑人使用ARP欺骗攻击网关的话, 这样对网关也是没有用的, 确保主机安全, 即可防御冒充主机欺骗网关的ARP欺骗。

另一方面通过arp-s命令, 在PC上绑定网关的MAC和IP地址, 这样可以防御冒充网关欺骗主机的A R P欺骗。

另一种有效的手动防御方法是在局域网中增加VLAN的数目, 减少V L A N中的主机数量。局域网管理员可以根据本单位的网络拓扑结构划分若干个VLAN, 这样既能够在发生ARP攻击时减少所影响的网络范围, 又能够在发生ARP攻击时便于定位出现的网段和具体的主机。缺点同样是增加了网络维护的复杂度, 也无法自动适应网络的动态变化。

2.使用ARP服务器

在局域网内部的设置一台机器作为ASP服务器, 专门保存并且维护网络内的所有主机的IP地址与MAC地址映射记录, 使其他计算机的ARP配置只接受来自ARP服务器的ARP响应。当有ARP请求时该服务器通过查阅自己缓存的静态记录并以被查询主机的名义响应ARP局域网内部的请求, 从而防止了ARP欺骗攻击的发生。但是这个方法也有不足, 首先要保证ARP服务器不被攻击, 确保ARP服务器的安全;其次要保证主机只接受指定ARP服务器的ARP响应报文。如何做到这一点, 目前还是比较困难的。

3. ARP欺骗的解决措施

以上只是对A R P欺骗的防御手段, 但对于局域网中已经有机器中了A R P欺骗木马, 伪造网关, 则可采用以下方法解决。

判断攻击机的IP地址

某计算机所处网段的路由IP地址为xx.xx.xx.1, 本机地址为xx.xx.xx.8, 在计算机上DOS命令行中运行arp-a后输出如下:

C:Documents and SettingsAdministrator>arp-a

Interface:xx.xx.xx.8---0x10003

Internet Address Physical Address Type

xx.xx.xx.1 00-01-02-03-04-05 dynamic

其中, 00-01-02-03-04-05就是路由器xx.xx.xx.1对应的MAC地址, 类型为动态, 因此可被改变。正常情况下, xx.xx.xx.1和00-01-02-03-04-05始终对应。被攻击后, 重复使用该命令查看, 就会发现该MAC已经被替换成攻击机器的MAC, 而且攻击机器的M A C地址和真正的网关M A C地址会出现交替现象, 如

C:Documents and SettingsAdministrator>arp-a

Interface:xx.xx.xx.8---0x10003

Internet Address Physical Address Type

xx.xx.xx.1 00-01-02-03-04-05 dynamic

xx.xx.xx.6 00-01-02-03-04-05 dynamic

由此可判断xx.xx.xx.6的计算机就是攻击机, 接下来就要判断攻击机的MAC地址并对连接该主机端口进行定位, 定位操作主要通过S N M P协议完成。最后关闭交换机上受病毒感染的端口并对通过端口查出的相应用户进行彻底查杀。当然也可以直接下载ARP欺骗检测工具, 如ARP Checker可以有效的定位到发起ARP欺骗的主机。

五、结论

通过以上几种方法来解决A R P病毒对于局域网的欺骗攻击是比较有效果的。但是由于ARP病毒版本在不断更新升级中, 所以仍会给局域网用户带来新的冲击与危害。因此有必要提前做好局域网ARP病毒的防范工作, 使得ARP病毒的危害减少到最小程度。当然, 在网络安全领域, 没有任何一种技术手段可以解决所有的问题, 对于各种类型的网络攻击, 经常查看当前的网络状态, 对网络活动进行分析、监控、采取积极、主动的防御行动是保证网络安全和畅通的重要方法。网络管理员应当密切检查网络, 不断提高自身的技术水平, 确保网络安全的正常运行。

参考文献

[1]张胜伟:基于DAI的ARP欺骗深度防御[J].计算机安全, 2009, (01)

[2]李新:ARP欺骗防御技术的研究[J].商场现代化, 2008 (36)

反ARP病毒技术研究篇9

ARP病毒通过网络中广播虚假的ARP协议包来实现攻击网络的目的, 我们称这种现象为ARP欺骗。ARP欺骗分为两种:一种是对路由器ARP表的欺骗。欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址, 并按照一定的频率不断进行, 使真实的地址信息无法通过更新保存在路由器中, 结果路由器的所有数据只能发送给错误的MAC地址, 造成正常PC无法收到信息, 用户无法通过路由器上网;另一种是对内网PC的网关欺骗。欺骗的原理是伪造网关, 建立一个假网关, 让被它欺骗的PC向假网关发送数据, 而不是通过正常的路由器途径上网。在终端用户看来, 就是上不了网, 网络掉线了。而且在重启计算机或在MS-DOS窗口下运行命令ARP–d命令, 又可以恢复上网了。凡是这种症状的基本上就是感染了ARP病毒[1,3]。

判断是否是中了ARP病毒, 最简单的方法是利用“ARP–a”命令来查看, 如果发现有两个不同主机的MAC地址一样, 或者直接ping网关IP地址, 然后用“ARP–a”查看, 如果显示的网关IP地址与原有网关IP地址不一样, 则证明是中了ARP病毒。另外, 还可以在“进程”选项卡中查看是否含有一个名为“MIR0.dat”的进程。如果有, 则说明已经中毒。在其上单击鼠标右键, 在弹出菜单中选择【结束进程】命令来中止ARP病毒进程。

2 个人ARP病毒的防范措施

关闭Windows自动播放功能对防范ARP病毒攻击十分必要和重要。

2.1 使用组策略编辑器

点击开始→运行→输入gpedit.msc, 打开组策略编辑器, 浏览到计算机配置→管理模板→系统, 在右边窗格中双击“关闭自动播放”, 对话框中选择所有驱动器, 确定即可。

2.2 使用金山毒霸提供的禁止自动播放功能

启动毒霸主程序, 工具菜单下找到综合设置, 在其它设置中选中禁止U盘和硬盘的自动播放功能。 (图2)

3 网管人员根治ARP病毒的方法

3.1 基于交换机的防御

清除ARP病毒的根本方法就是对交换机进行ARP配置, 由于任何ARP包, 都必须经由交换机转发, 才能到达被攻击目标, 只要交换机拒收非法的ARP包, 那么ARP攻击就不能造成任何影响, 一般交换机都具备防ARP功能。

(1) 在交换机上做端口、I P与MAC地址绑定

感染ARP病毒的计算机会将该机器的MAC地址映射到网关的IP地址上, 并且向网段内的所有计算机发出大量的ARP欺骗包。因此会使很多计算机误以为染毒计算机就是网关, 所以会造成大量计算机访问Internet时中断。有条件的话, 可以在三层交换机上将所连接的计算机做I P与MAC地址的绑定以达到ARP病毒防御的目的。

下面以H3C交换机为例, 在交换机的E thernet1/0/6口上绑定I P地址为192.168.1.2, MAC地址为00-17-31-33-58-a4。

采用上面的方法配置好所有计算机。

(2) 在交换机上划分VLAN减小冲突域

通过交换机上的VLAN划分可以减小冲突域达到缩减ARP广播区域的目的。划分H3C交换机端口Ethernet1/0/1到VLAN5, 端口Ethernet1/0/2到VLAN10。

(3) 通过访问控制列表ACL防御ARP欺骗

对于大多数三层交换机, 可通过配置过滤源I P是网关的ARP报文的ACL规则来做到防御。ACL规则如下:

rule0禁止switchA的所有端口接收冒充网关的ARP报文, 其中64010101是网关I P地址100.1.1.1的16进制表示形式。

rule1允许通过网关发送的ARP报文, 000fe9a08000网关的mac地址。

注意:配置Rule时的配置顺序, 上述配置为先下发后生效的情况。

这样只有switchA上连网关设备才能够发送网关的ARP报文, 其它主机都不能发送假冒网关的ARP相应报文。

3.2 基于服务器与客户端的防御

在服务器与客户端上安装ARP防火墙来阻止ARP欺骗, 但是ARP防火墙要在全网每台主机上安装, 要不然起不到很好的效果。ARP防火墙有很多, 有安全360ARP防火墙、彩影ARP防火墙、金山ARP防火墙等。

3.3 发现染毒计算机与病毒清除

(1) 染毒计算机的定位

A.主动定位方式

所有的ARP攻击源的网卡会处于混杂模式promiscuous) 可以通过ARPKiller工具扫描网内有哪台机器的网卡是处于混杂模式的, 从而判断这台机器有可能就是元凶。

B.被动定位方式

在局域网发生ARP攻击时, 查看三层交换机的动态ARP表中的内容, 确定攻击源的MAC地址;也可以在局域网中部署Sniffer工具, 定位ARP攻击源的MAC。在网络不正常的时候, 也可以直接Ping网关IP, 完成Ping后, 用ARP-a查看网关IP对应的MAC地址, 此MAC地址应该为欺骗的MAC地址。

(2) ARP病毒的清除

首先, 断开染毒主机与网络的连接, 运行msconfig命令, 在“服务”栏目下停掉可疑启动项, 在“启动”栏目下停掉可疑启动项, 并记下文件路径, 在正常模式下, 病毒文件一般删除不了, 或者删除后, 又马上产生, 应切换到安全模式下进行。病毒文件一般存放在c:wi ndows或c:windowssystem32下, 进入安全模式后, 打开以上文件夹, 点击菜单栏“查看”-“详细信息”, 然后, 按“修改日期”排序, 查找最近日期的可执行文件及相关的DLL文件, 对可疑文件进行删除。病毒文件一般将自己设为“隐藏”属性, 应点击菜单栏“工具”-“文件选项#”, 打开“显示所有文件和文件夹”选项。完成以上操作后, 全盘杀毒, 重启主机, 确认病毒完全处理完毕, 才可以恢复网络连接。

4 结束语

通过对ARP病毒原理和症状的分析, 本文提出了个人防范ARP病毒的一些有效措施, 针对局域网中的ARP病毒特点, 研究了根治ARP病毒的方法。病毒的变异和入侵是千变万化的, 要想有效的防范网络病毒, 还有许多工作需要研究。S

参考文献

[1]范建华.TCP/IP详解[M].北京:机械工业出版社, 2003.

[2]寇晓蕤.网络协议分析[M].北京:机械工业出版社, 2009.

[3]李利军.2008网管员必读[M].北京:电子影像出版社, 2008.

[4]胡冬严.ARP病毒的攻击原理和防护[J].吉林省教育学院学报, 2011, 26 (5) :217-218.

[5]胡建龙, 孙蓦, 张帆.校园网ARP病毒攻击原理与防御[J].情报杂志, 2009, 28:155-156.

试谈ARP病毒防治篇10

关键词：ARP病毒,病毒防治,工作原理

1 定义

ARP,即地址解析协议,实现通过IP地址得知其物理地址。在TCP/IP网络环境下,每个主机都分配了一个32位的IP地址,这种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物理网路上传送,必须知道对方目的主机的物理地址。这样就存在把IP地址变换成物理地址的地址转换问题。以以太网环境为例,为了正确地向目的主机传送报文,必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址,这组协议就是ARP协议[1]。

工作原理:主机A向主机B发送数据的时候,会先检测自身的ARP缓冲表里是否有B的地址,如果有,则直接将数据发送给B;若无,主机A以广播的方式发送ARP报文,询问B的地址。主机B收到后,发出包含B主机地址的ARP相应报文,A收到B的应答后,更新ARP缓存表,然后向该Mac地址发送数据包。其工作原理如图1所示。

2 病毒症状

局域网中只有个别电脑可以正常上网,其他电脑的网速特别慢,经常掉线,网络阻塞。使用ARP查询的时候会发现不正常的Mac地址,或者是错误的Mac地址对应,还有就是一个Mac地址对应多个IP的情况也会有出现。

3 攻击原理

ARP攻击主要是通过欺骗的手段进行的。电脑中病毒后,会采用ARP欺骗的形式拦截网内PC的通信消息,造成内网的电脑不能正常上网和网络拥塞。ARP欺骗方式有两种,一种是欺骗路由器;另一种伪造网关。下面分别介绍下这两种欺骗手段的工作原理。

3.1 欺骗路由器

此手段的原理是拦截发往网关的数据。ARP病毒定期发送包含错误的Mac地址数据包给路由器,路由器接到数据后会更新自身的ARP缓存表。结果路由器只能将数据发送给错误的Mac地址,造成电脑无法收到信息。

3.2 伪造网关

伪造网关,它的原理是将中ARP病毒的电脑的地址作为假网关,向网内PC发送数据包,网内电脑收到信息后,更新自身ARP缓存表,这样以后要发送给网关的数据包发送给了假网关。从PC角度来看,就是上不了网了,网络掉线。目前绝大多数ARP病毒采用此方法进行攻击,病毒走网络层,不走路由层。

4 处理方法

4.1 保证网络正常运行

方法一,编写批处理文件ARP.bat,操作如下:

(1)新建记事本,输入如下