ARP病毒的深度剖析及校园网内的 *** 周昌七江苏扬州市仪征教育局江苏211400摘要:Arp病毒是在局域网中尤其在校园中常常爆发的病毒之一体验,它的危害轻则让校园网络速度变慢,重则让整个校园网络瘫痪,甚至教职工的网上银行、游戏及QQ账号等重要信息被盗取。本文论述了该病毒的原理及校园的防与查杀的措施,帮助学校网管人员了解Arp病毒、掌握处置的方法与技巧。关键词:网络模型;ARP协议l广播地址I地址绑定0引言APR病毒是一种地址欺骗的病毒,该病毒一般属于木马病毒。当校园网内某台主机运行ARP欺骗的木马程序时,ARP攻击就会造成局域网内计算机无法和其他计算机进行通讯,而且网络对该病毒没有任何耐受度。。恶意窃听”病毒是“ARP欺骗”系列病毒中影响和危害最为恶劣的。它会使网络产生较大的延时,但是中毒主机会截取局域网内所有的通讯数据,并向特定的外网用户发送所截获的数据,直接威胁着局域网用户的信息安全。图1TcP,IP四层体系模型1ARP病毒原理1.2ARP地址解析协议1?1网络模型地址解析协议(AddressRes。lmi。nProtoc。l,ARP)。在局域要想深入了解ARP病毒必须从网络的分层的结构谈起,网中,网络中实际传输的是“帧”,帧里面是有目标主机的才能揭开问题的本质所在。按照开放系统互联参考模型MAC地址的。在以太网中,一个主机要和另一个主机进行(OpenSystemsInterconnectionReferenceModel,OSl)l拘观点,直接通信,必须要知道目标主机的MAC地址。但这个目标可将网络系统划分为7层结构技术支持,每一个层次上运行着不同的MAC地址是如何获得的呢?它就是通过地址解析协议获得协议和服务,并且上下层之间互相配合,完成网络数据交换的。所谓“地址解析”就是主机在发送帧前将目标IP地址转的功能。换成目标MAC地址的过程。ARP协议的基本功能就是通过然而,OSI的模型仅仅是一个参考模型,并不是实际网目标设备的IP地址,查询目标设备的MAC地址,以保证通络中应用的模型。实际上应用最广泛的商用网络模型即TCP/IP信的顺利进行。有的资料说ARP属于网络层是错误的,严格体系模型,将网络划分为四层,每一个层次上也运行着不同说应该是数据链路层协议。的协议和服务,TCP/IP四层体系模型如图l所示。由图l可1.3ARP欺骗过程知,AI冲协议运行在TCPBP四层体系模型的网际层。局域网中电脑间通信必须知道对方的MAC地址。如何勰瞰I螫安宝技术与雹用2010.5囡鳏能准确的记住对方电脑网卡的MAC地址,以便数据的发送呢?这就涉及到了另外一个概念,ARP缓存表。在局域网的任何一台主机中,都有一个ARP缓存表,该表中保存已与该电脑通信过的lP地址和MAC地址的对照关系。当这台主机向同局域网中另外的主机发送数据的时候,会根据ARP缓存表里的对应关系进行发送。ARP缓存表的生命周期是有一定时限的,还有ARP缓存表中的IP与MAC对应有地址的从网络中“呼叫学习”来的(如图2)。图2ARP欺骗过程首先,假设ARP缓存表是空的或没有主机B的信息。主机A想与主机B通信。现在,A电脑要给B电脑发送数据了,在A电脑内部,上层的TCP和UDP的数据包已经传送到了最底层的网络接口层,数据包即将要发送出去,但这时还不知道目的主机B电脑的MAC地址MAC_a。这时候,A电脑要先查询自身的ARP缓存表,查看里面是否有192.168.0.4这台电脑的MAC地址,如果有,那很好办,就将MACB封装在数据包的外面。直接发送出去即可。如果没有原创,这时A电脑要向全网络发送一个ARP广播包,大声询问:“我的lP是192.168.0.3,硬件地址是MACA,我想知道lP地址为192.168.0.4的主机的硬件地址是多少?”这时,全网络的电脑都收到该ARP广播包了,包括x、Y电脑和B电脑。X、Y一看其要查询的IP地址不是自己的,就将该数据包丢弃不予理会。而B电脑一看IP地址是自己的,则回答A电脑:“我的IP地址是192.168.0.4,我的硬件地址是MAC_B”需要注意的是,这条信息是单独回答的,即B电脑单独向A电脑发送的,并非刚才的广播。现在A电脑已经知道目的电脑B的MAC地址了,它可以将要发送的数据包上贴上目的地址MAC?B,发送出去了。同时它还会动态更新自身的ARP缓存表,梅192.168.0.4一MACB这一条记录添加进去,这样,等A电脑下次再给B电脑发送数据的时候,就不用大声询问发送ARP广播包了。这就是正常情况下的数据包发送过程。在上述数据发送中,当A电脑向全网询问“我想知道IP地址为192.168.0.4的主机的硬件地址是多少?”后,B电脑也回应了自己的正确MAC地址。但是当此时,一向沉默寡言的X电脑也回话了:“我的lP地址是192.168.0.4。我的硬件地址是MAC_X”,注意,此时它竟然冒充自己是B电脑的IP地址,而MAC地址竟然写成自己的!由于X电脑不停地发送这样的应答数据包,本来A电脑的ARP缓存表中已经保存了正确的记录:192.168.0.4一MAC?B,但是由于x电脑的不停应答,这时A电脑并不知道X电脑发送的数据包是伪造的,导致A电脑又重新动态更新自身的ARP缓存表,这回记录成:192.168.0.4一MACX,很显然,这是一个错误的记录(也叫ARP缓存表中毒),这样就导致以后凡是A电脑要发送给B电脑,也就是IP地址为192.168.0.4这台主机的数据,都将会发送给MAC地址为MAC?X的主机,这样X电脑竟然劫持了由A电脑发送给B电脑的数据!这就是ARP欺骗的过程。如果X这台电脑不冒充B电脑,而是冒充网关,那后果会怎么样呢?如果X电脑向全网不停的发送ARP欺骗,“播,大声说:。我的IP地址是192.168.0.X,我的硬件地址是MACX”这时局域网中的其它电脑并没有察觉到什么,因为局域网通信的前提条件是信任任何电脑发送的ARP广播包。这样局域网中的其它电脑都会更新自身的ARP缓存表,记录下192.168.0.X?MAC?X这样的记录,这样,当它们发送给网关,也就是IP地址为192.168.0.X这台电脑的数据,结果都会发送到~tACX这台电脑中!这样,x电脑就将会监听整个局域网发送给互联网的数据包。2ARP病毒的查杀2.1手工快速找出中毒机器当局域网中发生ARP欺骗的时候,ARla病毒电脑会向全网不停地发送ARP欺骗广播,这时局域网中的其它电脑就会动态更新自身的ARP缓存表,将网关的MAC地址记录成ARP病毒电脑的MAC地址,这时候我们只要在其它受影响的电脑中查询一下当前网关的MAC地址,就知道中毒电脑的MAC地址了,查询命令为ARP?a,需要在cmd命令提示行下输入。输入后的返回信息如图3所示。图3返回信息该MAC地址不是真正网关的MAC地址,而是中毒电脑的MAC地址。再根据网管员记录的每台电脑的使用人员和IP?MAC地址对照表,就知道哪位同志的电脑中了ARP病毒。2010.5鹧安宝技7It与应用292.2利用Sni行erPro抓包分析假设中毒机器的硬件地址是从一AA?AA?AA?AA-AA,IP地址是192.168.1.5,受影响机器B的硬件地址是BB-BB?BB?BB.BB.BB,IP地址是192.168.1.5l,为了便于说明,我们在B机器上用SnifirerPro工具先获得发送目标为192.168.1.51的ARP数据包,由于A中病毒不断发送ARP请求包,我们很容易获得(如图4)。图4利用SnifferPro抓包分析现在我们结合图中上半部分的协议解析来分析下半部分的代码的意义,共有四行每行都标了号。oo行,行疗行fFfF行广播地址,每个同网段用户都能收到。娩姐aa勰aa缸发送方的硬件地址,0806指使用ARP协议。10行,oo0110M以太网,08oo使用IP协议,06硬件地址使用6字节表示,04协议(IP)地址使用4字节表示,0001ARP请求包,amaaaaaaaaaa发送方硬件地址,cOa80132发送方IP地址,20行,oo00oo000000目标硬件地址,cOa80133目标IP地址。仔细看一下不难发现,IP为192.168.1.5的A的IP地址被。篡改”了,A网络中宣布自己假冒是192.168.1.50。使得与192.168.1.50通信的数据发到了192.168.1.5上,而真正的192.168.1.50则运行缓慢甚至无法上网。只要能及时准确的找到ARP中毒电脑,我们就算成功了。找到“病原体”,从网络中隔离起来,然后安装或升级杀毒软件进行清除。2.3校园内ARP病毒防范措施对于Windows操作系统及时打上系统漏洞补丁,其后出现的所有安全更新也都必须及时打全才能最大限度的防范病毒和木马的袭击。此外,正确使用U盘等移动存储设备,防止通过校外计算机传播病毒和木马。IP-MAC静态绑定,是防范ARP的最有效的方法。首先,获得路由器(代理服务器)的内网的MAC地址(例如网关地址lO.10.75.254的MAC地址为0022aa0022aa)。编写一个批处理文件AntiArp.bat内容如下:计算机重新启动后需要重新进行绑定,因此我们可以将该批处理文件AntiArp.bat文件拖到“windows-开始一程序一启动”中。这样开机时这个批处理就被执行了。计算机一定要安装防火墙和杀毒软件能很好阻止和清除ARP病毒。例如:AntiArp软件会在提示框内出现病毒主机的MAC地址。还有瑞星防火墙、奇虎360ARP防火墙、超级巡警等。合理优化的网络结构和网络设备如路由、防火墙的设置对网络的安全也十分重要。同时老手,更重要的是我们网管人员要有强烈的责任心与敬业精神,不怕吃苦勤于钻研,炼就一手精湛的网络管理与安全的功夫。参考文献【1】谢希仁.计算机网络.大连理工大学出版社.2004.【2】(美)史蒂文斯著,范建华等译.TCP/IP详解(卷l:协议).机械工业出版社.2003.【3】高永强源.网络安全技术与应用大典.人民邮电出版社.2003.囡黧ARP病毒的深度剖析及校园网内的 *** 作者:周昌七,ZhouChangqi作者单位:江苏扬州市仪征教育局,江苏,211400刊名:网络安全技术与应用英文刊名:NETWORKSECURITYTECHNOLOGY&APPLICATION年,卷(期):2010(5)参考文献(6条)1.高永强源网络安全技术与应用大典20032.谢希仁计算机网络20043.史蒂文斯;范建华TCP/IP详解(卷1:协议)20034.史蒂文斯.范建华TCP/IP详解(卷1:协议)20035.谢希仁计算机网络20046.高永强源网络安全技术与应用大典2003
上一篇:《过新年》教学设计
下一篇:用于电脑调色的基础乳胶漆配方设计