论文部分内容阅读
[摘要]文章从ARP协议工作原理分析了AKP病毒攻击原理及欺骗过程,并提出了几种有效防范措施。
[关键词]电子阅览室 ARP协议 AKP欺骗
近段时间里,学校图书馆电子阅览室发现了一种ARP病毒,在电子阅览室中,当被这种病毒攻击后,电子阅览室内原本可以正常上网的计算机,无法打开网页或者网页速度缓慢,连接时断时续,包括访问网上邻居也是如此,拷贝文件无法完成出现错误。双击任务栏中本地连接图标,显示为已经连接,并且发现发送的数据包明显少于接受数据包,在IP地址设置正常情况下,可能会显示IP地址冲突。重新启动计算机或在NSDOS窗口下运行命令ARP-D后,又可恢复一段时间上网,局域网内的ARP暴增,使用ARP查询都时候会发现不正常的MAC地址,或者是错误的MAC地址对应。随着用户的增加,最后导致整个网络堵塞瘫痪。为了保证其他网段不受影响,只得把中毒网段关闭,给读者和工作人员带来很多不便。要想防治ARP病毒,首先就要了解什么是ARP协议以及ARP病毒攻击原理。
1 ARP攻击原理
ARP病毒一般属于木马病毒,不具备主动传播,自我复制的特征。但是由于其发作的时候,会向全网发送伪造ARP数据包,干扰全网的运行,因此它的危害比一些蠕虫病毒还要严重。
1.1 ARP(Address Resolution Protocd)是地址解析协议,是一种将IP地址转化成物理地址协议,也就是将计算机的网络地址(IP地址32位)转换为物理地址(MAC地址48位)。
在以太网为通信协议标准都图书馆局域网中,计算机之间都相互通信一般是通过数据包的传递来实现的。当局域网的机器通过IP协议通信时,IP包从上层一直下传到数据链路层,以太头中包括目的MAC地址,源MAC地址和协议,源地址是自己网卡的MAC地址,可以得到,协议对于IP包来说是Ox0800(网络序),而目的MAC地址呢7所知道的目前只是目的IP地址,ARP协议就是把IP地址转换为IP地址的一个底层协议,一般人很少注意。
为得到一个IP地址对应的MAC地址,主机就会发出ARP请求,比如MAC是FF:FF:FF:FF:FF:FF,协议0x0806,表示是ARP协议,协议类型字段表示要映射的协议地址类型。它的值与包含IP数据报的类型字段的值相同,这是有意设计的,为Ox0800即表示IP包。接下来的两个1字节的字段,硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度,以字节为单位。对于局域网IP地址的ARP请求或应答来说,它们的值分别为6和4。操作字段指出四种操作类型,它们是ARP请求(值为1)、ARP应答(值为2)、RARP请求(值为3)和ARP应答(值为4),接下来的四个字段是发送端的硬件地址、发送端的协议地址(IP地址)、目的端的硬件地址和目的端的协议地址。对于一个ARP请求来说,除目的端硬件地址外的所有其他的字段都有填充值。当系统收到一份目的端为本机的ARP请求报文后,它就把硬件地址填进去。然后用两个目的端地址分别替换两个发送端地址,并把操作字段置为2,最后把它发送回去。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从安全网关上网,切换过程中用户会再断一次线。
1.2 ARP病毒欺骗分为三种
第一种是通过伪造II)和MAC的对应关系,实现某一计算机对其他计算机的欺骗。如计算机A通过计算机B的MAC欺骗计算机C,以达到监听计算机B和计算机C的目的,并且导致计算机B到计算机C之间的网络连接中断。第二种是通过伪造网关,实现对内网计算机的网关欺骗。它的原理是建立假网关,让被它欺骗的PC向加网关发数据,而不是通过正常的路由器途径上网,在PC看来,就是上不了网了。第三种就是路由器ARP表的欺骗,通过通知路由器一系列错误的内网MAC地址,并按照一定效率不断进行,使真实的地址信息无法通过跟新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法接受信息。
2 查找感染ARP病毒的电脑
2.1 通过交换机功能查找。进入到交换机全局状态,输入Showarp命令,在对应的IP,MAC地址列表中就可以查找到。
2.2 管理人员应事先将正确网关MAC和本局域内电脑对应的]P和MAC记录在案,当ARP病毒发作,导致网络故障时,进入故障电脑的MS-DOS窗口输人命令,arp-a查看网关II)对应的MAC地址,然后使用命令:ipconfig-aU,查看故障电脑本地网卡的MAC地址,将其得到的地址记录下来,对比排查后,找到病毒源做相应处理
2.3 利用NBTSCANR软件来对病毒主机查找
3 ARP欺骗的防范措施
3.1 安装ARP防火墙。我馆电子阅览室用的360安全卫士。它有在系统内核层拦截外部虚假ARP数据包,在系统内核层拦截本机对外ARP攻击数据包,拦截IP冲突,DOS攻击抑制等,很好地保障系统不受ARP欺骗、ARP攻击影响。操持网络畅通及通讯安全。
3.2 网关的lP和MAC地址静态绑定。首先在网关服务器(代理主机)的电脑上查看本机MAC地址,然后在做客户机器的DOS命令下做ARP静态绑定。ARP静态绑定最后做成一个Windows自动启动文件,让电脑一启动就执行以上操作,保证配置不丢失。
结束语
图书馆电子阅览室用户庞杂,用户只要在局域网中发送和接受ARP报文,就有可能受到虚假信息的欺骗,只要不断地跟新方法,才能避免遭受病毒攻击和破坏。
[关键词]电子阅览室 ARP协议 AKP欺骗
近段时间里,学校图书馆电子阅览室发现了一种ARP病毒,在电子阅览室中,当被这种病毒攻击后,电子阅览室内原本可以正常上网的计算机,无法打开网页或者网页速度缓慢,连接时断时续,包括访问网上邻居也是如此,拷贝文件无法完成出现错误。双击任务栏中本地连接图标,显示为已经连接,并且发现发送的数据包明显少于接受数据包,在IP地址设置正常情况下,可能会显示IP地址冲突。重新启动计算机或在NSDOS窗口下运行命令ARP-D后,又可恢复一段时间上网,局域网内的ARP暴增,使用ARP查询都时候会发现不正常的MAC地址,或者是错误的MAC地址对应。随着用户的增加,最后导致整个网络堵塞瘫痪。为了保证其他网段不受影响,只得把中毒网段关闭,给读者和工作人员带来很多不便。要想防治ARP病毒,首先就要了解什么是ARP协议以及ARP病毒攻击原理。
1 ARP攻击原理
ARP病毒一般属于木马病毒,不具备主动传播,自我复制的特征。但是由于其发作的时候,会向全网发送伪造ARP数据包,干扰全网的运行,因此它的危害比一些蠕虫病毒还要严重。
1.1 ARP(Address Resolution Protocd)是地址解析协议,是一种将IP地址转化成物理地址协议,也就是将计算机的网络地址(IP地址32位)转换为物理地址(MAC地址48位)。
在以太网为通信协议标准都图书馆局域网中,计算机之间都相互通信一般是通过数据包的传递来实现的。当局域网的机器通过IP协议通信时,IP包从上层一直下传到数据链路层,以太头中包括目的MAC地址,源MAC地址和协议,源地址是自己网卡的MAC地址,可以得到,协议对于IP包来说是Ox0800(网络序),而目的MAC地址呢7所知道的目前只是目的IP地址,ARP协议就是把IP地址转换为IP地址的一个底层协议,一般人很少注意。
为得到一个IP地址对应的MAC地址,主机就会发出ARP请求,比如MAC是FF:FF:FF:FF:FF:FF,协议0x0806,表示是ARP协议,协议类型字段表示要映射的协议地址类型。它的值与包含IP数据报的类型字段的值相同,这是有意设计的,为Ox0800即表示IP包。接下来的两个1字节的字段,硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度,以字节为单位。对于局域网IP地址的ARP请求或应答来说,它们的值分别为6和4。操作字段指出四种操作类型,它们是ARP请求(值为1)、ARP应答(值为2)、RARP请求(值为3)和ARP应答(值为4),接下来的四个字段是发送端的硬件地址、发送端的协议地址(IP地址)、目的端的硬件地址和目的端的协议地址。对于一个ARP请求来说,除目的端硬件地址外的所有其他的字段都有填充值。当系统收到一份目的端为本机的ARP请求报文后,它就把硬件地址填进去。然后用两个目的端地址分别替换两个发送端地址,并把操作字段置为2,最后把它发送回去。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从安全网关上网,切换过程中用户会再断一次线。
1.2 ARP病毒欺骗分为三种
第一种是通过伪造II)和MAC的对应关系,实现某一计算机对其他计算机的欺骗。如计算机A通过计算机B的MAC欺骗计算机C,以达到监听计算机B和计算机C的目的,并且导致计算机B到计算机C之间的网络连接中断。第二种是通过伪造网关,实现对内网计算机的网关欺骗。它的原理是建立假网关,让被它欺骗的PC向加网关发数据,而不是通过正常的路由器途径上网,在PC看来,就是上不了网了。第三种就是路由器ARP表的欺骗,通过通知路由器一系列错误的内网MAC地址,并按照一定效率不断进行,使真实的地址信息无法通过跟新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法接受信息。
2 查找感染ARP病毒的电脑
2.1 通过交换机功能查找。进入到交换机全局状态,输入Showarp命令,在对应的IP,MAC地址列表中就可以查找到。
2.2 管理人员应事先将正确网关MAC和本局域内电脑对应的]P和MAC记录在案,当ARP病毒发作,导致网络故障时,进入故障电脑的MS-DOS窗口输人命令,arp-a查看网关II)对应的MAC地址,然后使用命令:ipconfig-aU,查看故障电脑本地网卡的MAC地址,将其得到的地址记录下来,对比排查后,找到病毒源做相应处理
2.3 利用NBTSCANR软件来对病毒主机查找
3 ARP欺骗的防范措施
3.1 安装ARP防火墙。我馆电子阅览室用的360安全卫士。它有在系统内核层拦截外部虚假ARP数据包,在系统内核层拦截本机对外ARP攻击数据包,拦截IP冲突,DOS攻击抑制等,很好地保障系统不受ARP欺骗、ARP攻击影响。操持网络畅通及通讯安全。
3.2 网关的lP和MAC地址静态绑定。首先在网关服务器(代理主机)的电脑上查看本机MAC地址,然后在做客户机器的DOS命令下做ARP静态绑定。ARP静态绑定最后做成一个Windows自动启动文件,让电脑一启动就执行以上操作,保证配置不丢失。
结束语
图书馆电子阅览室用户庞杂,用户只要在局域网中发送和接受ARP报文,就有可能受到虚假信息的欺骗,只要不断地跟新方法,才能避免遭受病毒攻击和破坏。