计算机病毒是指什么_ARP协议及ARP病毒浅谈
时间:2020-03-25 07:20:32 来源:雅意学习网 本文已影响 人 
摘要:随着计算机网络的普及,很多公司、企业、学校等都建立了自己的局域网,这确实给工作带来了很大的方便,提高了工作效率。但与此同时专门针对局域网的木马病毒也随之出现,特别是近些年ARP木马病毒很是猖獗,给我们的日常工作带来了很多麻烦。本文仅就ARP木马病毒进行介绍与分析,包括其类型、攻击计算机时的一些症状、攻击的原理及预防方法和注意事项。
关键词:ARP协议;ARP病毒;局域网
中图分类号:TP30 文献标识码:A 文章编号:(2008)04-0084-04
一、ARP协议简介
ARP全称为Address Resolution Protocol,地址解析协议。所谓“地址解析”就是主机在发送数据包前将目标主机IP地址转换成目标主机MAC地址(网卡的物理地址)的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。局域网中的所有IP通信最终都必须转换到基于MAC地址的通信。一般局域网中每台机器都会缓存一个IP到MAC的转换地址表,使得不用每次要向其他机器发送信息时都要重新解析一遍。但是由于该协议存在某些缺陷,使得局域网中恶意的机器可以发送虚假的ARP包来欺骗其他机器,使得其他机器获得虚假的IP与MAV对应关系。
局域网一般通过统一的网关来访问外部网络,比如上网浏览网页(http协议),某机器上的恶意代码通过欺骗,让其他机器将网关IP的MAC地址都指向自己,又欺骗网关使得其他机器IP的MAC地址也指向自己,只有它自己保存着一份真实的IP―MAC转换表。这样,基于网中所有机器的上网包都通过该恶意代码的机器进行转发,从而该代码就能截获局域网其他用户的很多上网信息。这种采用ARP欺骗的恶意代码就是ARP病毒。
二、ARP病毒
ARP地址欺骗类病毒(以下简称ARP病毒)是一类特殊的计算机病毒,该病毒一般属于木马(Troian)病毒,不具备主动传播的特性,不会自我复制。但是由于其发作的时候会向局域网发送伪造的ARP数据包,自身伪装成网关,干扰全网的运行,因此它的危害比一些蠕虫还要严重得多。
下面我们来看一下ARP病毒有哪些类型。
ARP病毒大致分三类:
第一种:病毒主机只冒充网关IP地址。如果其他用户的电脑事先把网关的MAC地址做了ARP绑定,那么病毒主机其实影响不到它。安装了AntiARP之类的软件也能起到预防效果。
第二种:病毒主机疯狂地与全网所有IP地址进行冲突。遭受到IP冲突攻击的电脑往往会突然有几秒钟网络不通,然后恢复正常,几分钟后,下一轮冲突开始,又会断网几分钟。对于这一种病毒,即使装了AntiARP之类的软件,效果也不大,甚至在交换机上做MAC地址绑定都用处不大。只能把病毒机器所在的交换机端口down掉。
第三种:这是目前最厉害的ARP病毒,它可以进行双向ARP欺骗。病毒主机随机选择一些内网的在线主机进行欺骗,告诉它们病毒主机就是防火墙,然后他又欺骗防火墙,说那些被欺骗的主机的MAC地址都是我病毒主机的MAC地址。这样一来,防火墙的ARP表中,那些主机的IP对应的MAC是病毒主机的,而被骗的主机则都把数据发给病毒主机进行转发,而防火墙返回的数据包也都会经过病毒主机转发,病毒主机就可以从数据包中抓取游戏帐号、密码等信息。
三、ARP病毒发作时的现象
1 网上银行、游戏及QQ账号的频繁丢失
一些人为了获取非法利益,利用ARP欺骗程序在网内进行非法活动,此类程序的主要目的在于破解账号登陆时的加密解密算法,通过截取局域网中的数据包,然后以分析数据通讯协议的方法截获用户的信息。运行这类木马病毒,就可以获得整个局域网中上网用户账号的详细信息并盗取。
2 网速时快时慢,极其不稳定,但单机进行光纤数据测试时一切正常
当局域内的某台计算机被ARP的欺骗程序非法侵入后,它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包,阻塞网络通道,造成网络设备的承载过重,导致网络的通讯质量不稳定。
3 局域网内频繁性区域或整体掉线,重启计算机或网络设备后恢复正常
当带有ARP欺骗程序的计算机在局域网内进行通讯时,就会导致频繁掉线、IE浏览器频繁出错,以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS―DOS窗口下运行命令arp―d后,又可恢复上网。
四、网络中断原因――ARP欺骗
ARP欺骗木马病毒只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。,如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。那么为什么ARP病毒发作时会导致网络中断、时断时续等症状的出现呢?
当局域网内某台主机感染了ARP病毒时,会向本局域网内(指某一网段,比如:172.16.100.0这一段)所有主机发送ARP欺骗攻击,让原本流向网络中心的流量改道流向病毒主机,并通过病毒主机代理上网。因客户端具有防代理功能,造成受害者无法通过病毒主机上网。由于病毒发作时发出大量数据包会将网络拥塞,大家会感觉上网速度越来越慢。中毒者同样如此,受其自身处理能力的限制,感觉运行速度很慢时,可能会采取重新启动或其他措施。此时病毒短时间停止工作,大家会感到网络恢复正常。如此反复,就造成网络时断时续。
其实,此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首,是网吧老板和网管员的心腹大患。从影响网络连接通畅的方式来看,ARP欺骗分为两种:一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是――截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是――伪造网关。它的原理是建立虚假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。
五、ARP欺骗原理
在每台安装有TCP/IP协议的电脑里都有一个 ARP缓存表,表里的IP地址与MAC地址是一一对应的。当某机器A要向主机B发送报文时,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia――物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,当局域网中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答是B冒充C伪造来的,即IP地址为c的IP,而MAC地址是伪造的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C这就是一个简单的ARP欺骗。
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断地发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP―MAC条目,造成网络中断或中间人攻击。那么如何进行ARP病毒检测、诊断和防治呢?
六、诊断、检测和防治ARP病毒
如果用户发现以上疑似情况,可以通过如下操作进行诊断:点击“开始”按钮―>选择“运行”―输入CMD后单击“确定”,在出现的窗口中输入“arp―d”后敲回车。然后重新尝试上网,如果能恢复正常则说明此次掉线可能是受ARP欺骗所致。(“arp―d”命令用于清除并重建本机arp表并不能抵御ARP欺骗,执行后仍有可能再次遭受ARP攻击。)
可以使用局域网内ARP病毒检测工具AntiArp程序。运行输AntiArp程序后输入本网段的网关IP地址,点击“获取网关MAC地址”,检查网关IP地址和MAC地址无误后,点击“自动保护”。若不知道网关IP地址,可通过以下操作获取:点击“开始”按钮―>选择“运行”―>输入“cmd”点击“确定”―>输入“ipconfig”按回车,“Default Gateway”后的IP地址就是网关地址。AntiArp软件会在提示框内出现病毒主机的MAC地址。(例如某台主机的地址是00:E0:63:9A:5C:3D,除此之外检测到的就是ARP攻击地址,可上报网络中心进行屏蔽)
要防治ARP病毒可在计算机上安装ARP防火墙,这样既可以拦截外部ARP欺骗广播,也可以拦截本机ARP病毒对外部发送ARP欺骗广播,达到既不受外部ARP病毒影响,也不影响外部其他计算机的目的。
七、常用的解决方法及注意事项
为了避免ARP病毒攻击,我们尽量不要把网络安全信任关系建立在IP基础上或MAC基础上。常用的ARP病毒解决思路是设置静态的MAC――>IP对应表,不要让主机刷新你设定好的转换表。除非必要,否则停止ARP使用,把ARP作为永久条目保存在对应表中。使用ARP服务器。确保这台ARP服务器不被黑。使用“proxy”代理IP传输;使用硬件屏蔽主机;定期用响应的IP包中获得一个RARP请求,检查ARP响应的真实性;定期轮询,检查主机上的ARP缓存;使用防火墙连续监控网络等。
目前对于ARP攻击防护问题使用最多的方法是绑定IP和MAC和使用ARP防护软件,也出现了具有ARP防护功能的路由器。我们来简单了解一下这三种方法。
1 静态绑定
最常用的方法就是做IP和MAC静态绑定,在网内把主机和网关都做IP和MAC绑定。欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全部设置为静态可以解决对内网PC的欺骗,同时在网关也要进行IP和MAC的静态绑定,这样双向绑定才比较保险。
方法:对每台主机进行IP和MAC地址静态绑定。
通过命令,arp―s可以实现“arp―s IP MAC地址”。
例如:“arp―s 192.168.10.1 AA―AA―AA―AA―AA―AA”。
如果设置成功会在PC上面通过执行arp―a可以看到相关的提示:
Interact Address Physical Address Type
192.168.10.1 AA―AA―AA―AA―AA―AAstatic(静态)
一般不绑定,在动态的情况下:
Internet Address Physical Address Type
192.168.10.1 AA―AA―AA―AA―AA―AAdynamic(动态)
说明:对于网络中有很多主机,500台,1000台……如果我们这样每一台都去做静态绑定,工作量是非常大的……这种静态绑定,在电脑每次重起后,都必须重新再绑定,虽然也可以做一个批处理文件,但是还是比较麻烦的。
2 使用ARP防护软件
目前关于ARP类的防护软件出得比较多了。大家使用比较常用的ARP工具主要是欣向ARP工具、Antiarp等。它们除了本身来检测出ARP攻击外,防护的工作原理是一定频率向网络广播正确的ARP信息。
3 具有ARP防护功能的路由器
这类路由器以前听说得很少,对于这类路由器中提到的ARP防护功能,其实它的原理就是定期地发送自己正确的ARP信息。但是路由器的这种功能对于真正意义上的攻击,是不能解决的。
目前针对ARP病毒攻击还没有完全有效的防范方法,那么就要求我们平时使用计算机时要多加注意。下面就列举几点注意事项与大家交流:
(1)不要随便点击打开QQ、MSN等聊天工具上发来的链接信息及程序,不要随便打开或运行陌生、可疑文件和程序,如邮件中的陌生附件、外挂程序等。
(2)经常从网上下载软件的请注意,网上很多软件都是带病毒的!同时,很多提供下载的网站(包括课件、音乐、电影、动画、程序等等)都是个人小网站,安全性很差,网页本身也带有病毒,当你打开这些网站或下载时,很容易中毒或中木马!!!
(3)养成右击“我的电脑”选择“资源管理器”来打开我的电脑的良好习惯,不再使用双击方式打开“我的电脑”,因为双击时会启动该盘符下的默认自动运行的程序,而该功能恰恰经常被病毒利用。
(4)经常更新杀毒软件(病毒库),安装正版的网络版杀毒软件并且要及时更新。
[责任编辑 沈 勇]
推荐访问:浅谈 协议 病毒 ARP协议及ARP病毒浅谈 arp协议作用是连接ip层 arp协议的作用是用于
