淺談ARP病毒在局域網(wǎng)中的分析處理及防御

ARP病毒在局域網(wǎng)中的

分析處理及防御精選課件

本文將對局域網(wǎng)中發(fā)生的ARP病毒故障現(xiàn)象及故障診斷進行介紹，同時介紹ARP協(xié)議的工作原理及常見的ARP病毒的攻擊方式，以及如何處理和防御ARP病毒攻擊的方法，以達到全面防御維護局域網(wǎng)網(wǎng)絡安全的目的。

關鍵詞：地址解析協(xié)議，ARP欺騙，網(wǎng)絡安全

精選課件目錄

一、ARP病毒的故障現(xiàn)象四、ARP病毒的故障診斷二、ARP協(xié)議的工作原理三、ARP病毒攻擊方式五、ARP病毒的故障處理六、預防措施精選課件

我們知道，當我們在瀏覽器里面輸入網(wǎng)址時，DNS服務器會自動把它解析為IP地址，瀏覽器實際上查找的是IP地址而不是網(wǎng)址。那么IP地址是如何轉換為第二層物理地址（即MAC地址）的呢？在局域網(wǎng)中，這是通過ARP協(xié)議來完成的。ARP協(xié)議對網(wǎng)絡安全具有重要的意義。通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網(wǎng)絡中產(chǎn)生大量的ARP通信量，使網(wǎng)絡阻塞。精選課件一、ARP病毒的故障現(xiàn)象ARP病毒現(xiàn)象表現(xiàn)為：計算機網(wǎng)絡連接正常，網(wǎng)絡運行不穩(wěn)定，無法PING通網(wǎng)關的IP地址、但可以PING通自己的IP地址，上網(wǎng)時會突然掉線，過一段時間后又會恢復正常。比如出現(xiàn)用戶頻繁斷網(wǎng)，IE瀏覽器頻繁出錯等現(xiàn)象。重啟電腦或在MS-DOS窗口下運行命令arp-d后，又可恢復上網(wǎng)。精選課件二、ARP協(xié)議的工作原理1、什么是ARP協(xié)議IP數(shù)據(jù)包常通過以太網(wǎng)發(fā)送。以太網(wǎng)設備并不識別32位IP地址，它們是以48位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包的。因此，必須把目的IP地址轉換成目的MAC地址。在這兩種地址之間存在著某種對應的映射，常常需要查看一張表。地址解析協(xié)議(AddressResolutionProtocol，ARP)就是用來確定這些映像的協(xié)議。在局域網(wǎng)中，就是通過ARP協(xié)議來完成IP地址轉換為第二層物理地址（即MAC地址）的。網(wǎng)絡中實際傳輸?shù)氖恰皫保瑤锩媸怯心繕酥鳈C的MAC地址的。在以太網(wǎng)中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。這個目標MAC地址是通過地址解析協(xié)議即ARP協(xié)議獲得的。所謂“地址解析”就是主機在發(fā)送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協(xié)議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的順利進行。精選課件每臺安裝有TCP/IP協(xié)議的計算機主機里都有一個ARP緩存表，表中的IP地址MAC地址是一一對應的，如表1所示：表1地址解析協(xié)議緩存地址表值得注意的一點是：ARP緩存表采用了一種老化機制，在一定的時間內(nèi)如果某一條記錄沒有被使用過就會被刪除。這樣可以大大減少ARP緩存表的長度，加快查詢速度。主機IP地址MAC地址A192.168.1.1

AA-AA-AA-AA-AA-AAB192.168.1.2BB-BB-BB-BB-BB-BBC192.168.1.3CC-CC-CC-CC-CC-CC精選課件2、什么是ARP欺騙ARP欺騙是一種利用計算機病毒使計算機網(wǎng)絡無法正常運行的計算機攻擊手段。包括進行對主機發(fā)動IP沖突攻擊、數(shù)據(jù)包轟炸，切斷局域網(wǎng)上任何一臺主機的網(wǎng)絡連接等。主要有以盜取數(shù)據(jù)為主要目的的ARP欺騙攻擊，感染的計算機試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡內(nèi)其它計算機的通信信息，并因此造成網(wǎng)內(nèi)其它計算機的通信故障。

ARP的攻擊問題影響很大，局域網(wǎng)內(nèi)一旦有ARP的攻擊存在，會欺騙局域網(wǎng)內(nèi)所有的主機和網(wǎng)關，讓所有上網(wǎng)的流量必須經(jīng)過ARP攻擊者控制的主機。其它用戶原來直接通過網(wǎng)關上網(wǎng)，現(xiàn)在卻轉由通過被控主機轉發(fā)上網(wǎng)。由于被控主機性能和程序性能的影響，這種轉發(fā)并不會非常流暢，因此就會導致用戶上網(wǎng)的速度變慢甚至頻繁斷線。另外ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數(shù)據(jù)包導致局域網(wǎng)網(wǎng)絡擁塞以及其自身處理能力的限制，用戶會感覺上網(wǎng)速度越來越慢。ARP欺騙木馬只需成功感染一臺電腦，就可能導致整個局域網(wǎng)無法上網(wǎng)，嚴重的可能帶來整個網(wǎng)絡的癱瘓。

精選課件3、ARP協(xié)議的工作原理

首先，每臺主機都會在自己的ARP緩沖區(qū)中建立一個ARP列表，以表示IP地址和MAC地址的對應關系。當源主機需要將一個數(shù)據(jù)包要發(fā)送到目的主機時，會首先檢查自己ARP列表中是否存在該IP地址對應的MAC地址，如果有﹐就直接將數(shù)據(jù)包發(fā)送到這個MAC地址；如果沒有，就向本地網(wǎng)段發(fā)起一個ARP請求的廣播包，查詢此目的主機對應的MAC地址。此ARP請求數(shù)據(jù)包里包括源主機的IP地址、硬件地址、以及目的主機的IP地址。

。

精選課件網(wǎng)絡中所有的主機收到這個ARP請求后，會檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此數(shù)據(jù)包；如果相同，該主機首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已經(jīng)存在該IP的信息，則將其覆蓋，然后給源主機發(fā)送一個ARP響應數(shù)據(jù)包，告訴對方自己是它需要查找的MAC地址；源主機收到這個ARP響應數(shù)據(jù)包后，將得到的目的主機的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息開始數(shù)據(jù)的傳輸。精選課件三、ARP病毒攻擊方式

從影響網(wǎng)絡連接通暢的方式來看，ARP攻擊分為兩種，一種是ARP泛洪；另一種是ARP欺騙。ARP泛洪：受ARP病毒感染的主機不斷向本地網(wǎng)絡內(nèi)其他主機發(fā)送大量的錯誤ARP應答報文，導致受攻擊主機的ARP表中的真實的ARP條目被刷新掉。因為錯誤的ARP條目占用了整個ARP表。所以，受攻擊主機就不能完成正確的二層尋址，也就不能實現(xiàn)Internet的訪問。這種攻擊的現(xiàn)象是，受攻擊主機即不能訪問本地網(wǎng)絡，也不能訪問外部網(wǎng)絡。精選課件

ARP欺騙：受ARP病毒感染的主機偽造IP地址為網(wǎng)關地址，MAC地址為本機MAC地址的虛假ARP應答報文發(fā)送給本地網(wǎng)絡內(nèi)的主機，以刷新受攻擊主機的正確的網(wǎng)關的ARP條目，誘使受攻擊主機將原本發(fā)往網(wǎng)關的數(shù)據(jù)包發(fā)送到感染ARP病毒的主機上。攻擊者通常利用這種方法來竊取被攻擊者的數(shù)據(jù)包中的信息。這種攻擊的現(xiàn)象是，受攻擊主機訪問外部網(wǎng)絡時斷時續(xù)，但是訪問本地網(wǎng)絡時不受影響。

精選課件四、ARP病毒的故障診斷

如果用戶發(fā)現(xiàn)計算機網(wǎng)絡連接正常，網(wǎng)絡運行不穩(wěn)定，頻繁斷網(wǎng)?？梢酝ㄟ^如下操作進行診斷：點擊“開始”按鈕

選擇“運行”輸入cmd再輸入“arp

-d”->點擊“確定”按鈕，然后重新嘗試上網(wǎng)，如果能恢復正常，則說明此次掉線可能是受ARP欺騙所致。

注：可以先用arp

-a命令查看一下，再用arp

-d清除主機arp表。主機的arp表被清空。如果這時可以正常上網(wǎng)，過一段時間又不能上網(wǎng)，再重復前面的過程又可以上網(wǎng)。則說明受到ARP攻擊。精選課件五、ARP病毒的故障處理（一）、從交換機上進行IP地址與MAC地址綁定設置

從交換機的角度，可以使用命令進行IP地址和MAC地址的綁定。以中興ZXR10解決方案為例，中興ZXR10在交換機上提供IP地址和MAC地址的綁定功能，并建立綁定關系。在進行ARP綁定前首先要確定網(wǎng)絡是正常運行的，然后再進行ARP綁定設置。這樣可以有效地提高網(wǎng)絡安全性和穩(wěn)定性。

當更換電腦網(wǎng)卡時要更新靜態(tài)ARP映射表。否則由于更換了網(wǎng)卡的主機的MAC地址與ARP表中的不一致，也會導致無法上網(wǎng)，應相應的給予修改。精選課件精選課件（二）、從客戶端主機進行ARP綁定設置處理方法

步驟一：在能上網(wǎng)的時候點擊“開始”按鈕選擇“運行”輸入cmd輸入“arp

-a”則會顯示網(wǎng)關的正確MAC地址和IP地址（記錄下來為以后查殺ARP病毒做準備）。如果不能上網(wǎng)，則先運行一次“arp

-d”，將arp緩存中的內(nèi)容清空，計算機可暫時上網(wǎng)。

步驟二：已經(jīng)有網(wǎng)關正確的MAC地址和IP地址，手工將MAC地址和IP地址綁定，計算機可以免受ARP攻擊的干擾。手工綁定可在MS-DOS下運行以下命令：“arp

-s網(wǎng)關IP地址網(wǎng)關MAC地址”例如：在運行中輸入cmd輸入“arp

-a”命令，則會顯示局域網(wǎng)網(wǎng)關的IP地址和MAC地址，如下圖：

InternetAddressPhysicalAddressType60.2.11.100-19-C6-07-5A-21dynamicI（動態(tài)）精選課件精選課件

那么手工綁定的命令為：“arp

-s60.2.11.1

00-19-C6-07-5A-21”（注意要寫自己局域網(wǎng)網(wǎng)關的IP地址和MAC地址）。綁定完可再用“arp

-a”命令查看arp緩存表，則會發(fā)現(xiàn)網(wǎng)關類型變成了靜態(tài)：

InternetAddressPhysicalAddressType

60.2.11.100-19-C6-07-5A-21static（靜態(tài)）精選課件精選課件

但是，需要說明的是手工綁定在計算機關機重開機后就會失效，需要再綁定。我們可以編寫一個批處理文件，放到啟動項中，這樣每次開機都會運行這個程序，可以防止arp攻擊。請按照以下步驟操作：

1)編寫一個批處理文件arp.bat內(nèi)容如下：如圖所示：

@echooff

arp-d

arp-s60.2.11.1

00-19-C6-07-5A-21精選課件將文件中的網(wǎng)關IP地址和MAC地址更改為您自己的網(wǎng)關IP地址和MAC地址即可。精選課件精選課件

2）保存文件夾（自啟動文件夾）：C:\DocumentsandSettings\AllUsers\「開始」菜單\程序\啟動(注意,一定是AllUsers目錄下)

3）重起計算機

4）操作完成后可以看到:桌面→開始菜單→所有程序→啟動→arp.bat，切記不要刪!注：此方法要是換網(wǎng)段的話要重新設置。所以要徹底消除攻擊則要找出被病毒感染的計算機，殺除arp病毒，方可解決。精選課件（三）、找出受病毒感染的計算機并查殺病毒

目前關于ARP類的防護軟件出的比較多，結合使用軟件可以找到受病毒感染計算機的MAC地址和IP地址，也就找到了該計算機。

AntiArpSniffer是一款檢測網(wǎng)絡內(nèi)存在ARP木馬欺騙的工具。當懷疑網(wǎng)絡內(nèi)存在ARP木馬時，可使用此工具來進行自我保護?；蛘咴O置為自動運行，可以免受ARP欺騙木馬的感染。網(wǎng)絡內(nèi)存在ARP欺騙木馬時的癥狀通常如下：物理網(wǎng)絡正常的情況下，網(wǎng)絡不穩(wěn)定，上網(wǎng)時斷時續(xù)。或者是突然不能連接互連網(wǎng)。這時您可以使用AntiArpSniffer來進行自我保護。更深入一步，也可以檢測到感染ARP欺騙木馬的主機地址和MAC地址，這時我們可以和網(wǎng)管人員一起來找出病源，專門針對該機器進行病毒的查殺。首先要升級防病毒軟件的病毒定義碼，使得防病毒軟件的病毒庫為最新。然后斷開網(wǎng)線，查殺病毒。精選課件精選課件六、預防措施：機器被感染病毒，主要是防范意識薄弱，即使你的機器現(xiàn)在清除了該病毒，但以后仍然會感染新的病毒（包括該病毒變種及其他病毒）。為了有效防范來自病毒、黑客的網(wǎng)絡攻擊，要養(yǎng)成良好的使用習慣。1、不要隨便點擊打開QQ、MSN等聊天工具上發(fā)來的鏈接信息，不要隨便