资源描述:
《arp病毒攻击原理与防御方法 》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、ARP病毒攻击原理与防御方法 最近校园X内ARP欺骗病毒扩散,时常会出现校园X内计算机上X断断续续或者越来越慢直到拥塞不通的情况。在一个X段中只要有一台计算机感染了ARP欺骗病毒运行ARP欺骗的木马程序,就会欺骗局域X内所有主机和路由器,影响整个X内计算机的正常上X。 一、ARP协议介绍 ARP协议即地址解析协议。局域X中的IP数据包是通过以太X发送的,而以太X设备并不识别IP地址而是只识别物理地址(MAC)。ARP地址解析协议就是在计算机相互通信时,实现IP地址和物理地址的转换以确保信息正确的到达目的主机的协议。 每台计算机都会有一个A
2、RP缓存表,缓存表里保存着目标设备的IP-MAC地址映射。ARP缓存表采用了老化机制,只保存最近一段时间内监听到的ARP信息以缩短缓存表长度提高查询效率。当客户机对某一IP地址的主机有通信需求时,首先会在自己的ARP缓存表里查询有没有相应的IP-MAC地址映射。如果有则封装ARP报文发送数据帧,如果没有则广播ARP请求询问目标机器的物理地址,然后监听信道上的ARP应答。值得一提的是,当客户机发出ARP请求后,同时也会监听信道上的其它ARP请求。收到ARP回答后新的地址映射将被存入ARP缓存表。 二、ARP病毒攻击原理 因为ARP缓存表是可以
3、随时更新的动态缓存表,所以攻击者完全可以发送一个带有欺骗性的ARP请求或者回答,以更改ARP缓存表中的地址映射,使得被攻击的主机的地址解析发生错误,将信息发往攻击者希望的机器地址,以达到窃取信息的目的。 APR欺骗通常有针对局域X内计算机的欺骗、针对交换机的欺骗与针对DHCP服务的欺骗几种。下面分别对这几种ARP欺骗方法进行介绍。 2.1针对局域X内计算机的欺骗 由于局域X内各个计算机的ARP缓存表都是根据信道上的ARP响应包动态变化的,而且并不是只监听自己发出的ARP请求。所以局域X中的攻击者想要利用ARP欺骗窃取内X中某台主机发出的信
4、息或者破坏X络的正常通信是很容易的。例如A主机要发送信息给B主机,而C主机想得到他们的信息。C只需向A和B发送ARP应答包让他们都以为对方的MAC地址是C的MAC地址就可以了,这样看起来A和B是直接通信,但实际上信息都是通过C来转发的,这样C就可以轻松地得到A和B的通信内容。当然针对局域X内计算机的ARP欺骗还有很多,常见的比如篡改X关的MAC地址(通常将X关的MAC地址改成自己的MAC地址),或者干脆大量发送伪造的ARP数据包造成局域X中计算机ARP缓存表的崩溃,使得X内计算机不能正常上X。 2.2针对DHCP服务的欺骗 DHCP是Dyn
5、amicHostConfigurationProtocol(动态主机分配协议)的缩写,它是TCP/IP协议簇中的一种,主要是用来给X络中的计算机机分配动态的IP地址。使用DHCP可以大大简化配置客户机的TCP/IP的工作,尤其是当某些TCP/IP参数改变时,如X络的大规模重建而引起的IP地址和子X掩码的更改。但是由于DHCP服务器和客户端之间没有认证机制,如果有木马病毒让该DHCP服务器分配错误的IP地址和其他X络参数,那就会对X络造成非常大的危害。病毒的攻击方式通常是将DHCP所能分配的IP地址耗尽,然后通过伪造MAC地址来冒充DHCP服务器
6、,然后给客户机提供一个假的DNS地址,这样用户就很容易被引导到一个假的X站,这样攻击者就可以得到他们想要的用户密码等信息。 三、防御方法 综上所述,ARP欺骗病毒的根本运作机理就是伪造物理地址(MAC)。现在已经有许多方法和软件可以用来防止MAC地址欺骗。最常用的是在交换设备上进行IP-MAC地址绑定。这样做不仅可以防止ARP欺骗病毒,也可以解决IP的盗用问题。其操作依靠人工,工作量必然会加大,但是能大大提高局域X的安全性。现在许多单位的局域X都采用了IP-MAC地址的绑定技术。现在许多交换设备也已经带有一定的防御ARP攻击的功能。另外X内
7、的计算机要及时更新操作系统,打上各种漏洞补丁。安装可靠的杀毒软件和防火墙。现在已经有很多防火墙软件带有专门的ARP防火墙可以有效地阻挡ARP攻击(如360防火墙)。 四、结语 以上分析了ARP欺骗病毒的攻击原理和基本的防御方法。鉴于ARP欺骗病毒对于局域X的严重危害,我们应该重视对它的日常防御,熟悉解决方法,以保证局域X的正常运行。
