【摘要】本文首先介绍了ARP协议介绍及ARP病毒攻击的原理和目的,其次探讨了受到攻击后计算机终端表现、ARP病毒的预防措施及遭遇ARP病毒攻击后的快速处理方法。本文的讨论不仅为ARP病毒的防范提供依据,而且具有重要的理论意义。
中国论文网 http://www.xzbu.com/2/view-4539859.htm
【关键词】局域网;ARP病毒;攻击;防范
中图分类号:TP393.1 文献标识码:A 文章编号:
一、前言
随着经济的快速发展,我国的互联网行业取得了前所未有的成就。人们在享受互联网带来的便利的同时,也受到病毒的攻击,对互联网行业的发展使及其不利的。ARP是一种常见的病毒,对局域网有一定的攻击作用,我们应该加强对其的研究,提高防范意识。
二、ARP协议介绍及ARP病毒攻击的原理和目的
1、ARP协议介绍
ARP协议是TCP/IP协议组的一个协议,用于进行把网络地址翻译成物理地址(又称MAC地址)。ARP病毒并不是某一种病毒的名称,而是对利用 ARP 协议的漏洞进行传播的一类病毒的总称。ARP 病毒也叫 ARP 地址欺骗类病毒,这是一类特殊的病毒。该病毒一般属于木马病毒,不具备主动传播的特性,不会自我复制,但是由于其发作的时候,会向全网发送伪造的 ARP 数据包,严重干扰全网的正常运行。ARP 病毒发作时,通常会造成网络掉线,但网络连接正常,内网的部分电脑不能上网,或者所有电脑均不能上网,无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象,严重影响到企业网络、网吧、校园网络等局域网的正常运行。
2、ARP病毒攻击的原理
ARP病毒攻击的基本途径是通过伪造IP地址和MAC地址,实施ARP欺骗,使设备无法查询到IP对应的正确MAC地址,导致报文发送错误,造成网络通信混乱甚至瘫痪。一般地,ARP病毒攻击网络的表现形式有三种,一是伪冒网关;二是欺骗网关;三是中间人攻击。
(1)伪冒网关攻击
攻击者伪造ARP报文,发送源IP地址为网关IP地址、源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机,使这些主机更新ARP表中网关IP地址的对应关系。这样,主机访问网关的流量,被重新定向到个错误的MAC地址,导致用户无法正常访问外网。这样,如果某台PC机的ARP表被攻击者修改,它就无法正常上网。而且,攻击者还可以使用第三方PC机的MAC作为伪造MAC。这样即使在被攻击者PC机上查到了伪造MAC地址,也很难定位哪台PC机是真正的攻击者。
(2)欺骗网关攻击
攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC的ARP报文给网关,使网关更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样,网关发给该用户的所有数据全部重定向一个错误的MAC地址,导致该用户无法正常访问外网。
(3)中间人攻击
ARP中间人攻击是恶意攻击者想探听另外两台计算机之间的通信,它可以分别给这两台计算机发送伪造的ARP应答报文,使两台计算机更新自身ARP映射表中与对方IP地址相应的表项.此后这两台计算机之间通信实际上是通过黑客所在的主机间接进行的,黑客充当了中间人的角色,可以对信息进行窃取和篡改。
3、ARP病毒攻击的目的
ARP病毒攻击的目的:当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器 ,让所有上网的流量必须经过病毒主机。 其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。 切换到病毒主机上网后,如果用户已经登录了某些游戏或者网上银行服务器,那么病毒主机就会经常伪造断线的现象,那么用户就得重新登录服务器,此过程就是病毒主机盗取用户帐号和密码的过程。
三、受到攻击后计算机终端表现
网络受到ARP病毒攻击后,联网终端通常有以下的表现:
(1)上网速度变慢,网络内共享文件缓慢。
(2)ARP欺骗的中毒现象表现为:使用局域网时会突然掉线,过一段时间后又会恢复正常。比如客户端状态频频变慢,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。不能上网后,重启电脑或禁用网卡再启动就恢复正常,但一会儿又掉线。
(3)大面积同时掉线,或时通时断,同网段的PC机出现上网不正常。
ARP欺骗木马只需在局域网内成功感染一台电脑,就可能导致整个局域网许多用户都无法上网,严重的甚至可能带来整个网络的瘫痪。该木马发作时,除了导致用户上网出现时断时续的现象外,还会窃取用户密码,如盗取QQ密码、盗取各种网络游戏密码和账号、盗窃网上银行账号进行非法交易活动等。
四、ARP病毒的预防措施
针对以上这些问题,笔者结合对ARP病毒进行了长时间的研究,提出了自己关于防范的措施和建议:
1、升级计算机系统
及时对计算机系统补丁进行升级与加装,更新用户操作系统,定时更新病毒定义库。病毒是通过计算机系统漏洞进行传播的,所以要定时的加装并更新系统漏洞的补丁,减少病毒的入侵的可能性。充分利用WSUS技术建立相应的补丁分发系统,由于在现实生活中使用Windows update安装系统补丁的效果不是很理想,所以要采用更加安全的防卫措施,及时的更新用户操作系统,同时在正确认识病毒的基础上要定时更新病毒定义库,保持时刻最新的状态。现在的很多用户利用网络防病毒系统的升级不够及时,病毒定义库老化,导致系统防卫能力弱,易受病毒侵袭,所以要经常性的手动更新网络防病毒系统。
2、安装ARP病毒的专杀工具及防御软件
ARP病毒专杀工具的主要职能表现为内核层对虚假ARP包的拦截,以防范ARP病毒的欺骗与攻击,保持局域网的安全通畅运行,并对ARP缓冲表进行监督。如果发现MAC被恶意的篡改,ARP病毒专杀工具将自动报警并对其进行清除处理,然后告知正确的MAC地址。在正规官网上安装ARP防火墙软件(市面上较为流行的360),在较大的局域网中实行双向绑定,即在主机上和子机上安装防火墙客户端,同时,要拒绝安装使用不良的网管软件。
3、经常性的进行手动更新与杀毒
要定时对操作系统中的防火墙与杀毒软件进行升级,并开启实时监控,以拦截来自局域网内多种形态的ARP病毒数据包。在前期下载Anti ARP Sniffer,自动防护IP地址MAC地址,以确保网络的健康运行。
4、专用ARP防护软件
ARP防护软件不仅可检测出ARP病毒攻击,还可以按一定频率向网络广播正确的ARP信息,从而达到保护ARP信息不被病毒任意篡改的目的。常用的防护软件有Antiarp、360安全卫士等。
(1) Antiarp软件。Antiarp软件具有地址保护、攻击追踪及冲突预防等功能。地址防护设置:填入网关IP地址,点击[获取网关地址]将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。
(2)360安全卫士。360安全卫士能对ARP木马病毒的攻击行为实施有效拦截,效果不错。下载(下载地址http://www.360.cn)安装后,在/实时保护0选项中开户/局域网ARP攻击拦截0选项即可
五、遭遇ARP病毒攻击后的快速处理方法
ARP病毒攻击不同于普通计算机病毒,它一旦发作,不但传播速度快、波及范围广,且变种多、变异快,根除难度大。只有快速发现染毒计算机,切断传染源,才是最根本和最有效的措施。
ARP病毒会通过中毒的终端机(计算机)实施对络的攻击,因此,在网络系统遭受ARP病毒攻击时,攻击源即中毒的计算机的MAC地址在将网络中多次出现,只要查到中毒计算机MAC地址,关闭该PC机的网络端口,并用专杀工具处理中毒计算机,就可迅速瓦解ARP病毒的攻击,保障网络的正常运行。当发现终端机中ARP病毒时,使用交换机管理软件查看各网段终端机的MAC地址,找到MAC地址重复出现的IP地址,中断其端口,就可控制ARP木马病毒的破坏,然后用专用软件进行进一步查杀。
六、结束语
信息时代的到来,给人们的生活带来了众多便利,也使我国的各行业取得了重要成就。但是互联网受到一些病毒的攻击,严重威胁着信息的安全。ARP就是一种常攻击局域网络的病毒,我们应该加强对其的防范,以使网络在一个安全的环境下运行。 |
京ICP备14024464 公安备案号 京1081234