内容摘要:目前,局域网(LAN:Local Area Network)经常感染ARP病毒,并且ARP病毒攻击已成为了导致局域网大面积掉线甚至瘫痪的罪魁祸首。本文笔者结合自己三年多来从事局域网维护与管理的实践工作经验,从排除故障、优化网络管理性能的角度出发,对ARP病毒的基本知识、工作原理以及如何防范ARP病毒等几个方面做一些探讨和分析,希望能够对从事局域网维护和管理工作的技术人员有所帮助。
论文关键词:ARP病毒,地址欺骗,攻击原理,对策,局域网,主机
1、ARP病毒简介。ARP地址欺骗类病毒(以下简称ARP病毒)是一类特殊的地址欺骗病毒。
2、ARP病毒特点。该病毒一般属于木马病毒,不具备主动传播的特性,不会自我复制。但是,如果局域网内某台计算机(以下简称主机)感染、运行ARP病毒时,这台主机将伪造其他主机的MAC地址,并向整个局域网发送伪造的ARP数据包,从而欺骗局域网内所有的主机和路由器,让局域网内原来直接通过路由器上网的主机都转由通过病毒主机上网,这样就占用大量网络带宽,干扰了局域网的正常运行,并可最终导致局域网中的主机大面积掉线甚至整个局域网瘫痪。
其实,导致ARP病毒的发生,在理论上是由于以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配;或者ARP数据包的发送和目标地址不在同一个局域网的网卡MAC数据库内;或者与同一个局域网的MAC数据库MAC/IP不匹配。
3、ARP病毒分类。根据欺骗对象的不同,ARP病毒可以分为以下三种:
A、欺骗局域网中某一受害主机。
B、欺骗局域网的路由器、网关。
C、双向欺骗,即A、B两种欺骗方法的组合方式。
根据发起个体的不同,ARP病毒可以分为以下两种:
A、人为攻击。人为攻击的目的主要是:造成网络异常、窃取数据、非法控制等。
B、ARP病毒。在这里,ARP病毒不是特指某一种病毒,而是指所有包含有ARP欺骗功能的病毒的总称。
4、ARP病毒危害。ARP病毒的危害有以下几个方面:
A、网络异常。具体表现为:网络连接正常,但是局域网内主机上网经常掉线;局域网内部网络的部分主机不能上网;局域网时断时续并且网速较慢;局域网内所有主机不能上网,打开网页慢甚至无法打开网页;IP地址冲突等。
B、数据窃取。具体表现为:个人隐私泄漏(如MSN聊天记录、邮件等)、账号被盗用(如QQ账号、银行账号等)。
C、数据篡改。具体表现为:访问网页被添加恶意内容,俗称“挂马”。
D、非法控制。具体表现为:网络速度、网络访问行为(例如某些网页打不开、某些网络应用程序用不了)受第三者非法控制。
二、ARP病毒攻击原理
为了讲清楚ARP病毒攻击原理,我们必须先了解一下MAC地址与ARP协议。
1、MAC地址简介。在局域网中,一台主机要和另一台主机进行通信,就必须要知道目的主机的IP地址。但是,在局域网中负责主机之间传输数据的网卡等物理设备不识别IP地址,而只能识别其硬件地址即MAC地址。
MAC地址是由48位二进制数(12位16进制数),每2个16进制数之间用“-”或者冒号隔开后所组成的一串数字,用来识别局域网中主机的一种标识(如:00-0B-2F-13-1A-11)。
局域网中每台主机网卡的物理地址通常是由网卡生产厂家烧入网卡的EPROM(一种闪存芯片,通常可以通过程序擦写),它存储的就是传输数据时用来标识发送数据端主机(亦称源端)和接收数据端主机的地址(亦称目的端或宿端)。每块网卡都有其全球唯一的MAC地址,在网卡之间发送数据,只能根据对方网卡的MAC地址进行发送,这就需要一个将高层数据包中的IP地址转换成低层MAC地址的协议,这个工作任务将由ARP协议完成。
2、ARP协议简介。ARP(Address Resolution Protocol,地址解析协议)协议是指将局域网中主机的IP地址转换为第二层物理地址(即MAC地址)的一种协议。
在局域网中,网络中实际传输的是帧,帧里面有目的主机的MAC地址。在以太网中,一个主机要和另一个主机进行直接通信,就必须要知道目标主机的MAC地址。ARP协议就是解决如何实现主机的MAC地址与IP地址之间的转换,保证通信顺利进行问题的。在以太网中,每台安装有TCP/IP协议的主机里都有一个ARP缓存表,表中的IP地址与MAC地址是一一对应的。因此,该协议对局域网正常运行、安全都具有非常重要的意义。
3、ARP病毒攻击原理。假设一个只有三台主机组成的局域网,该局域网由交换机(Switch)连接。其中一台主机名叫A(Attack,即发送攻击数据的主机),代表攻击方;一台主机名叫S(Send, 即发送数据的主机),代表源主机;另一台主机名叫D(Destination, 即接收数据的主机),代表目的主机;这三台电脑的IP地址分别为192.168.0.2、192.168.0.3、192.168.0.4;MAC地址分别为 MAC_A、MAC_S、MAC_D。
A、网络正常情况下的数据包发送过程。现在,主机S要发送数据给主机D,在主机S内部,上层的TCP(Transmission Control Protocol,传输控制协议)和UDP(User Datagram Protocol, 用户数据报协议)的数据包已经传送到最底层的网络接口层,数据包即将发送出去。但是,此时主机S还不知道目的主机D的MAC地址MAC_D,就要先查询自己的ARP缓存表,查看里面是否有192.168.0.4这台主机的MAC地址。如果有,就将MAC_D封装在数据包中直接发送即可;如果没有,主机S就要向该局域网中所有主机发送一个ARP广播包(如:主机S的IP是192.168.0.3,硬件地址是MAC_S,想知道IP地址为192.168.0.4的主机的硬件地址是多少),该局域网中所有主机(包括主机A和主机D)就都收到该ARP广播包。主机A收到该ARP广播包后,查询IP地址不是自己,就将该数据包丢弃不予理会。而主机D收到该ARP广播包后,查询IP地址就是自己,主机D就单独向主机S发送含有回复信息的数据包(如:主机D的IP地址是192.168.0.4,硬件地址是MAC_D),这样主机S就知道目的主机D的MAC地址,并将目的地址MAC_D封装到要发送的数据包中发送出去;同时主机S还会动态更新自己的ARP缓存表,将192.168.0.4-MAC_D这一条记录添加进去,以后主机S再给主机D发送数据时,就不用再向该局域网中的所有主机发送ARP广播包。
B、局域网感染ARP病毒情况下的数据包发送过程(即ARP病毒攻击的详细原理)。在上述网络正常情况下的数据包发送机制看上去很完美,似乎整个局域网也“天下太平”,并“相安无事”。但是,上述数据发送机制有一个致命的缺陷,即该机制是建立在对局域网中所有主机全部信任的基础之上的,并且局域网中任意一台主机发送的ARP数据包都是正确的。在实际的网络数据传输过程中,并不是所有主机都“安分守己”,而是经常存在“非法”主机。
1/3 1 2 3 下一页 尾页 |
