浅谈ARP病毒在局域网中分析处理及防御.ppt

ARP 病毒在局域网中的分析处理及防御  本文将对局域网中发生的ARP病毒故障现象及故障诊断进行介绍，同时介绍ARP协议的工作原理及常见的ARP病毒的攻击方式，以及如何处理和防御ARP病毒攻击的方法，以达到全面防御维护局域网网络安全的目的。 关键词：地址解析协议，ARP欺骗，网络安全 目 录 一、ARP病毒的故障现象 我们知道，当我们在浏览器里面输入网址时，DNS服务器会自动把它解析为IP地址，浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物理地址（即MAC地址）的呢？在局域网中，这是通过ARP协议来完成的。ARP协议对网络安全具有重要的意义。 通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量，使网络阻塞。 一、ARP病毒的故障现象 ARP病毒现象表现为：计算机网络连接正常，网络运行不稳定，无法PING通网关的IP地址、但可以PING通自己的IP地址，上网时会突然掉线，过一段时间后又会恢复正常。比如出现用户频繁断网，IE浏览器频繁出错等现象。重启电脑或在 MS-DOS窗口下运行命令arp -d后，又可恢复上网。 二、ARP协议的工作原理 1、什么是ARP协议 IP数据包常通过以太网发送。以太网设备并不识别32位IP地址，它们是以48位以太网地址传输以太网数据包的。因此，必须把目的IP地址转换成目的MAC 地址。在这两种地址之间存在着某种对应的映射，常常需要查看一张表。地址解析协议(Address Resolution Protocol，ARP)就是用来确定这些映像的协议。 在局域网中，就是通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。这个目标MAC地址是通过地址解析协议即ARP协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 每台安装有TCP/IP协议的计算机主机里都有一个ARP缓存表，表中的IP地址 MAC地址是一一对应的，如表 1 所示： 表 1 地址解析协议缓存地址表 值得注意的一点是：ARP 缓存表采用了一种老化机制，在一定的时间内如果某一条记录没有被使用过就会被删除。这样可以大大减少ARP 缓存表的长度，加快查询速度。 2、什么是ARP欺骗 ARP欺骗是一种利用计算机病毒使计算机网络无法正常运行的计算机攻击手段。包括进行对主机发动IP冲突攻击、数据包轰炸，切断局域网上任何一台主机的网络连接等。主要有以盗取数据为主要目的的ARP欺骗攻击，感染的计算机试图通过“ARP 欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。 ARP的攻击问题影响很大，局域网内一旦有ARP的攻击存在，会欺骗局域网内所有的主机和网关，让所有上网的流量必须经过ARP攻击者控制的主机。其它用户原来直接通过网关上网，现在却转由通过被控主机转发上网。由于被控主机性能和程序性能的影响，这种转发并不会非常流畅，因此就会导致用户上网的速度变慢甚至频繁断线。另外ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网网络拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网无法上网，严重的可能带来整个网络的瘫痪。 3、ARP协议的工作原理 首先，每台主机都会在自己的ARP缓冲区中建立一个 ARP列表，以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时，会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址，如果有﹐就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。。  网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个 ARP响应数据包，告诉对方自己是它需要查找的MAC地址；源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址