局域網(wǎng)ＡＲＰ病毒范文

本站小編為你精心準(zhǔn)備了局域網(wǎng)ＡＲＰ病毒參考范文，愿這些范文能點(diǎn)燃您思維的火花，激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。

隨著計(jì)算機(jī)技術(shù)和Internet技術(shù)的不斷推廣應(yīng)用,網(wǎng)絡(luò)逐漸成為人們?nèi)粘Ｉ钪胁豢扇鄙俚牟糠?。通過網(wǎng)絡(luò)人們可以完成瀏覽信息、收發(fā)郵件、遠(yuǎn)程信息管理、與外界進(jìn)行電子商務(wù)交易等活動(dòng)。但是由于網(wǎng)絡(luò)的開放性、資源的共享性、聯(lián)結(jié)形式的多樣性、終端分布的不均勻性以及網(wǎng)絡(luò)邊界的不可知性,網(wǎng)絡(luò)中必然存在眾多潛在的安全隱患。近年來,針對(duì)網(wǎng)絡(luò)的攻擊也在不斷增加,其中利用ARP協(xié)議漏洞對(duì)網(wǎng)絡(luò)進(jìn)行攻擊就是其中的一種重要方式。

一、ARP病毒現(xiàn)象

1.局域網(wǎng)內(nèi)頻繁性地區(qū)域或整體掉線,重啟計(jì)算機(jī)或網(wǎng)絡(luò)設(shè)備后恢復(fù)正常。

當(dāng)帶有ARP欺騙程序的計(jì)算機(jī)在網(wǎng)內(nèi)進(jìn)行通訊時(shí),就會(huì)導(dǎo)致頻繁掉線。出現(xiàn)此類問題后重啟計(jì)算機(jī)或禁用網(wǎng)卡會(huì)暫時(shí)解決問題,但掉線情況還會(huì)發(fā)生。

2.網(wǎng)速時(shí)快時(shí)慢,極其不穩(wěn)定,但單機(jī)進(jìn)行光纖數(shù)據(jù)測(cè)試時(shí)一切正常。

當(dāng)局域內(nèi)的某臺(tái)計(jì)算機(jī)被ARP的欺騙程序非法侵入后,它就會(huì)持續(xù)地向網(wǎng)內(nèi)所有的計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備發(fā)送大量的非法ARP欺騙數(shù)據(jù)包,阻塞網(wǎng)絡(luò)通道。造成網(wǎng)絡(luò)設(shè)備的承載過重,導(dǎo)致網(wǎng)絡(luò)的通訊質(zhì)量不穩(wěn)定。用戶會(huì)感覺上網(wǎng)速度越來越慢或時(shí)常斷線。當(dāng)ARP欺騙的木馬程序停止運(yùn)行時(shí),用戶會(huì)恢復(fù)從路由器上網(wǎng),切換過程中用戶會(huì)再斷一次線。

二、ARP病毒攻擊方式

1.中間人攻擊。中間人攻擊就是攻擊者將自己的主機(jī)插入兩個(gè)目標(biāo)主機(jī)通信路徑之間,使他的主機(jī)如同兩個(gè)目標(biāo)主機(jī)通信路徑上的一個(gè)中繼,這樣攻擊者就可以監(jiān)聽兩個(gè)目標(biāo)主機(jī)之間的通信。

2.拒絕服務(wù)攻擊。拒絕服務(wù)攻擊就是使目標(biāo)主機(jī)不能響應(yīng)外界請(qǐng)求,從而不能對(duì)外提供服務(wù)的攻擊方法。

3.克隆攻擊。攻擊者首先對(duì)目標(biāo)主機(jī)實(shí)施拒絕服務(wù)攻擊,使其不能對(duì)外界作出任何反應(yīng)。然后攻擊者就可以將自己的IP與MAC地址分別改為目標(biāo)主機(jī)的IP與MAC地址,這樣攻擊者的主機(jī)變成了與目標(biāo)主機(jī)一樣的副本。

三、ARP病毒攻擊原理

ARP欺騙的核心思想就是向目標(biāo)主機(jī)發(fā)送偽造的ARP應(yīng)答,并使目標(biāo)主機(jī)接收應(yīng)答中偽造的IP地址與MAC地址之間的映射對(duì),以此更新目標(biāo)主機(jī)ARP緩存。下面就在理論上說明實(shí)施ARP欺騙的過程S代表源主機(jī),也就是將要被欺騙的目標(biāo)主機(jī);D代表目的主機(jī),源主機(jī)本來是向它發(fā)送數(shù)據(jù);A代表攻擊者,進(jìn)行ARP欺騙。

進(jìn)一步假設(shè)A已知的D的IP地址,于是他暫時(shí)將自己的IP地址改為D的IP地址。當(dāng)S想要向D發(fā)送數(shù)據(jù)時(shí),假設(shè)目前他的ARP緩存中沒有關(guān)于D的記錄,那么他首先在局域網(wǎng)中廣播包含的D的IP地址的ARP請(qǐng)求。但此時(shí)A具有與D相同的IP地址,于是分別來自A與D的ARP響應(yīng)報(bào)文將相繼到達(dá)S。此時(shí),A是否能夠欺騙成功就取決于S的操作系統(tǒng)處理重復(fù)ARP響應(yīng)報(bào)文的機(jī)制。不妨假設(shè)該機(jī)制總是用后到達(dá)的ARP響應(yīng)中的地址刷新緩存中的內(nèi)容。那么如果A控制自己的ARP響應(yīng)晚于D的ARP響應(yīng)到達(dá)S,S就會(huì)將如下偽造映射:D的IP地址→A的MAC地址,保存在自己的ARP緩存中。在這個(gè)記錄過期之前,凡是S發(fā)送給D的數(shù)據(jù)實(shí)際上都將發(fā)送給A。而S卻毫不察覺?；蛘逜在上述過程中,利用其它方法直接抑制來自D的ARP應(yīng)答將是一個(gè)更有效的方法而不用依賴于不同操作系統(tǒng)的處理機(jī)制。進(jìn)一步,A可不依賴于上述過程,直接在底層偽造ARP響應(yīng)報(bào)文來達(dá)到同樣的目的。

四、ARP病毒防御方法

1.使用可防御ARP攻擊的三層交換機(jī),綁定端口MAC-IP。限制ARP流量,及時(shí)發(fā)現(xiàn)并自動(dòng)阻斷ARP攻擊端口。合理劃分VLAN。徹底阻止盜用IP、MAC地址,杜絕ARP的攻擊。

2.查找病毒源,對(duì)病毒源頭的機(jī)器進(jìn)行處理,殺毒或重新安裝系統(tǒng)。解決了ARP攻擊的源頭PC機(jī)的問題,可以保證內(nèi)網(wǎng)免受攻擊。

3.對(duì)于經(jīng)常爆發(fā)病毒的網(wǎng)絡(luò),進(jìn)行Internet訪問控制,限制用戶對(duì)網(wǎng)絡(luò)的訪問。此類ARP攻擊程序一般都是從Internet下載到用戶終端。如果能夠加強(qiáng)用戶上網(wǎng)的訪問控制,就能極大的減少該問題的發(fā)生。

4.關(guān)閉一些不需要的服務(wù)。條件允許的可關(guān)閉一些沒有必要的共享,也包括C$、D$等管理共享。完全單機(jī)的用戶也可直接關(guān)閉Server服務(wù)。

5.經(jīng)常更新殺毒軟件(病毒庫)。設(shè)置允許的可設(shè)置為每天定時(shí)自動(dòng)更新,安裝并使用網(wǎng)絡(luò)防火墻軟件。

6.給系統(tǒng)安裝補(bǔ)丁程序.通過WindowsUpdate安裝好系統(tǒng)補(bǔ)丁程序。

五、結(jié)束語

由于ARP協(xié)議制定時(shí)間比較早,當(dāng)時(shí)對(duì)這些協(xié)議缺陷考慮不周,使得ARP攻擊的破壞性比較大,但其也有局限性,比如ARP攻擊只局限在本地網(wǎng)絡(luò)環(huán)境中。最根本的解決措施就是使用IPv6協(xié)議,因?yàn)樵贗Pv6定義了鄰機(jī)發(fā)現(xiàn)協(xié)議(NDP),把ARP納入NDP并運(yùn)行于因特網(wǎng)控制報(bào)文協(xié)議(ICMP)上,使ARP更具有一般性,包括更多的內(nèi)容,而且不用為每種鏈路層協(xié)議定義一種ARP。