病毒防护论文计算机病毒防护论文

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

病毒防护论文计算机病毒防护论文

浅谈ARP病毒的运行原理及防护方法

摘要:防范ARP病毒的常见策略是对主机进行保护,但是连入网络中的计算机非常多,如果对每台计算机进行保护,现实中很难实现。从运行原理对ARP病毒进行分析研究,对网络设备进行设置,从而达到控制ARP病毒的作用。

关键词:网络协议;ARP攻击;防护

随着信息化水平越来越高,对网络的依赖程度日益加深。Internet已经成为人们生活、学习、工作中不可缺少的一部分。网络在给我们提供方便的同时,也对网络安全提出新的挑战,其中ARP 病毒是最常见的攻击方法之一。ARP的欺骗技术已经被越来越多的病毒所使用,因此对ARP病毒攻击的防范也变得越来越重要。

1、ARP病毒攻击原理

在Internet中,一台主机要和另一台主机进行通信,必须要知道目标主机的IP地址,但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的,只能识别其硬件地址即MAC地址。MAC 地址是48位的,通常表示为12个16进制数,每2个16进制数之间用“-”或者冒号隔开,如:00-0B-2F13-1A-11就是一个MAC地址。每一块网卡都有其全球唯一的MAC地址,网卡之间发送数据,只能根

据对方网卡的MAC地址进行发送,这时就需要一个将高层数据包中的IP地址转换成低层MAC地址的协议,IP地址转换为物理地址是通过ARP协议来完成的。Arp协议是TCP/IP协议组的一个协议,用于进行把网络地址翻译成物理地址(又称MAC地址)。通常此类攻击的手段有两种:路由欺骗和网关欺骗。ARP病毒是一种入侵电脑的木马病毒。对电脑用户私密信息的威胁很大。如果伪造IP地址和物理地址,就能实现ARP欺骗,用伪造的物理地址发送响应包,病毒会将该机器的物理地址映射到网关的IP地址上,向局域网内大量发送ARP包,致同一网段地址内的其它机器误将其作为网关,掉线时内网是互通的,计算机却不能上网。攻击者只要不间断发出伪造的ARP包就能更改主机ARP缓存中的IP地址和物理地址,造成网络故障。例如,如果主机向从机发送一个虚假的ARP数据包,主机的IP地址是10.0.0.1,MAC地址是FA-4D3C-25-43-BA,但是主机真实的物理地址是

3F-88-63-25-BA-C6,很明显被伪造了。当从机接收到主机伪造的ARP 应答,就会更新本地的ARP缓存,当大量的虚假信息向局域网中发送时,就会造成机器ARP缓存崩溃。

ARP攻击是的主要现象有:

1)网上银行、游戏及QQ账号的频繁丢失。一些人为了获取非法利益,利用ARP欺骗程序在网内进行非法活动,此类程序的主要目的在于破解账号登陆时的加密解密算法,通过截取局域网中的数据包,

然后以分析数据通讯协议的方法截获用户的信息。运行这类木马病毒,就可以获得整个局域网中上网用户账号的详细信息并盗取。

2)网速时快时慢,极其不稳定,但单机进行光纤数据测试时一切正常。当局域内的某台计算机被ARP的欺骗程序非法侵入后,它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包,阻塞网络通道,造成网络设备的承载过重,导致网络的通讯质量不稳定。

3)局域网内频繁性区域或整体掉线,重启计算机或网络设备后恢复正常。当带有ARP欺骗程序的计算机在网内进行通讯时,就会导致频繁掉线,出现此类问题后重启计算机或禁用网卡会暂时解决问题,但掉线情况还会发生。

2、定位ARP攻击源头

第一种是采取主动的寻找方式。一般进行ARP攻击的机器,网卡会处于混杂模式,因此可用专用的查杀工具扫描局域网,如果发现有机器的网卡处于混杂模式,那么这台网卡处于混杂模式的机器有可能就是攻击源。确定攻击源头后,就可用专门的软件进行处理。

其次我们也可以采用被动的方式。

1)检查本机的“ARP欺骗”木马染毒进程,点选“进程”标签。察看其中是否有一个名为“MIRO.dat”的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。

2)检查网内感染“ARP欺骗”木马染毒的计算机。

①在“开始”“运行”输入cmd后确定。

②在弹出的命令提示符框中输入并执行以下命令ipconfig

⑧记录网关IP地址,即“Default Gateway”对应的值,例如“10.0.1.1”。

④再输入并执行以下命令:arpa

⑤在“Internet Address”下找到上步记录的网关IP地址,记录其对应的物理地址,即“Physical Address”值,例如

“00-05-e-1f-35-54”。在网络正常时这就是网关的正确物理地址,在网络受“ARP欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。

3、ARP攻击的防范方法

1)现在网上有很多ARP病毒定位工具,其中做得较好的是Anti ARPSniffer(现在已更名为ARP防火墙),下面我就演示一下使用Anti ARPSniffer这个工具软件来定位ARP中毒电脑。首先打开Anti ARP

Sniffer软件,输入网关的IP地址之后,再点击红色框内的“枚举MAC”按钮,即可获得正确网关的MAC地址,接着点击“自动保护”按钮,即可保护当前网卡与网关的正常通信。当局域网中存在ARP欺骗时,该数据包会被Anti ARP Sniffer记录,该软件会以气泡的形式报警。

2)使用抓包工具,分析所得到的ARP数据报。有些ARP病毒是会把通往网关的路径指向自己,有些是发出虚假ARP回应包来混淆网络通信。第一种处理比较容易,第二种处理比较困难,如果杀毒软件不能正确识别病毒的话,往往需要手工查找感染病毒的电脑和手工处理病毒,比较困难。

3)静态ARP绑定网关。在能正常上网时,进入MS-DOS窗口,输入命令:arp-a,查看网关的IP对应的正确MAC地址,并将其记录下来。如果计算机已经有网关的正确MAC地址,而不能上网。只需手工将网关IP和正确的MAC地址绑定,即可确保计算机不再被欺骗攻击。

参考文献:

[1]张曾科,计算机网络,清华大学出版社,2004

[2]邱雪松,ARP病毒原理与防御,柳钢科技出版社,2006

[3]黄玉春、王自南,浅谈局域网中的嗅探原理和ARP欺骗,大众科技出版社,2006

相关文档
最新文档