病毒防护论文计算机病毒防护论文

病毒防护论文计算机病毒防护论文

浅谈ARP病毒的运行原理及防护方法

摘要：防范ARP病毒的常见策略是对主机进行保护，但是连入网络中的计算机非常多，如果对每台计算机进行保护，现实中很难实现。从运行原理对ARP病毒进行分析研究，对网络设备进行设置，从而达到控制ARP病毒的作用。

关键词：网络协议；ARP攻击；防护

随着信息化水平越来越高，对网络的依赖程度日益加深。Internet已经成为人们生活、学习、工作中不可缺少的一部分。网络在给我们提供方便的同时，也对网络安全提出新的挑战，其中ARP 病毒是最常见的攻击方法之一。ARP的欺骗技术已经被越来越多的病毒所使用，因此对ARP病毒攻击的防范也变得越来越重要。

1、ARP病毒攻击原理

在Internet中，一台主机要和另一台主机进行通信，必须要知道目标主机的IP地址，但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的，只能识别其硬件地址即MAC地址。MAC 地址是48位的，通常表示为12个16进制数，每2个16进制数之间用“-”或者冒号隔开，如：00-0B-2F13-1A-11就是一个MAC地址。每一块网卡都有其全球唯一的MAC地址，网卡之间发送数据，只能根

据对方网卡的MAC地址进行发送，这时就需要一个将高层数据包中的IP地址转换成低层MAC地址的协议，IP地址转换为物理地址是通过ARP协议来完成的。Arp协议是TCP/IP协议组的一个协议，用于进行把网络地址翻译成物理地址(又称MAC地址)。通常此类攻击的手段有两种：路由欺骗和网关欺骗。ARP病毒是一种入侵电脑的木马病毒。对电脑用户私密信息的威胁很大。如果伪造IP地址和物理地址，就能实现ARP欺骗，用伪造的物理地址发送响应包，病毒会将该机器的物理地址映射到网关的IP地址上，向局域网内大量发送ARP包，致同一网段地址内的其它机器误将其作为网关，掉线时内网是互通的，计算机却不能上网。攻击者只要不间断发出伪造的ARP包就能更改主机ARP缓存中的IP地址和物理地址，造成网络故障。例如，如果主机向从机发送一个虚假的ARP数据包，主机的IP地址是10.0.0.1，MAC地址是FA-4D3C-25-43-BA，但是主机真实的物理地址是

3F-88-63-25-BA-C6，很明显被伪造了。当从机接收到主机伪造的ARP 应答，就会更新本地的ARP缓存，当大量的虚假信息向局域网中发送时，就会造成机器ARP缓存崩溃。

ARP攻击是的主要现象有：

1)网上银行、游戏及QQ账号的频繁丢失。一些人为了获取非法利益，利用ARP欺骗程序在网内进行非法活动，此类程序的主要目的在于破解账号登陆时的加密解密算法，通过截取局域网中的数据包，

然后以分析数据通讯协议的方法截获用户的信息。运行这类木马病毒，就可以获得整个局域网中上网用户账号的详细信息并盗取。

2)网速时快时慢，极其不稳定，但单机进行光纤数据测试时一切正常。当局域内的某台计算机被ARP的欺骗程序非法侵入后，它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包，阻塞网络通道，造成网络设备的承载过重，导致网络的通讯质量不稳定。

3)局域网内频繁性区域或整体掉线，重启计算机或网络设备后恢复正常。当带有ARP欺骗程序的计算机在网内进行通讯时，就会导致频繁掉线，出现此类问题后重启计算机或禁用网卡会暂时解决问题，但掉线情况还会发生。

2、定位ARP攻击源头

第一种是采取主动的寻找方式。一般进行ARP攻击的机器，网卡会处于混杂模式，因此可用专用的查杀工具扫描局域网，如果发现有机器的网卡处于混杂模式，那么这台网卡处于混杂模式的机器有可能就是攻击源。确定攻击源头后，就可用专门的软件进行处理。

其次我们也可以采用被动的方式。

1)检查本机的“ARP欺骗”木马染毒进程，点选“进程”标签。察看其中是否有一个名为“MIRO.dat”的进程。如果有，则说明已经中毒。右键点击此进程后选择“结束进程”。

2)检查网内感染“ARP欺骗”木马染毒的计算机。

①在“开始”“运行”输入cmd后确定。

②在弹出的命令提示符框中输入并执行以下命令ipconfig

⑧记录网关IP地址，即“Default Gateway”对应的值，例如“10.0.1.1”。

④再输入并执行以下命令：arpa

⑤在“Internet Address”下找到上步记录的网关IP地址，记录其对应的物理地址，即“Physical Address”值，例如

“00-05-e-1f-35-54”。在网络正常时这就是网关的正确物理地址，在网络受“ARP欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。

3、ARP攻击的防范方法

1)现在网上有很多ARP病毒定位工具，其中做得较好的是Anti ARPSniffer(现在已更名为ARP防火墙)，下面我就演示一下使用Anti ARPSniffer这个工具软件来定位ARP中毒电脑。首先打开Anti ARP

Sniffer软件，输入网关的IP地址之后，再点击红色框内的“枚举MAC”按钮，即可获得正确网关的MAC地址，接着点击“自动保护”按钮，即可保护当前网卡与网关的正常通信。当局域网中存在ARP欺骗时，该数据包会被Anti ARP Sniffer记录，该软件会以气泡的形式报警。

2)使用抓包工具，分析所得到的ARP数据报。有些ARP病毒是会把通往网关的路径指向自己，有些是发出虚假ARP回应包来混淆网络通信。第一种处理比较容易，第二种处理比较困难，如果杀毒软件不能正确识别病毒的话，往往需要手工查找感染病毒的电脑和手工处理病毒，比较困难。

3)静态ARP绑定网关。在能正常上网时，进入MS-DOS窗口，输入命令：arp-a，查看网关的IP对应的正确MAC地址，并将其记录下来。如果计算机已经有网关的正确MAC地址，而不能上网。只需手工将网关IP和正确的MAC地址绑定，即可确保计算机不再被欺骗攻击。

参考文献：

[1]张曾科，计算机网络，清华大学出版社，2004

[2]邱雪松，ARP病毒原理与防御，柳钢科技出版社，2006

[3]黄玉春、王自南，浅谈局域网中的嗅探原理和ARP欺骗，大众科技出版社，2006