浅析让局域网络彻底瘫痪的ARP病毒

摘要:曾几何时大名鼎鼎的恶性病毒——ARP病毒疯狂的肆虐着网络,和Av终结者大多针对个人搞破坏不同的是,ARP病毒不仅仅危害个人电脑,还能导致整个局域网的网络瘫痪,危害相当大,让众多学校、企业网管很是头痛,而能让ARP病毒如此猖狂的幕后黑手便是ARP欺骗。 下载论
阅读技巧Ctrl+D 收藏本篇文章

  摘要:曾几何时大名鼎鼎的恶性病毒——ARP病毒疯狂的肆虐着网络,和Av终结者大多针对个人搞破坏不同的是,ARP病毒不仅仅危害个人电脑,还能导致整个局域网的网络瘫痪,危害相当大,让众多学校、企业网管很是头痛,而能让ARP病毒如此猖狂的幕后黑手便是ARP欺骗。
下载论文网 http://www.xzlunwen.com
  关键词:ARP病毒;局域网;ARP欺骗;伪网关;应对之策
  1、ARP到底为何方神圣
  Address Res0luti0n Pr0t0c0l也称地址解析协议,负责将局域网中32位IP地址映射为48位硬件地址(MAC地址)。因为局域网中的两台主机要相互直接通信,必须是A主机先向B主机发送包含IP地址信息的广播数据包也就是ARP请求,然后B主机再向A主机发送含有自身IP地址和MAC地址的数据包,A主机收到B主机的MAC地址后便建立数据连接,实现数据传输,这相当于一个身份核实的过程。当然,不是说每次通信都需要身份核实,因为ARP缓存表可以做到简化这个过程。
  如果目标主机不在缓存表中又会如何呢?比如本机想与192.168.0.12通信,但缓存表中并无此机MAC地址,这时本机便向全网发送广播询问谁的IP是192.168.0.12,通常情况下其他主机接收到此广播后都会保持沉默,只有192.168.0.12会作出回应并向本机返回它的MAC地址,随后本机重写ARP缓存,即将192.168.0.12的MAC地址写入本地ARP缓存表,下次访问192.168.0.12时无须向全网广播,直接向其发送数据。
  2、ARP为何受青睐
  从前面我们可以了解到ARP缓存表的作用是用来提高网络效率,减少数据延迟。然而,ARP缓存表存在易信任性,对发来的ARP数据包错对不做审查。当主机接收到被刻意编制的,将IP地址指向错误的MAC地址的ARP数据包,主机会不加审查地将其中的记录加入ARP缓存表。这样,当主机下次访问此IP时,就将根据这个虚假的记录,将数据发送到记录中所对应的“错误的MAC地址”,而真正使用这个IP的目标主机,则收不到数据,这就是ARP欺骗。
  局域网内的主机要与外网进行通信,必须经过局域网与外网之间连通的节点——网关。由于存在这个规则,就可以将网关的IP地址与错误的MAC地址对应,这成了大部分ARP欺骗行为所选择的做法。利用网关的IP地址进行的ARP欺骗,其危险之处在于攻击者可以借此控制用户主机的网络数据流向,即可以指定用户主机向哪一个MAC地址发送数据,比如:
  (1)指向一个无效的MAC地址,这使得用户主机发送的网络数据“杳无音讯”,发出去的信息无法得到回应。将导致用户没有办法访问网关,当然就没有办法与外网进行通信。
  (2)指向攻击者设置好的MAC地址,这样会导致用户主机发送的网络数据传到了原本不应该传输的地方。而原本应该被发到网关的网络数据将被设置好的MAC地址所接收。如果收到数据的主机直接丢弃数据,结果显而易见,被欺骗主机得不到回应,不能正常上网。
  如果就是如上所说的情况,造成的危害只是不能连接上外网而已,但是一旦收到数据的主机,对数据内容进行分析处理,就可能从中得到被欺骗主机用户的隐私信息比如账号、密码,这种行为危害性更大。当然,此时被欺骗主机并非一定得不到回应。因为接收到数据的“伪网关”可以选择充当起“真网关”的替代者,从而成为数据的中转站,为用户向“真网关”呼叫,用户仍然可以收到“真网关”经由“伪网关”传来的回应数据。C机实施ARP欺骗攻击后,B机访问Internet的链路被改变,此时B机和网关的通信对c机就暴露无遗了。
  3、ARP病毒的主要危害
  “ARP病毒”不是一个病毒,而是一群病毒,我们把所有具有ARP欺骗行为的病毒统称为“ARP病毒”。ARP病毒的大面积爆发,曾让很多网管叫苦不迭,它的危害还不仅仅是阻断网络,让我们来看看它究竟有哪些危害。(1)阻止用户上网,造成局域网网络瘫痪;(2)盗取用户隐私数据,特别是各种各样的账号密码;(3)修改网关回传数据,并继续插入恶意代码,为所欲为。
  将ARP欺骗包指向中毒主机的MAC地址,被欺骗主机将会传送信息给中毒主机,并使得中毒主机成为“伪网关”,在被欺骗主机与“真网关”之间进行数据交互。然而,“伪网关”得到由“真网关”传来的数据后,在将数据传回给被欺骗主机的过程中,在其中就加插了恶意代码。不知情的被欺骗主机接收了数据,主机系统中的应用程序执行了传送内容,就直接导致用户的计算机安全遭到破坏。
  4、ARP病毒的应对之策
  病毒本身的性质可能千差万别,ARP欺骗只是ARP病毒的一种行为和表现,并不是一类家族性病毒的变种集合。所以针对不同的病毒就需要对症下药解决问题。
  避免电脑本身感染ARP病毒的方法,和预防其他病毒的方法并没有什么本质的区别,仍然要从修补软件漏洞,加强安全防护,养成良好的上网习惯入手。同样,在中毒主机中查杀ARP病毒的方法,与查杀其他病毒也没有明显的不同,需要从病毒加载和感染系统的机理入手,而不是只盯住“ARP”这个特性。
  ARP病毒的危害,是遍及整个局域网的。ARP病毒已经对众多高校和企业的局域网造成严重影响,因此从局域网中主机受到ARP欺骗攻击,到发现中毒主机并进行清除病毒的处理,需要局域网的网管在这其中扮演积极的角色,如果一旦反应和处理不及时,病毒将会造成的影响和损失会更大。而对于用户来说,—旦发现自己受到ARP欺骗攻击的影响,在做好防护措施同时,应该尽快联系网管协调处理。而一旦确认自己的电脑被感染了ARP病毒,更要积极配合网管,自觉进行查杀病毒的处理。

转载请注明来源。原文地址:http://www.lw54.com/html/zhlw/20180514/7591218.html   

浅析让局域网络彻底瘫痪的ARP病毒相关推荐


------分隔线----------------------------
联系方式
微信号 biyelunwen
热点论文