病毒局域网ARP欺骗病毒攻击原理及防范策略

局域网ARP欺骗病毒攻击原理及防范策略

目录

1、局域网中的ARP欺骗病毒

1. 1ARP欺骗病毒的症状

1. 2 ARP欺骗病毒的危害

1. 3 ARP欺骗病毒的欺骗方式

1.4ARP欺骗病毒的工作原理

2、 ARP欺骗病毒的防范方法

2. 1提高电脑用户安全防范意识水平

2. 2使用专业软件防护

2. 3上网客户端静态地址绑定

2.4局域网划分VLAN 虚拟局域网隔离ARP欺骗病毒

3、结束语

正文

摘要摘 要近几年 APR欺骗病毒在局域网内大量出现导致用户上网非常不稳定。该文章将详细介绍这类病毒的攻击原理及预防措施

关键字 ARP病毒工作原理预防方法局域网

1、局域网中的ARP欺骗病毒

1. 1 ARP欺骗病毒的症状

近几年高校中的局域网时常会断线一段时间过后又能恢复正常通讯。具体表现为客户端计算机瞬间与服务器通讯中断无法正常运行 IE浏览器频繁报错或访问网页的速度变得极其缓慢一些常用软件出现运行故障自动关闭等若通过802. 1X身份认证接入局域网会突然遇到用户认证成功但无法访问网络的情况。当重启计算机后又能恢复正常的网络通讯。

1.2 ARP欺骗病毒的危害

这类病毒可能会使局域网内的用户无法正常上网最严重的情况下将导致整个局域网瘫痪。这类木马病毒除了让用户不能正常访问网

络还会窃取用户的个人资料与隐私如上网账号、密码等。这将给用户带来经济上的损失。

1.3 ARP欺骗病毒的欺骗方式

当下这类病毒可以分为两种仿冒网关攻击病毒和欺骗网关攻击病毒。

1.4ARP欺骗病毒的工作原理

这类病毒利用局域网内中毒计算机的MAC地址网卡物理地址来取代网关的MAC地址让被它欺骗的计算机向假网关发送数据而不是通过正常的网络设备如交换机、路由器等来上网从而造成网络内部互通但用户上不了网。如图1所示

图1

当这类病毒运行时 网关的MAC地址就彻底发生了改变真实的网关MAC地址就被中毒计算机的MAC地址所取代。如图2所示

图2

现在来看一下该病毒的工作原理和机制。当局域网中的计算机PC-A打开一个网页时正常情况下计算机PC-A发出的通信数据包直接流向网关。但当局域网内感染了该病毒后 计算机PC-A发出的数据包在流经网关之前必须经过计算机PC-B。

图3

根据图三用语言来描述整个过程将更直观也便于读者理解。

第一步计算机PC-B发出ARP欺骗病毒广播包对外称自己就是网关。第二步局域网内每一台计算机都能接收到计算机PC-B发出的A RP欺骗病毒广播包并更新A RP表所以ARP缓存就会中毒。第三步局域网内任意一台计算机通过中毒的计算机PC-B访问因特网可能导致整个局域网通讯中断。

这类病毒首先会截获网关的通讯数据然后通知网络设备如交换机、路由器等一系列错误的内部MAC地址并不断重复上述过程使真实的MAC地址信息无法通过更新保存在网络设备中最终导致网络设备发送传出的数据包只能传送到错误的MAC地址上。

仍以图三为例用语言来描述整个过程将更直观也便于读者理解。

第一步计算机PC-B 见表1仿冒计算机PC-A 见表2向网关发送伪造的ARP报文其MAC地址为CC-CC-CC-CC-CC-CC

第二步 网关的ARP表见表3中记录了错误的计算机P C-A的地址映射关系从而导致正常的数据报文无法正确地被PC-A接收。

表1

表2

表3

2、 ARP欺骗病毒的防范方法

2. 1提高电脑用户安全防范意识水平

接入局域网中的用户应不断提升网络安全防范意识。建议如下⑴给管理员账户设置相对复杂的权限密码⑵禁用操作系统的自动播放功能⑶经常更新杀毒软件的病毒库⑷安装网络防火墙⑸定期更新操作系统和相关应用软件补丁⑹关闭一些不必要的服务例如一些共享服务如单机用户可彻底关闭server服务。

2.2使用专业软件防护

使用ARP防护软件例如AntiARP Sniffer。 该软件有2个功能。第一防止用户通讯时数据包被第三方截取第二防止A RP病毒发送地址冲突数据包。该软件操作起来也很方便如果该软件频繁地提示用户I P地址冲突则说明局域网中存在ARP欺骗病毒。用户只要将计算机中的[事件查看器]打开就可以获取到冲突的MAC地址将它们复制到该软件的[本地MAC地址栏] 完成后点击[防止地址冲突] 。再禁用本地网卡然后启用。用CMD命令打开MS-DOS窗口输入Ipconfig/all指令查看当前MAC地址是否与本地MAC地址匹配如果符合将不再显示地址冲突。

2.3上网客户端静态地址绑定

编写一个批处理文件将其命名为antiarp.bat。该文件的功能是将交换机的网关IP地址和网关MAC地址进行绑定。用户可使用[arp–a]命令查看交换机网关I P地址和网关MAC地址。将这个批处理文件拖到[windows—开始—程序—启动]中之后用户每次开机都会自动加载该文件。代码 @ echo off  arp - d  arp - s 网关IP地址网关MAC地址

2.4局域网划分VLAN 虚拟局域网隔离ARP欺骗病毒

局域网中的网管员应根据单位网络拓扑结构划出若干个V LAN。当网管员发现有用户的计算机向局域网发送大量地址冲突数据包时应该利用技术手段对该用户的交换机端口定位然后将该端口划分到一个单独的VLAN隔离该用户 以避免对其他用户造成影响或者直接屏蔽该用户的上网端口。

3、结束语

局域网内部防御ARP病毒攻击的方法是在客户端、 网络接入设备和服务器端建立立体防御机制。但这些办法无法从根本上根治ARP病毒 因为ARP病毒是基于A RP协议的安全缺陷产生的。今后随着I p v6的应用与普及 ARP病毒将被根治。

参考文献

[1]谢希仁.计算机网络(第四版) [M] .大连:大连理工大学出版社

2004。

[2]黄剑飞.构建网络安全的几点设想[J] .教育与职业

2004(20) :6667

[3]吴青.局域网ARP病毒攻击与防范[J] .办公自动化杂志 20068  2527