淺談ARP病毒的攻擊原理

摘 要：與我們生活非常密切的有各個范圍之內(nèi)的不同形式的局域網(wǎng)。學(xué)校中廣泛使用局域網(wǎng)，它有非常多的優(yōu)勢，對于學(xué)習(xí)師生之間的互動有非常優(yōu)秀的促進作用，不過最近一段時間由于受到一些病毒的危害，網(wǎng)絡(luò)運行遇到很多不利因素，筆者基于目前的這種背景環(huán)境重點的分析講解了目前面對的這一現(xiàn)象以及應(yīng)對的方式。

關(guān)鍵詞：網(wǎng)絡(luò)協(xié)議； IP地址； ARP病毒

中圖分類號： TM711 文獻標(biāo)識碼：A

1概述

眾所周知，最近這些年網(wǎng)絡(luò)已經(jīng)在我們的生活以及生產(chǎn)活動中得到非常廣泛的使用，它的這種普及程度為我們開展生活以及生產(chǎn)活動貢獻了非常積極地力量，不過我們在進行工作的時候常常會面臨一個非常大的困境，即網(wǎng)絡(luò)非常容易受到各種病毒的影響，一旦受到這種影響，它將失去其原有的功能，嚴(yán)重的阻礙了我們開展正常的生產(chǎn)活動。目前校園局域網(wǎng)出現(xiàn)了非常惡劣的ARP欺騙木馬病毒，這種病毒的位置程度非常嚴(yán)重，而且不易察覺，通常的反應(yīng)是網(wǎng)絡(luò)能夠合理的連接，而且也可以登錄到我們所需的網(wǎng)站，可是問題就在于我們無法瀏覽所需的頁面，這對于我們開展工作來說是一種非常大的損失 。

2ARP協(xié)議的工作原理

在以太網(wǎng)中傳輸?shù)臄?shù)據(jù)包是以太包，而以太包的尋址是依據(jù)其首部的MAC地址。如果我們只是知道一個具體的主機的網(wǎng)絡(luò)地址，此時內(nèi)核系統(tǒng)是不能夠?qū)崿F(xiàn)數(shù)據(jù)傳輸活動的，而進行這項活動的必要條件是需要獲取上述機器的MAC址。

在以太局域網(wǎng)內(nèi)數(shù)據(jù)包傳輸依靠的是MAC地址，IP地址與MAC對應(yīng)的關(guān)系依靠ARP緩存表，通常來講，任何一臺機器自身都具備一個獨特的緩存表。它具有非常強大的功能，能夠幫助我們在合理的狀態(tài)下，確保將數(shù)據(jù)信息合理的對應(yīng)的進行輸送。通常我們能夠在窗口中進行相關(guān)的操作，比如查看信息或者是將信息更新等。

當(dāng)在進行活動的時候，即主機把設(shè)定好的數(shù)據(jù)信息發(fā)送到我們所需的機器上的時候，主機會對本身的列表進行合理認真的自檢，查看氣宗有沒有我們所需的地質(zhì)，假如查找之后發(fā)現(xiàn)有該地址，此時我們只需把要傳遞的信息進行輸送即可完成。但是如果經(jīng)過檢查沒有發(fā)現(xiàn)我們所需的地址，此時主機就會自行想相關(guān)的網(wǎng)站發(fā)送廣播信息，針對所需的信息進行征詢。當(dāng)在尋找的范圍中的全部數(shù)量的設(shè)備收到信息之后，都會自行的查看信息中的地質(zhì)和本機的是否相同，假如不同的話，此時就不需要做任何的反映活動，假如檢查之后發(fā)現(xiàn)相同，此時本機就會自行將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中，假如列表中原本就有所需的地址，此時系統(tǒng)會自動的把原有的信息進行處理，然后向征詢信息的設(shè)備發(fā)送信息，此回應(yīng)的目的是向其表達本機就是廣播中所要的地址，源主機收到這個ARP響應(yīng)數(shù)據(jù)包后，將得到的目的主機的IP地址和MAC地址添加到自己的ARP列表中，然后借助這一信息進行輸送活動。不過也會存在不屬于上述情況的狀態(tài)發(fā)生，通常是因為查詢的地址并不在設(shè)定的范圍之內(nèi)，此時就收不到回應(yīng)的信息，代表我們的此次查找活動沒有取得成功。

3病毒的運行模式以及機理

通過分析我們發(fā)現(xiàn)絕大多數(shù)的木馬等通過ARP進行不當(dāng)行為是為了能夠獲取在有效環(huán)境中合理的對信息進行監(jiān)聽，進而供給系統(tǒng)。上述的病毒也不例外。

我們來做過比喻，如果一個局域網(wǎng)中僅有三個計算機，這個網(wǎng)絡(luò)的運行是輔助交換機來進行的。我們把第一個電腦設(shè)定為甲，它來充當(dāng)病毒者，另一個叫做乙，它充當(dāng)?shù)氖窃粗鳈C，也就是具體的負責(zé)信息傳輸。然后把最后一個叫做丁，它的角色是代表接受信息的主機。 這三臺電腦的IP地址分別為：192.168.0.2，192.168.0.3，192.168.0.4，MAC地址分別為：MAC-A，MAC-S，MAC-D。

首先，計算機乙要向丁輸送信息，它回自行對本身的緩存信息進行查閱，分析其中有沒有丁計算機的網(wǎng)絡(luò)地址，假如有它的地址，此時即可直接的對信息進行輸送即可。 如果沒有， 乙電腦便向全網(wǎng)絡(luò)發(fā)送一個這樣的ARP廣播包： 乙的IP是192.168.0.3，硬件地址是MAC-S，要求返回IP地址為192.168.0.4的主機的硬件地址。此時，計算機丁收到信息之后，首先會自行的檢查自身的地址，發(fā)現(xiàn)就是需要的信息，此時將信息輸送給計算機乙。現(xiàn)在乙電腦可以在要發(fā)送的數(shù)據(jù)包上貼上目的地址MAC-丁發(fā)送出去，同時它還會動態(tài)更新自身的ARP緩存表，將192.168.0.4-MAC-丁這一條記錄添加進去，因此，當(dāng)計算機乙要想再次向丁輸送信息時，即可直接發(fā)送即可，上述的步驟就是我們在合理的狀態(tài)下進行的信息輸送步驟。

不過上面講述的這個步驟存在一個非常大的弊端現(xiàn)象，也就是說這項活動的基礎(chǔ)是網(wǎng)絡(luò)中所有的計算機都是安全有效的，換句話講，它必須在這個背景下進行，不管是網(wǎng)絡(luò)中的哪一個具體的計算機，它們輸送的信息都能保證是合理的。 比如在上述數(shù)據(jù)發(fā)送中，當(dāng)乙電腦向全網(wǎng)詢問后， 丁電腦也回應(yīng)了自己的正確MAC地址。但是當(dāng)此時， 甲電腦卻返回了丁電腦的IP地址和和自己的硬件地址。由于甲電腦不停地發(fā)送這樣的應(yīng)答數(shù)據(jù)包，則會導(dǎo)致乙電腦又重新動態(tài)更新自身的ARP緩存表，這回記錄成：192.168.0.4與MAC-A對應(yīng)，我們把這步叫做ARP緩存表中毒。這樣，就導(dǎo)致以后凡是乙電腦要發(fā)送給丁電腦，都將會發(fā)送給甲主機。也就是說， 甲電腦就劫持了由乙電腦發(fā)送給丁電腦的數(shù)據(jù)。這就是ARP欺騙的過程。

結(jié)語

通過上面的分析，我們得知，ARP欺騙是目前網(wǎng)絡(luò)管理，特別是校園網(wǎng)管理中最讓人頭疼的攻擊，它的攻擊技術(shù)含量低，隨便一個人都可以通過攻擊軟件來完成ARP欺騙攻擊。同時防范ARP欺騙也沒有什么特別有效的方法，目前只能通過被動的亡羊補牢形式的措施了。無論是攻和防，首要的就是找出每種攻擊的“癥結(jié)”之所在。只有這樣才能找到行之有效的解決方案。當(dāng)然最根本的辦法在客戶端自身的防范上，如及時下載安裝系統(tǒng)補丁、所裝殺毒軟件及時升級，安裝ARP專殺與防范軟件等。

參考文獻

[1]宋生勇. 淺談局域網(wǎng)防ARP病毒[J]. 柴達木開發(fā)研究，2011（03） .

[2] 楊濤，宋群豹，范瑋. 基于局域網(wǎng)的ARP病毒的分析與防御[J]. 商場現(xiàn)代化， 2009（18）.

[3] 李愛貞. 高校防范ARP病毒攻擊的策略與方法[J]. 計算機安全， 2010（12） .