資源描述:
《ARP病毒攻擊原理與防范.doc》由會(huì)員上傳分享���,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)��。
1����、.word可編輯.ARP病毒攻擊原理與解決方案班級(jí):電子商務(wù)姓名:賈喬學(xué)號(hào):20080651213摘要當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)感染ARP病毒后,就會(huì)運(yùn)行ARP欺騙的木馬程序��。造成網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)�,影響用戶(hù)正常使用網(wǎng)絡(luò)。文章從ARP病毒攻擊現(xiàn)象分析��,根據(jù)ARP病毒攻擊原理���,查找出局域網(wǎng)內(nèi)感染ARP病毒的主機(jī)�,最后提出ARP病毒有效的解決方案�����。[關(guān)鍵詞]ARP病毒��;MAC;地址���;措施AbstractWhentheparticularLANhostsinfectedwiththeARPvirus,TrojanprogramwillrunARPdeception.Effecto
2����、fintermittentcausedbynetwork,userusesnetwork.ThearticlefromtheanalysisofthephenomenonofARPvirusattack,accordingtotheARPvirusattackstheprinciple,findouttheLANARPvirusinfectedhost,finallyputforwardtheeffectivesolutionofARPvirus.[Keywords]ARPvirus;MAC;address;measures.專(zhuān)業(yè).專(zhuān)注..word可編輯.AR
3��、P病毒攻擊原理與解決方案一���、ARP病毒攻擊現(xiàn)象當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)感染ARP病毒后����,就會(huì)運(yùn)行ARP欺騙的木馬程序�����,欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由器����,導(dǎo)致局域網(wǎng)內(nèi)其他電腦因網(wǎng)關(guān)物理地址更改,讓所有上網(wǎng)的流量必須經(jīng)過(guò)病毒主機(jī)����。其他用戶(hù)原來(lái)直接通過(guò)路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過(guò)病毒主機(jī)上網(wǎng)�����,切換的時(shí)候用戶(hù)會(huì)斷一次線��。由于ARP欺騙的木馬程序發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊阻塞以及其自身處理能力的限制����,用戶(hù)會(huì)感覺(jué)上網(wǎng)速度越來(lái)越慢�。當(dāng)ARP欺騙的木馬程序停止運(yùn)行時(shí)��,用戶(hù)會(huì)恢復(fù)從路由器上網(wǎng)��,切換過(guò)程中用戶(hù)會(huì)再斷一次線�����。如此不斷重復(fù)�,造成網(wǎng)絡(luò)時(shí)斷時(shí)續(xù),影響用戶(hù)正常使用網(wǎng)絡(luò)�����。二�、
4�����、什么是ARPARP協(xié)議是“AddressResolutionProtocol”(地址解析協(xié)議)的縮寫(xiě)����,于將32位的IP地址解析成48位的物理MAC地址��。在以太網(wǎng)協(xié)議中.規(guī)定同一局域網(wǎng)中的主機(jī)相互通信�,必須知道對(duì)方的物理地址(即MAC地址),而在TCP/IP協(xié)議中�,網(wǎng)絡(luò)層和傳輸層只關(guān)心目標(biāo)主機(jī)的IP地址。這就導(dǎo)致在以太網(wǎng)中使用IP協(xié)議時(shí)��,數(shù)據(jù)鏈路層的以太網(wǎng)協(xié)議接到上層的IP協(xié)議提供的數(shù)據(jù)中�����,只包含目的主機(jī)的IP地址�。所以就需要一種協(xié)議,根據(jù)目的的IP地址�����,獲得其MAC地址��。所以ARP.專(zhuān)業(yè).專(zhuān)注..word可編輯.協(xié)議就應(yīng)運(yùn)而生了。另外�,當(dāng)發(fā)送主機(jī)和目的主機(jī)不在
5、同一個(gè)局域網(wǎng)中時(shí)�����,即便知道目的主機(jī)的MAC地址�����。兩者也不能直接通信.必須經(jīng)過(guò)路由轉(zhuǎn)發(fā)才可以��。所以此時(shí)�,發(fā)送主機(jī)通過(guò)ARP協(xié)議獲得的將不是目的主機(jī)的真實(shí)MAC地址.而是一臺(tái)可以通往局域網(wǎng)外的路由器的某個(gè)端口的MAC地址�。于是此后發(fā)送主機(jī)發(fā)往目的主機(jī)的所有幀,都將發(fā)往該路由器����,通過(guò)它向外發(fā)送。這種情況稱(chēng)為ARP代理(ARPProxy)��。三���、ARP病毒攻擊原理在以太網(wǎng)介質(zhì)局域網(wǎng)中�,數(shù)據(jù)幀在鏈路層是按照MAC地址進(jìn)行發(fā)送和接收的,一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信�,必須知道目標(biāo)主機(jī)的MAC地址,IP地址和MAC地址的轉(zhuǎn)換通過(guò)ARP協(xié)議(AddressResolutio
6�、nProtocol,地址解析協(xié)議)實(shí)現(xiàn)����。每臺(tái)安裝有TCP/IP協(xié)議的計(jì)算機(jī)里都有一個(gè)ARP緩存表,IP地址與MAC地址的對(duì)應(yīng)如下表所示:IP地址MAC地址說(shuō)明192.168.16.1aa—aa—aa—aa—aa主機(jī)A192.168.16.2bb—bb—bb—bb—bb主機(jī)B192.168.16.3cc—cc—cc—cc—cc主機(jī)C192.168.16.4dd—dd—dd—dd—dd主機(jī)D.專(zhuān)業(yè).專(zhuān)注..word可編輯.當(dāng)主機(jī)A向主機(jī)B發(fā)送數(shù)據(jù)時(shí)����,主機(jī)A會(huì)在自己的ARP緩存表中尋找是否有目標(biāo)IP地址。如果找到了���,也就知道了MAC地址�����,直接把目標(biāo)MAC地址寫(xiě)入幀里
7����、發(fā)送即可�;如果在ARP緩存表中沒(méi)有找到相對(duì)應(yīng)的IP地址,主機(jī)A就會(huì)在網(wǎng)絡(luò)上發(fā)送一個(gè)目標(biāo)MAC地址“FF.FF.FF.FF.FF.FF”的ARP廣播包�����,這表示向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出詢(xún)問(wèn):“192.168.16.2的MAC地址是什么?”網(wǎng)絡(luò)上其他主機(jī)并不響應(yīng)該ARP詢(xún)問(wèn),只有主機(jī)B接收這個(gè)幀時(shí)��,才向主機(jī)A做出回應(yīng):“192.168.16.2的MAC地址是bb—bb—bb—bb—bb”��。這樣����,主機(jī)A就知道了主機(jī)B的MAC地址,它就可以向主機(jī)B發(fā)送信息了���。同時(shí)它還更新了自己的ARP緩存表����,下次再向主機(jī)B發(fā)送信息時(shí)����,可直接從ARP緩存表里查找�����。緩存中的IP—MAC條
8��、目根據(jù)ARP響應(yīng)包動(dòng)態(tài)變化,只要網(wǎng)絡(luò)上
