地址浅谈局域网ARP病毒攻击检测与防御

浅谈局域网ARP病毒攻击检测与防御

摘要针对ARP工作原理对ARP病毒进行全面分析提出在局域网中如何检测出中毒计算机和更好的ARP欺骗防御。

关键词ARP ARP病毒 ARP防御

1 ARP和ARP欺骗

1ARP。ARP协议是“Addres s Resolution Protocol”地址解析协议的缩写。在局域网中 网络实际传输的是“帧”帧里有目标主机的M AC地址。在以太网中主机和主机间进行直接通信必须知道目标主机的MAC地址。但这个目标MAC地址如何获得呢它是通过地址解析协议获得的所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址查询目标设备的MAC地址 以保证通信的顺利进行。

2ARP欺骗。利用ARP的漏洞攻击者可对整个局域网的安全构成威胁从影响网络连接的方式来看 ARP欺骗分为二种一种是对路由器ARP表的欺骗另一种是对内网PC的网关欺骗。

第一种ARP欺骗的原理是截获网关数据。它给予路由器错误的内网MAC地址并按照一定的频率不断进行使真实的地址信息无法通过更新保存在路由器中结果路由器的所有数据只能发送给错误的MAC地址造成正常P C无法收到信息。第二种ARP欺骗的原理是伪造网关。它的原理是建立假网关让被它欺骗的P C向假网关发数据不能通过正常的路由途径上网在PC看来就是“网络掉线了”。

2找出ARP欺骗主机

当局域网中出现ARP欺骗时局域网中就会出现以下症状

网络时断时通 网络中断重启网关设备 网络短暂连通

内网通讯正常、 网关不通频繁提示IP地址冲突

硬件设备正常局域网不通 特定IP网络不通更换IP地址 网络正常

禁用-启用网卡 网络短暂连通 网页被重定向。

1命令提示符法。局域网遭受ARP欺骗时中毒主机会向全网不停地发送ARP欺骗广播局域网中其它主机就会更新自身的ARP缓存表将网关的MAC地址改成ARP病毒主机的MAC地址在受到欺骗的主机上选择开始→运行输