ARP病毒分析

最新推荐文章于 2020-10-24 22:39:50 发布
最新推荐文章于 2020-10-24 22:39:50 发布
阅读量1.7k 收藏
点赞数
分类专栏: 网络技术 文章标签: internet 网络 防火墙 工作 360 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smstong/article/details/3787900
版权

关于ARP病毒

ARP,是Address Resolve Protocol 的缩写。本文在介绍ARP基本原理的基础上,分析ARP病毒的运行机理,提出防治ARP病毒的思路。

1ARP基础

我们知道,无论是局域网还是Internet,计算机节点之间的通信是通过IP地址来进行的。然而IP地址是逻辑上的地址,并不能直接由物理电路实现。因此,网卡之间实际进行选址时用的不是IP而是与IP对应的MAC

当网卡接受数据的时候,会根据网卡接口电平的变化来与自身的MAC地址进行比较,如果不匹配则不进行任何操作(假设工作在正常状态下,如果网卡工作在混杂模式下,则接受发往任何MAC的数据);如果匹配,则接受此祯数据。

当网卡发送数据时,一个物理祯的祯头必须包含目标网卡的MAC地址,因为其他网卡要据此判断是否接受数据。然而发送计算机只知道目标计算机

网卡的IP地址,那么如何据此来获得目标计算机网卡的MAC地址呢。这就是著名的ARP协议。

在网卡发送数据前,计算机会根据目标计算机的IP来决定目标计算机的MAC。而这依据的就是ARP表。ARP表存在于计算机缓存中,因此可以快速查询,表结构如下:

 

1 ARP表结构

IP地址

MAC地址

19216811

00-e0-fc-4b-9b-e7

19216812

00-30-48-35-8b-a8

 

 

 

 

 

那么,这个ARP表示如何建立的,何时建立的呢?下面以如下网络结构为例介绍。

192.168.1.2

MAC_B

集线器

192.168.1.1

MAC_A

A

B

C

D

E

F

192.168.1.3

MAC_C

192.168.1.4

MAC_D

192.168.1.5

MAC_E

192.168.1.6

MAC_F

假设A要向B发送数据,在发送前,A查找其ARP表中,是否有BIP192.168.1.2)的对应表项。如果没有,则A向该网络广播“我的IP192.168.1.1,我的MACMAC_A,请问谁是192.168.7.2”。由于是广播,所以所有该网内的计算机都能收到这个祯,此时,CDEF收到后,发现在自己的IP不是192.168.7.2,所以不做回答。而B发现自己的IP正是A想要得,所以根据A发送的信息中的AMACA发送回答,回答内容是“我的IP192.168.1.2,我的MACMAC_B”。A收到B的回答后,根据B的回答内容建立ARP表项(192.168.1.2--------MAC_B)。

之后A就可以据此表项向B发送数据了。那么此表项存活时间是多少呢?因为网络中的计算机可能随时更换,假设计算机B被另一台计算机B’替换了,但是仍然使用192.168.1.2这个IP,那么此时A再向192.168.1.2这个发送数据时,仍旧使用原来的表项(192.168.1.2—MAC_B),那么发送时向MAC_B发送。而此时,MAC_B已经不在网络了,所以会发生传送错误。

所以,A要定期刷新ARP表,也就是定时重新发送“我的IP192.168.1.1,我的MACMAC_A,请问谁是192.168.7.2”,此时,B’会回答“我的IP192.168.1.2,我的MACMAC_B”,于是A据此更新表项192.168.1.2---MAC_B192.168.1.2---MAC_B’。之后,A192.168.1.2发送数据时,将会发送到MAC_B’也就是B’计算机。

2ARP病毒原理

上面分析了ARP的基本原理,可见ARP在网络中占据着极其重要的地位。然而这其中存在着一个危险的假设:所有的计算机都严格遵守ARP协议,不私自发送ARP报。不幸的是,这个假设往往被黑客利用。考虑如下情况:

计算机F被黑客植入了木马程序,该程序不断地向网内所有计算机发送“我的IP192.168.1.2,我的MACMAC_F”,这样网内计算机就会在ARP表中加入192.168.1.2---MAC_F,这样本来想发往192.168.1.2(计算机B)的数据,却被发送到了计算机F。考虑更为严重的情况,计算机B为网关,网内所有计算机发往因特网的数据都要先发送到B,然后由于F的扰乱,这些数据被发送到了FF上的黑客程序又可以把这些数据发往Internet远端的黑客,此时的黑客相当于控制了F所在的整个网络内的计算机。这种病毒叫做网关欺骗。

3.防治ARP病毒思路

3.1 查找ARP病源所在计算机

分析收到的ARP包,如果本机没有发送ARP请求包,而不断地收到ARP回答包,则分析此包的源MAC,从而确定病源计算机。

3.2 抵挡策略

发现之后,如果再收到病源MAC发来的ARP包,则丢弃。从而就避免了病源的干扰。如流行的360ARP防火墙就是实现类似的功能。

如果知道实际网关的MAC,则可以建立永久ARP表项,不再更新网关的ARP表项,从而避免了网关欺骗。

smstong
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于ARP病毒分析
02-25
### ARP病毒分析报告 #### 一、ARP协议基础与ARP欺骗原理 ARP(Address Resolution Protocol,地址解析协议)是用于在网络层(IP层)和数据链路层(MAC层)之间进行地址转换的一种协议。在局域网环境中,主机之间...
arp 病毒检测工具
12-07
3. **流量分析**:通过分析网络流量模式,寻找不寻常的数据包发送行为,如异常高流量、非正常时间的通信等,这些都是ARP病毒的常见特征。 4. **安全策略设置**:允许用户设置安全策略,如阻止或隔离特定的MAC或IP...
ARP病毒
touchinsert
09-01 169
arp病毒并不是某一种病毒的名称,而是对利用arp协议的漏洞进行传播的一类病毒的总称。arp协议是TCP/IP协议组的一个协议,用于进行把网络地址翻译成物理地址(又称MAC地址)。通常此类攻击的手段有两种:路由欺骗和网关欺骗。是一种入侵电脑的木马病毒。对电脑用户私密信息的威胁很大  主要原因是在局域网中有人使用了ARP欺骗的木马程序,比如一些盗号的软件。   传奇外挂...
ARP攻击及原理
weixin_33890526的博客
11-14 214
【故障原因】 局域网内有人使用ARP欺骗的木马程序(比如:传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序)。 【故障原理】 要了解故障原理,我们先来了解一下ARP协议。 在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。 ARP协议是“Ad...
arp病毒
软硬件那些事
09-23 390
<br />arp病毒并不是某一种病毒的名称,而是对利用arp协议的漏洞进行传播的一类病毒的总称。arp协议是TCP/IP协议组的一个协议,用于进行把网络地址翻译成物理地址(又称MAC地址)。通常此类攻击的手段有两种:路由欺骗和网关欺骗。是一种入侵电脑的木马病毒。对电脑用户私密信息的威胁很大。<br />HTTP是应用层的协议,主要是用于WEB网页访问。还是以上面的局域网环境举例,如果局域网中一台电脑S要请求某个网站页面,如想请求easynet.5d6d.com这个网页,这台电脑会先向网关发送HTTP请求,
毕业设计——ARP病毒分析及防护措施.doc
10-08
毕业设计——ARP病毒分析及防护措施.doc
arp.rar_arp_网络病毒
最新发布
09-23
3. ARP病毒行为:分析ARP病毒如何利用ARP协议的漏洞进行传播和破坏。 4. 病毒检测:介绍如何检测网络中的ARP病毒,可能涉及使用网络监控工具或检查网络流量异常。 5. 防护措施:提供防止ARP欺骗的策略,如使用静态...
arp病毒检测工具arp病毒检测工具
03-24
ARP病毒活跃时,它会篡改正常的ARP缓存,导致数据包被重定向到错误的硬件地址,从而可能导致信息泄露、网络中断或中间人攻击。 了解ARP病毒检测工具有助于保护网络环境免受此类威胁。这些工具通常具备以下功能: ...
ARP病毒入侵原理和解决方案
09-11
入侵原理和解决方案 ARP的入侵原理和解决方案
ARP病毒(专)
Mage的专栏
11-03 443
ARP地址欺骗类病毒(以下简称ARP病毒)是一类特殊的病毒,该病毒一般属于木马(Trojan)病毒,不具备主动传播的特性,不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包,干扰全网的运行,因此它的危害比一些蠕虫还要严重得多。    ARP病毒发作时的现象   网络掉线,但网络连接正常,内网的部分PC机不能上网,或者所有电脑不能上网,无法打开网页或打开网页慢,局域网时断时续并且
[Network] 关于ARP病毒
yuyuxp的专栏
05-22 206
关于ARP病毒 什么是ARP?     ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。什么是ARP欺骗?     从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。 ...
ARP病毒简介及防范
weixin_34021089的博客
09-13 1556
ARP病毒简介及防范ARP病毒也叫ARP地址欺骗类病毒,这是一类特殊的病毒。该病毒一般属于***病毒,不具备主动传播的特性,不会自我复制,但是由于其发作的时候会向全网发送伪造的ARP数据包,严重干扰全网的正常运行,其危害甚至比一些蠕虫病毒还要严重得多。 ARP病毒发作时,通常会造成网络掉线,但网络连接正常,内网的部分电脑不能上网,或者所有电脑均不能上网,无法打开网页或打开网...
ARP病毒全析
是叶子终要回归大地,是爱情总会沉入海底。
09-05 1458
一:下面是一位前辈的分析资料:· ARP地址欺骗类病毒(以下简称ARP病毒)是一类特殊的病毒,该病毒一般属于木马(Trojan)病毒,不具备主动传播的特性,不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包,干扰全网的运行,因此它的危害比一些蠕虫还要严重得多。 二、ARP病毒发作时的现象 网络掉线,但网络连接正常,内网的部分PC机不能上网,或者所有电脑不能上网,无法打开网页或打开
局域网arp攻击_Window应急响应(五):ARP病毒
weixin_39844481的博客
10-24 401
0x00 前言ARP病毒并不是某一种病毒的名称,而是对利用arp协议的漏洞进行传播的一类病毒的总称,目前在局域网中较为常见。发作的时候会向全网发送伪造的ARP数据包,严重干扰全网的正常运行,其危害甚至比一些蠕虫病毒还要严重得多。0x01 应急场景某天早上,小伙伴给我发了一个微信,说192.168.64.76 CPU现在负载很高,在日志分析平台查看了一下这台服务器的相关日志,流量在某个时间点暴涨,发...
ARP欺骗”木马病毒
hzbairly的专栏
10-13 3221
关于防范“ARP欺骗”木马病毒近期,出现一种新的“ARP欺骗”木马病毒在互联网上迅速扩散,我校校园网内用户及家属区用户均有计算机感染了此病毒,表现为用户频繁断网、 IE 浏览器频繁出错以及一些常用软件出现故障等问题。目前,已知传奇游戏的“传奇 2 冰橙子 1.14 ”和“及时雨 PK 破解版”两种外挂存在着这种木马。一、ARP Spoofing攻击原理分析在局域网中,通过ARP协议来完成IP地
ARP病毒代码
NOrthWinD & RealFei83 。。。。。
08-14 3024
// DoS_By_ARPCheat.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include "winsock2.h" #include "Packet32.h" #include "stdio.h" #pragma comment(lib, "packet"#pragma
ARP病毒攻击的防范和处理及相应工具方法
大IT职男日志
07-25 7220
如果在使用网络时速度越来越慢,直至掉线,而过一段时间后又可能恢复正常,或者,重启路由器后又可正常上网。故障出现时,网关ping 不通或有数据丢失,那么很有可能是受到了ARP病毒攻击。下面我就谈谈对这种情况处理的一些意见。  一、首先诊断是否为ARP病毒攻击  1、当发现上网明显变慢,或者突然掉线时,我们可以用arp-命令来检查ARP表:(点击 开始 按钮-&amp;gt;选择运行-&amp;gt;...
ARP病毒分析与防御策略
这个课程设计要求学生深入理解ARP协议和其在网络安全中的角色,分析ARP病毒的原理,掌握利用winpcap和libnet构造网络数据包的技术,以及设计和实施ARP病毒的防御方案。同时,报告应包含理论分析、设计文档、可运行的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值