论文部分内容阅读
摘要:阐述了ARP病毒的入侵原理。
关键词:ARP病毒 入侵 互联网
1 ARP病毒攻击原理
1.1 ARP的概念
ARP(Address Resolution Protocol)名为“地址解析协议”,工作在数据链路层,在本层和硬件接口联系,同时对上层提供服务。“地址解析”是网络中的主机在发送数据包前先将目标主机IP地址转换成目标主机MAC地址的过程。
1.2 ARP的工作原理
在每台安装了TCPAP协议的计算机里都有一个ARP缓存表,里面记录了IP地址和MAC地址的对应情况。在发送数据的时候会按照缓存表里的对应关系进行发送。如源主机A要发送一个数据包给目的主机B时,会先在A的ARP缓存表里面寻找和B对应的MAC地址,如果有就直接发送出去:如果没有就向全网发送一个ARP请求的广播包,查询B所对应的MAC地址。这个ARP请求数据包里包括了A的IP地址、MAC地址以及B的IP地址。网络中所有的主机都会收到这个ARP请求,然后各自检查数据包中的目的IP是否一致,如果不相同就丢掉此数据包;如果相同,主机首先将A的MAC地址和IP地址添加到ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给A发送一个ARP响应数据包,告诉A其是所要查找的MAC地址,即为B;A收到这个ARP响应数据包后,将得到的B的IP地址和MAC地址对应,并添加到ARP缓存表中,再开始数据传输。如果A一直没有收到ARP响应数据包,则表示ARP查询失败。
1.3 ARP欺骗过程
ARP的工作机制并不安全,假设又增加了一台主机C。A和B要通信,A机在不知道B机的地址情况下同样发送了一个ARP请求广播,B机收到后给A机发送了正确的回复数据包。然而这时C机也给A机发送了一个伪造的数据包,当A接收到C伪造的ARP应答,就会更新本地的ARP缓存,这时C就伪装成B了。同时,C同样向B发送一个ARP应答,当B收到C伪造的ARP应答,也会更新本地ARP缓存,这时C就伪装成了A。结果主机A和B都被主机C欺骗,A和B之间通讯的数据都经过了C中转,主机C完全可以截获A和B间的数据。这就是典型的ARP欺骗过程。
如果C机冒充网关,C就会监听整个局域网发送给互联网的数据包,同时也会导致局域网大面积掉线,严重时就会造成网络瘫痪。
1.4 ARP病毒的表现形式
网络游戏中的一些木马程序通过游戏外挂、网页木马等方式使局域网中的某台电脑中毒,这样中毒的电脑便可嗅探到整个局域网发送的所有数据包。木马通过截获局域网中的数据包,分析数据包中的用户隐私信息,盗取用户的游戏帐号和密码。在解析这些封包后,再发送到真正的网关。还有的病毒修改HTTP请求访问,如果局域网中一台电脑B要请求www.hao123.com这个网页,这台电脑会先向网关发送HTTP请求,这样,网关就会将www.hao123.com页面下载下来,并发送给B电脑。这时,若A电脑通过向全网发送伪造的ARP欺骗广播,自身伪装成网关,成为一台ARP中毒电脑的话,这样当B电脑请求WEB网页时,A电脑先是将这个页面下载下来,然后发送给B电脑,但在发给B电脑时,会向其中插入恶意网址连接,造成B电脑中毒,同样,若其它电脑也请求WEB页面访问,A电脑同样也给其他电脑返回带病毒的网页,这样,如果一个局域网中存在这样的ARP病毒电脑的话,整个网段的电脑将会全部中毒。
2 结束语
通过上面的介绍,对ARP病毒有所了解和认识。建议要养成良好的电脑使用习惯,努力做到防患于未然,即便是发生事故时也可将损失降到最少。
关键词:ARP病毒 入侵 互联网
1 ARP病毒攻击原理
1.1 ARP的概念
ARP(Address Resolution Protocol)名为“地址解析协议”,工作在数据链路层,在本层和硬件接口联系,同时对上层提供服务。“地址解析”是网络中的主机在发送数据包前先将目标主机IP地址转换成目标主机MAC地址的过程。
1.2 ARP的工作原理
在每台安装了TCPAP协议的计算机里都有一个ARP缓存表,里面记录了IP地址和MAC地址的对应情况。在发送数据的时候会按照缓存表里的对应关系进行发送。如源主机A要发送一个数据包给目的主机B时,会先在A的ARP缓存表里面寻找和B对应的MAC地址,如果有就直接发送出去:如果没有就向全网发送一个ARP请求的广播包,查询B所对应的MAC地址。这个ARP请求数据包里包括了A的IP地址、MAC地址以及B的IP地址。网络中所有的主机都会收到这个ARP请求,然后各自检查数据包中的目的IP是否一致,如果不相同就丢掉此数据包;如果相同,主机首先将A的MAC地址和IP地址添加到ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给A发送一个ARP响应数据包,告诉A其是所要查找的MAC地址,即为B;A收到这个ARP响应数据包后,将得到的B的IP地址和MAC地址对应,并添加到ARP缓存表中,再开始数据传输。如果A一直没有收到ARP响应数据包,则表示ARP查询失败。
1.3 ARP欺骗过程
ARP的工作机制并不安全,假设又增加了一台主机C。A和B要通信,A机在不知道B机的地址情况下同样发送了一个ARP请求广播,B机收到后给A机发送了正确的回复数据包。然而这时C机也给A机发送了一个伪造的数据包,当A接收到C伪造的ARP应答,就会更新本地的ARP缓存,这时C就伪装成B了。同时,C同样向B发送一个ARP应答,当B收到C伪造的ARP应答,也会更新本地ARP缓存,这时C就伪装成了A。结果主机A和B都被主机C欺骗,A和B之间通讯的数据都经过了C中转,主机C完全可以截获A和B间的数据。这就是典型的ARP欺骗过程。
如果C机冒充网关,C就会监听整个局域网发送给互联网的数据包,同时也会导致局域网大面积掉线,严重时就会造成网络瘫痪。
1.4 ARP病毒的表现形式
网络游戏中的一些木马程序通过游戏外挂、网页木马等方式使局域网中的某台电脑中毒,这样中毒的电脑便可嗅探到整个局域网发送的所有数据包。木马通过截获局域网中的数据包,分析数据包中的用户隐私信息,盗取用户的游戏帐号和密码。在解析这些封包后,再发送到真正的网关。还有的病毒修改HTTP请求访问,如果局域网中一台电脑B要请求www.hao123.com这个网页,这台电脑会先向网关发送HTTP请求,这样,网关就会将www.hao123.com页面下载下来,并发送给B电脑。这时,若A电脑通过向全网发送伪造的ARP欺骗广播,自身伪装成网关,成为一台ARP中毒电脑的话,这样当B电脑请求WEB网页时,A电脑先是将这个页面下载下来,然后发送给B电脑,但在发给B电脑时,会向其中插入恶意网址连接,造成B电脑中毒,同样,若其它电脑也请求WEB页面访问,A电脑同样也给其他电脑返回带病毒的网页,这样,如果一个局域网中存在这样的ARP病毒电脑的话,整个网段的电脑将会全部中毒。
2 结束语
通过上面的介绍,对ARP病毒有所了解和认识。建议要养成良好的电脑使用习惯,努力做到防患于未然,即便是发生事故时也可将损失降到最少。