arp类病毒的解决方案范文

arp类病毒的解决方案范文第1篇

A Suzhou Institution

基于ARP伪装技术的IP地址防盗用方案的研究

杜暖男 马莹莹

(平顶山工业职业技术学院，河南平顶山 467001)

1研究背景

众所周之，IP地址的盗用对网络的正常运行是十分有害的。一方面，非法用户盗用合法用户的IP地址以获得特殊的访问权限;另一方面，非法用户盗用未分配的IP地址，对正常的网络运行和应用进行破坏。因此，当前找出在通用网络模型下IP地址防盗用的方法是十分有必要的。

2IP地址防盗用方案模式分析

2.1IP-MAC模型

IP-MAC模型是人们较早提出的一种模型。IP地址盗用的问题归根结底是解决IP地址的唯一性的问题，而在实践中IP地址的唯一性很难保证。正如前面所分析的，在目前日益广泛应用的Linux系统下，用户可以随意地更改所使用的主机的IP地址，因此IP地址的唯一性需要依赖于其他本身具有唯一性的因素来保持。

2.2IP-MAC-USER模型

针对成对修改IP-MAC地址和动态修改IP的IP地址盗用方式，人们提出了IP-MAC-USER模型。

IP-MAC-USER模型的原理是，在采用IP-MAC模型实现IP绑定MAC地址的基础上，

在重点、高危险网段实施IP同时绑定MAC地址和用户，即在IP-MAC绑定的同时，检验与IP相对应的用户名和口令，实现IP绑定用户。

这种方案对成对修改IP-MAC地址和动态修改IP的IP地址盗用方式能够进行彻底的防范，是一种普遍防御和重点防范相结合的方案。

IP-MAC-USER模型不能简化为IP-USER模型，那样就会带来大量IP用户管理的麻烦，同时造成网络使用的不便。

2.3IP-MAC-PORT模型

随着共享式以太网向交换式以太网的发展，具有简单网络管理功能的交换机越来越为人们所采用。在这种形势下人们提出了IP-MAC-PORT模型。

IP-MAC-PORT模型的原理是，在交换以太网环境下，将IP地址与MAC地址、主机所连接的交换机端口同时绑定，即在检验(IP，MAC)地址对的同时，检验IP对应的交换机端口。

3基于ARP伪装技术的IP地址防盗用方案

3.1ARP协议分析

ARP(地址解析协议)用于将IP地址映射为硬件地址(MAC地址)，它是TCP/IP协议组中的一个非常重要的协议，在OSI七层网络模型中，网络层下面是数据链路层，为了它们可以互通，需要转换协议。ARP(地址解析协议)用于把网络层(第三层)地址映射到数据链路层(第二层)地址，RARP(反向地址解析协议)则反之。

网络层地址是由网络管理员定义的抽象映射，它不去关心下层是哪种数据链路层协议。然而，网络接口只能根据第二层地址来互相通信，第二层地址通过ARP从第三层地址得到。并不是发送每个数据包都需要进行ARP请求，ARP应答被缓存在本地的ARP表中，这样就减少了网络中的ARP包。

3.2ARP伪装技术

利用ARP协议的无认证特性，假设主机Q与X，Y在同一局域网内，Y向X发送ARP应答后，Q伪装成Y，再向X发送一个以为源地址的ARP包或向Y发一个以为源地址的ARP包，就会更新X或Y的ARP缓存表，使X将Ipy

的MAC地址解析为MACq或使Y将Ipx的地址解析为MACq，这就是ARP伪装技术。

Q应用ARP伪装技术修改X和Y的ARP缓存表后，X和Y发给对方的IP数据报都会发向MAC地址MACq.若MACq为网络内不存在的空MAC地址，则X，Y可以继续向对方发IP数据包，但对方收不到，X，Y之间的网络通信无法实现，本文称之为ARP截断。

基于ARP伪装技术的IP防盗用方法就是采用ARP截断的方法，使IP盗用主机无法进行网络通信，从而实现IP地址防盗用。

3.3应用ARP伪装技术实现IP-MAC模型

随着技术的发展，有些IP盗用者采用修改主机MAC地址的方法，来避开IP防盗用系统。虽然修改MAC并不容易，但IP防盗用系统也应对其防范。

对于修改MAC的盗用方法，可在子网的IP-MAC地址库中增加一项IP开关状态标志，此标志项由用户自行管理，当用户要退出网络时，访问IP-MAC地址库，将分配给他的IP地址所对应的开关状态标志项设置为关闭;当用户重新使用网络时，再次访问IP-MAC地址库将开关状态标志打开。

对于ARP监听模块，在将ARP包中的源IP地址与IP-MAC地址库比对时，增加一个判断IP地址开关状态标志项的进程，如开关状态标志项己关闭，就可判断为修改MAC地址的IP地址盗用，随即调用ARP截断模块。ARP截断模块不必做修改。

在IP防盗用软件运行的系统上开启Web服务，采用JSP技术开发一个B/S模式的Web数据库系统，使用户可以经过必要的用户、口令认证后，用浏览器访问IP-MAC地址库，管理IP地址开关状态标志。

通过以上方案的实施即实现了基于IP-MAC-USER三元素的IP地址防盗用模型，又可对成对修改IP-MAC地址和动态修改IP地址的IP地址盗用方式进行有效地防范。

3.4通过ARP地址欺骗技术防范IP地址盗用

下面以例子的方式说明ARP地址解析和ARP地址欺骗防：

止IP地址盗用。

A机器上运行如下：

C：>arp — a

Interface 1 92 1 68 1 0 1 on Interface 0x1 000003

Internet Address PhysicaI Address Type

192.168.10.3 CC—CC—CC—CC—CC—CC dynamic

这是192. 168. 1 0.1(主机A)上的ARP缓存表，假设A进行一次ping 192. 168. 10 .3(主机C)操作，会查询本地的ARP缓存表，找到C的IP地址对应的MAC地址。以便对传输的帧进行封装，这样就可以进行数据传输，帧的目的MAC地址就是C的MAC地址。如果A中没有C的ARP记录，那么A首先要广播一次ARP请求。当C接收到A的请求后就发送一个应答，应答中包含有C的MAC地址，这就是ARP地址解析的过程，然后A接收到C的应答就会更新本地的ARP缓存。接着使用这个MAC地址发送数据。因此.本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。但是ARP协议并不只在发送了ARP请求才接收ARP应答。这也就是利用ARP地址欺骗技术达到防止IP地址盗用的理论基础了。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP-TnMAC地址存储在ARP缓存中。因此，在上面的假设网络中，B向A发送一个自己伪造的ARP应答 而这个应答中的数据为发送方IP地址是192. 168. 10.3(C的IP地址) MAC地址是DD—DD—DD—DD—DD-DD(C的MAC地址本来应该是CC—CC—CC—CC—CC—CC 这里被伪造了)。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存(A可不知道被伪造了)。

4小结

盗用技术的发展与反盗用技术的进步是一个此长彼消，互相促进的过程。要很好解决这个问题，一方面需要依靠反盗用技术的不断提高，另一方面还需要法律、法规和各项网络管理制度的健全和完善。亦即，一方面要不断地提高网络的管理水平，研究新的网络技术，另一方面还要对敢于进行IP地址盗用、破坏网络安全的人，按照有关法规严惩，使盗用者既对先进的反盗用技术望而生畏，又对盗用后所承担的后果心有余悸，才能很好解决IP地址盗用问题。

参考文献

[1] 谢希仁. 计算机网络. 北京: 电子工业出版社, 2005: 102-106

[2] 漆强, 熊筱芳. 一种新型的以过程为中心的软件工程方法. 南昌大学学报,

arp类病毒的解决方案范文第2篇

一、arp攻击原理

(一) arp病毒概念

arp病毒, 并非单一的病毒种类, 而是特指在计算机网络中利用网络的arp协议漏洞而进行的各种病毒攻击传播行为。arp协议, 严格意义上属于TCP/IP协议的协议类型, 可以将计算机的IP地址转变成为物理地址, 在此过程中, arp病毒通常会通过路由或者网关等两种方式进行攻击欺骗, 严格意义上也可以纳入到病毒攻击的范畴之内。当arp攻击对计算机用户的电脑终端进行攻击侵入时, 会对计算机用户的个人数据产生严重的破坏危害。与此同时, 在计算机TCP/IP网络协议内, arp病毒能够迅速地进行变种繁殖, 这意味着计算机网络内的计算机被arp攻击后会形成新的计算机病毒, 并且难以被已安装的病毒杀毒软件所查到, 具有极强的病毒攻击隐蔽性。

(二) arp病毒攻击方式

(1) 伪装网关方式攻击。当计算机用户主机向其他计算机用户主机传递被伪装后的计算机网络数据时, 计算机网络数据内的IP地址信息是真实的地址信息, 然而物理地址信息却被arp病毒所改变。因而, 当目标计算机主机获取到网络数据时, 会根据计算机网络数据内的地址信息进行修改arp映射信息表, 这对计算机网络主机的正常数据交互功能产生较大的影响, 最终导致计算机主机被arp病毒所控制。

(2) 伪装用户方式攻击。伪装用户攻击, 又可被细分为对网关欺骗以及对用户欺骗等不同的方式。其中, 对网关欺骗, 则主要是借助于网关传送进行伪造而成的计算机网络信息, 而网络信息的IP地址则伪造为其他计算机地址, 与arp病毒攻击的网关伪装方式有所类似。对用户进行欺骗的方式, 则主要是通过用户对其他用户所传送的网络数据进行伪造的方式, 促使网络中所发送的网络数据内IP地址信息被串改, 将所伪造的网络数据物理地址进行取代其他计算机目标用户的真实物理地址信息, 从而改变了计算机网络中所传送的网络arp映射表信息数据, 影响了不同计算机网络用户间的数据交互活动完成。

(3) 泛洪攻击方式。Arp攻击所进行的泛洪攻击, 主要是基于计算机arp协议而进行的CPU攻击的特点。因而, 当计算机系统在特定的时间内获取到较多数量的arp协议请求, 会造成计算机需要在相对较短的时间内同时处理较多数量的arp协议请求, 大大地加大了计算机CPU的负担, 导致计算机CPU难以处理其他的用户操作, 造成计算机崩溃问题产生。另外, 由于在同一时间内计算机CPU需要处理数量较多的arp请求, 大大地消耗了计算机网络的数据处理效率, 由于CPU负担过重造成设备瘫痪现象产生, 也被称为“泛洪攻击”。

二、arp攻击防护措施和解决方案

(一) 攻击检测

及时、有效地对计算机网络arp攻击进行检测, 能够更及时地避免arp攻击所带来的负面影响。攻击检测技术, 主要是利用网络监测设备对计算机网络内的arp攻击实际情况进行及时地检测。假如在ALAN网络内启用了攻击检测功能, 则能够对VLAN整个网络内的arp报文信息进行有效性及合法性的检测。当只有通过攻击检测的网络报文方可允许其完成相应的操作。而针对未能顺利通过检测的网络报文则采取丢弃的方式。一方面, 对arp非信任端口所接受的网络报文进行数据合法性的检测, 主要对包括802.1X等多个选项进行检测, 判断其与网络报文的物理地址或IP地址是否相符, 从而判断其合法性。另一方面, 可应用攻击检测技术对网络报文的有效性进行及时地检测, 主要通过对报文物理地址源、目标物理地址以及IP地址信息等数据实现分层次性的检测。

(二) 网关防护措施

对arp攻击所进行的网关防护措施, 通常是指在计算机网络设备的输入端口处加上相应的网络防护功能, 当计算机网关设备获取到由其他网络主机或者路由器所发送的arp报文时, 会实现对IP地址信息进行合法性的检测。假如网络报文无法通过合法性检测, 则会被计算机网关设备视为存在不合法性, 则被进行丢弃的网络处理。假如通过合法性检测, 则会按住网络报文的输出方向完成网络转发的动作。因而, 计算机网络防护措施已成为当前arp攻击的重要防护措施。

(三) 网络限速功能

当计算机网络中, 特定的计算机主机给其他计算机用户发送数量较多的伪造网络信息时, 对计算机网络系统内接收其他网络用户的正常操作产生较大的影响, 自然也影响了其对其他正常计算机操作的转发与处理, 自然也难以进行网络信息的处理。因而, 在计算机网关的端口位置应根据网络监测实际情况假如网络报文限速的管理功能, 从而确保同一时间内计算机系统所能够处理的网络报文限定于合理的数量范围内, 切实避免由于arp病毒泛洪攻击所带来的负面影响。

三、结束语

arp攻击, 由于其在网络攻击中能够形成新的病毒种类, 而难以被计算机杀毒软件所检测, 已成为当前计算机网络中破坏威力最大的病毒。在实际网络管理中, 应从攻击检测、网关防护以及网络限速等多种方式, 实现对arp攻击的防护。

摘要：在计算机网络中, 网络协议是最为重要的网络组件之一, 而TCP/IP是网络协议核心的内容。因而, 在计算机网络运行中, arp协议发挥着非常重要的作用。然而, 在当前计算机网络运行与使用中, arp攻击却成为最为常见的问题。本文结合自身实际工作经验, 在分析arp攻击原理的基础上, 试着提出有针对性的arp攻击防护措施及解决方案, 以确保计算机网络的平稳运行, 提升计算机网络安全程度。

关键词：arp攻击,防护措施,解决方案

参考文献

[1] 刘晓霞.ARP攻击与防护措施及解决方案[J].信息通信, 2016 (2) :73-74.