病毒防护论文计算机病毒防护论文.doc

病毒防护论文计算机病毒防护论文
浅谈ARP病毒的运行原理及防护方法
摘要:防范ARP病毒的常见策略是对主机进行保护,但是连入网络中的计算机非常多,如果对每台计算机进行保护,现实中很难实现。从运行原理对ARP病毒进行分析研究,对网络设备进行设置,从而达到控制ARP病毒的作用。
关键词:网络协议;ARP攻击;防护
随着信息化水平越来越高,对网络的依赖程度日益加深。已经成为人们生活、学习、工作中不可缺少的一部分。网络在给我们提供方便的同时,也对网络安全提出新的挑战,其中ARP病毒是最常见的攻击方法之一。ARP的欺骗技术已经被越来越多的病毒所使用,因此对ARP病毒攻击的防范也变得越来越重要。
1、ARP病毒攻击原理
中,一台主机要和另一台主机进行通信,必须要知道目标主机的IP地址,但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的,只能识别其硬件地址即MAC地址。MAC地址是48位的,通常表示为12个16进制数,每2个16进制数之间用“-”或者冒号隔开,如:00-0B-2F13-1A-11就是一个MAC地址。每一块网卡都有其全球唯一的MAC地址,网卡之间发送数据,只能根据对方网卡的MAC地址进行发送,这时就需要一个将高层数据包中的IP地址转换成低层MAC地址的协议,IP地址转换为物理地址是通过ARP协议来完成的。Arp协议是TCP/IP协议组的一个协议,用于进行把网络地址翻译成物理地址(又称MAC地址)。通常此类攻击的手段有两种:路由欺骗和网关欺骗。ARP病毒是一种入侵电脑的木马病毒。对电脑用户私密信息的威胁很大。如果伪造IP地址和物理地址,就能实现ARP欺骗,用伪造的物理地址发送响应包,病毒会将该机器的物理地址映射到网关的IP地址上,向局域网内大量发送ARP包,致同一网段地址内的其它机器误将其作为网关,掉线时内网是互通的,计算机却不能上网。攻击者只要不间断发出伪造的ARP包就能更改主机ARP缓存中的IP地址和物理地址,造成网络故障。例如,如果主机向从机发送一个虚假的ARP数据包,主机的IP地址是
,MAC地址是FA-4D3C-25-43-BA,但是主机真实的物理地址是3F-88-63-25-BA-C6,很明显被伪造了。当从机接收到主机伪造的ARP应答,就会更新本地的ARP缓存,当大量的虚假信息向局域网中发送时,就会造成机器ARP缓存崩溃。
ARP攻击是的主要现象有:
1)网上银行、游戏及QQ账号的频繁丢失。一些人为了获取非法利益,利用ARP欺骗程序在网内进行非法活动,此类程序的主要目的在于破解账号登陆时的加密解密算法,通过截取局域网中的数据包,然后以分析数据通讯协议的方法截获用户的信息。运行这类木马病毒,就可以获得整个局域网中上网用户账号的详细信息并盗取。
2)网速时快时慢,极其不稳定,但单机进行光纤数据测试时一切正常。当局域内的某台计算机被ARP的欺骗程序非法侵入后,它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包,阻塞网络通道,造成网络设备的承载过重,导致网络的通讯质量不稳定。
3)局域网内频繁性区域或整体掉线,重启计算机或网络设备后恢复正常。当带有ARP欺骗程序的计算机在网内进行通讯时,就会导致频繁掉线,出现此类问题后重启计算机或禁用网卡会暂时解决问题,但掉