[摘要]文章從ARP協(xié)議工作原理分析了AKP病毒攻擊原理及欺騙過程，并提出了幾種有效防范措施。

[關(guān)鍵詞]電子閱覽室 ARP協(xié)議 AKP欺騙

近段時(shí)間里，學(xué)校圖書館電子閱覽室發(fā)現(xiàn)了一種ARP病毒，在電子閱覽室中，當(dāng)被這種病毒攻擊后，電子閱覽室內(nèi)原本可以正常上網(wǎng)的計(jì)算機(jī)，無法打開網(wǎng)頁或者網(wǎng)頁速度緩慢，連接時(shí)斷時(shí)續(xù)，包括訪問網(wǎng)上鄰居也是如此，拷貝文件無法完成出現(xiàn)錯(cuò)誤。雙擊任務(wù)欄中本地連接圖標(biāo)，顯示為已經(jīng)連接，并且發(fā)現(xiàn)發(fā)送的數(shù)據(jù)包明顯少于接受數(shù)據(jù)包，在IP地址設(shè)置正常情況下，可能會(huì)顯示IP地址沖突。重新啟動(dòng)計(jì)算機(jī)或在NSDOS窗口下運(yùn)行命令A(yù)RP-D后，又可恢復(fù)一段時(shí)間上網(wǎng)，局域網(wǎng)內(nèi)的ARP暴增，使用ARP查詢都時(shí)候會(huì)發(fā)現(xiàn)不正常的MAC地址，或者是錯(cuò)誤的MAC地址對應(yīng)。隨著用戶的增加，最后導(dǎo)致整個(gè)網(wǎng)絡(luò)堵塞癱瘓。為了保證其他網(wǎng)段不受影響，只得把中毒網(wǎng)段關(guān)閉，給讀者和工作人員帶來很多不便。要想防治ARP病毒，首先就要了解什么是ARP協(xié)議以及ARP病毒攻擊原理。

1 ARP攻擊原理

ARP病毒一般屬于木馬病毒，不具備主動(dòng)傳播，自我復(fù)制的特征。但是由于其發(fā)作的時(shí)候，會(huì)向全網(wǎng)發(fā)送偽造ARP數(shù)據(jù)包，干擾全網(wǎng)的運(yùn)行，因此它的危害比一些蠕蟲病毒還要嚴(yán)重。

1.1 ARP(Address Resolution Protocd)是地址解析協(xié)議，是一種將IP地址轉(zhuǎn)化成物理地址協(xié)議，也就是將計(jì)算機(jī)的網(wǎng)絡(luò)地址(IP地址32位)轉(zhuǎn)換為物理地址(MAC地址48位)。

在以太網(wǎng)為通信協(xié)議標(biāo)準(zhǔn)都圖書館局域網(wǎng)中，計(jì)算機(jī)之間都相互通信一般是通過數(shù)據(jù)包的傳遞來實(shí)現(xiàn)的。當(dāng)局域網(wǎng)的機(jī)器通過IP協(xié)議通信時(shí)，IP包從上層一直下傳到數(shù)據(jù)鏈路層，以太頭中包括目的MAC地址，源MAC地址和協(xié)議，源地址是自己網(wǎng)卡的MAC地址，可以得到，協(xié)議對于IP包來說是Ox0800(網(wǎng)絡(luò)序)，而目的MAC地址呢7所知道的目前只是目的IP地址，ARP協(xié)議就是把IP地址轉(zhuǎn)換為IP地址的一個(gè)底層協(xié)議，一般人很少注意。

為得到一個(gè)IP地址對應(yīng)的MAC地址，主機(jī)就會(huì)發(fā)出ARP請求，比如MAC是FF：FF：FF：FF：FF：FF，協(xié)議0x0806，表示是ARP協(xié)議，協(xié)議類型字段表示要映射的協(xié)議地址類型。它的值與包含IP數(shù)據(jù)報(bào)的類型字段的值相同，這是有意設(shè)計(jì)的，為Ox0800即表示IP包。接下來的兩個(gè)1字節(jié)的字段，硬件地址長度和協(xié)議地址長度分別指出硬件地址和協(xié)議地址的長度，以字節(jié)為單位。對于局域網(wǎng)IP地址的ARP請求或應(yīng)答來說，它們的值分別為6和4。操作字段指出四種操作類型，它們是ARP請求(值為1)、ARP應(yīng)答(值為2)、RARP請求(值為3)和ARP應(yīng)答(值為4)，接下來的四個(gè)字段是發(fā)送端的硬件地址、發(fā)送端的協(xié)議地址(IP地址)、目的端的硬件地址和目的端的協(xié)議地址。對于一個(gè)ARP請求來說，除目的端硬件地址外的所有其他的字段都有填充值。當(dāng)系統(tǒng)收到一份目的端為本機(jī)的ARP請求報(bào)文后，它就把硬件地址填進(jìn)去。然后用兩個(gè)目的端地址分別替換兩個(gè)發(fā)送端地址，并把操作字段置為2，最后把它發(fā)送回去。由于ARP欺騙的木馬程序發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶會(huì)感覺上網(wǎng)速度越來越慢。當(dāng)ARP欺騙的木馬程序停止運(yùn)行時(shí)，用戶會(huì)恢復(fù)從安全網(wǎng)關(guān)上網(wǎng)，切換過程中用戶會(huì)再斷一次線。

1.2 ARP病毒欺騙分為三種

第一種是通過偽造II)和MAC的對應(yīng)關(guān)系，實(shí)現(xiàn)某一計(jì)算機(jī)對其他計(jì)算機(jī)的欺騙。如計(jì)算機(jī)A通過計(jì)算機(jī)B的MAC欺騙計(jì)算機(jī)C，以達(dá)到監(jiān)聽計(jì)算機(jī)B和計(jì)算機(jī)C的目的，并且導(dǎo)致計(jì)算機(jī)B到計(jì)算機(jī)C之間的網(wǎng)絡(luò)連接中斷。第二種是通過偽造網(wǎng)關(guān)，實(shí)現(xiàn)對內(nèi)網(wǎng)計(jì)算機(jī)的網(wǎng)關(guān)欺騙。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向加網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)，在PC看來，就是上不了網(wǎng)了。第三種就是路由器ARP表的欺騙，通過通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址，并按照一定效率不斷進(jìn)行，使真實(shí)的地址信息無法通過跟新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址，造成正常PC無法接受信息。

2 查找感染ARP病毒的電腦

2.1 通過交換機(jī)功能查找。進(jìn)入到交換機(jī)全局狀態(tài)，輸入Showarp命令，在對應(yīng)的IP，MAC地址列表中就可以查找到。

2.2 管理人員應(yīng)事先將正確網(wǎng)關(guān)MAC和本局域內(nèi)電腦對應(yīng)的]P和MAC記錄在案，當(dāng)ARP病毒發(fā)作，導(dǎo)致網(wǎng)絡(luò)故障時(shí)，進(jìn)入故障電腦的MS-DOS窗口輸人命令，arp-a查看網(wǎng)關(guān)II)對應(yīng)的MAC地址，然后使用命令：ipconfig-aU，查看故障電腦本地網(wǎng)卡的MAC地址，將其得到的地址記錄下來，對比排查后，找到病毒源做相應(yīng)處理

2.3 利用NBTSCANR軟件來對病毒主機(jī)查找

3 ARP欺騙的防范措施

3.1 安裝ARP防火墻。我館電子閱覽室用的360安全衛(wèi)士。它有在系統(tǒng)內(nèi)核層攔截外部虛假ARP數(shù)據(jù)包，在系統(tǒng)內(nèi)核層攔截本機(jī)對外ARP攻擊數(shù)據(jù)包，攔截IP沖突，DOS攻擊抑制等，很好地保障系統(tǒng)不受ARP欺騙、ARP攻擊影響。操持網(wǎng)絡(luò)暢通及通訊安全。

3.2 網(wǎng)關(guān)的lP和MAC地址靜態(tài)綁定。首先在網(wǎng)關(guān)服務(wù)器(代理主機(jī))的電腦上查看本機(jī)MAC地址，然后在做客戶機(jī)器的DOS命令下做ARP靜態(tài)綁定。ARP靜態(tài)綁定最后做成一個(gè)Windows自動(dòng)啟動(dòng)文件，讓電腦一啟動(dòng)就執(zhí)行以上操作，保證配置不丟失。

結(jié)束語

圖書館電子閱覽室用戶龐雜，用戶只要在局域網(wǎng)中發(fā)送和接受ARP報(bào)文，就有可能受到虛假信息的欺騙，只要不斷地跟新方法，才能避免遭受病毒攻擊和破壞。