浅谈ARP病毒的欺骗_攻击方式和防范措施

专题研讨

浅谈ARP病毒的欺骗、

攻击方式和防范措施

文/王少华

【摘要】本文首先介绍了ARP协议的概念和工作原理，接着分析了当前ARP病毒的欺骗方式及其带来的危害，最后提出了一些解决方法和防范策略，来应对ARP病毒的欺骗和攻击。

【关键词】APR病毒；APR协议；TCP/IP协议；MAC地址随着网络技术在各个领域的广泛应用，在提高工作效率、实现数据共享以及信息交换等方面提供了极大的便利。然而，

ARP病由于网络协议设计上的缺陷，给网络病毒以可乘之机。

毒的出现，使网络的使用效率急剧下降，甚至对用户的信息安全构成威胁，因此，ARP病毒的防范显得尤为重要。

一、ARP协议及其工作原理

ARP是AddressResolutionProtocol的缩写，是TCP/IP协议族中的一个协议，称为地址解析协议，具体来说就是将网络层地址解析为数据连接层的MAC地址。

IP数据包在以太网中传送，但以太网设备并不能识别32位的IP地址，只能识别48位的MAC地址，ARP的解析过程就是将目的主机的IP地址转换成MAC地址。每一台主机都设有一个ARP缓存表用于存放IP地址与MAC地址的对应关系，这个缓存表会被定期的刷新，在一段时间内表中某一行未被使用，就会被删除，这样可以减少ARP缓存表的长度从

我们可以在Windows命令行窗口中，输入命而加快查询速度。

令arp-a，进行查看，输入命令arp-d进行刷新。

当主机A欲向本网络中的主机B发送数据包时，就会先

就查找自己的ARP缓存表中有无主机B的IP地址。如果有，

查出其对应的MAC地址，然后将该数据包发往此硬件地址对应的主机；如果不存在，主机A就要向网络发送一个ARP请求的广播包，网络上的所有主机都能收到这个ARP请求，主机B收到广播发现信息中的IP与自己的IP相同，便向主机A发送ARP响应，告知自己的MAC地址。这样在得到了主机B的MAC地址后，主机A就可以向主机B发送数据了。

二、ARP病毒欺骗的实现方式。

ARP欺骗的目的就是为了实现全交换环境下的数据监听，大部分的木马或病毒使用ARP欺骗攻击也是为了达到这个目的。

假设一个只有三台电脑组成的局域网，该局域网用交换机(Switch)连接起来。其中一个电脑名叫A，代表攻击方；一台

代表源主机，即发送数据的电脑；另一台电脑名叫电脑叫C，

D，代表目的主机，即接收数据的电脑。这三台电脑的IP地址

192.168.0.2，192.168.0.3，192.168.0.4，MAC地址分别分别为：

为：MAC-A，MAC-C，MAC-D。

现在，C电脑要给D电脑发送数据，则要先查询自身的ARP缓存表，查看里面是否有192.168.0.4这台电脑的MAC地址，如果有，就将MAC-D封装在数据包的外面，直接发送出去即可。如果没有，C电脑便向全网络发送一个这样的ARP

请求的广播包：C的IP是192.168.0.3，硬件地址是MAC-C，要

求返回IP地址为192.168.0.4的主机的硬件地址。而D电脑接受到该广播，经核实IP地址，则将自身的IP地址和MAC-D地址返回到C电脑。现在C电脑可以在要发送的数据包上贴上目的地址MAC-D发送出去，同时它还会动态更新自身的ARP缓存表，将192.168.0.4—MAC-D这一条记录添加进去，这样，等C电脑下次再给D电脑发送数据的时候，就不要再发送ARP请求的广播包进行查询了。这就是正常情况下的数据包发送过程。

但是，上述数据发送机制有一个致命的缺陷，即它是建立在对局域网中电脑全部信任的基础上的，也就是说它的假设前提是：无论局域网中哪台电脑，其发送的ARP数据包都是正确的。比如在上述数据发送中，当C电脑向全网询问后，D电脑也回应了自己的正确MAC地址。但是当此时，A电脑却返回了D电脑的IP地址和和自己的硬件地址。由于A电脑不停地发送这样的应答数据包，则会导致C电脑又重新动态更新自身的ARP缓存表，这回记录成：192.168.0.4与MAC-A对应，我们把这步叫做ARP缓存表中毒。这样就会导致以后凡是C电脑要发送给D电脑的数据，都将会发送给A主机。也就是说，A电脑就劫持了由C电脑发送给D电脑的数据。这就是ARP病毒欺骗的过程。

如果A电脑不冒充D电脑，而是冒充网关，那后果会更加严重。一个局域网中的电脑要连接外网，都要经过局域网中的网关进行转发。在局域网中，网关的IP地址假如为192.168.0.1。如果A电脑向全网不停的发送IP地址是192.168.0.1，硬件地址是MAC-A的ARP欺骗广播，局域网中的其它电脑都会更新自身的ARP缓存表，将A电脑当成网关，这样，当它们发送数据给网关，结果都会发送到MAC-A这台电脑中。这样，A电脑就将会监听整个局域网发送给互联网的数据包。

三、ARP病毒带来的危害1.网络异常，使用局域网时会突然掉线，过一段时间后又会恢复正常。用户频繁断网，严重时甚至可能带来整个网络的瘫痪。

2.数据窃取，具体表现为个人隐私泄漏，如MSN聊天记邮件等。账号被盗用，如QQ账号、银行账号等，这是木马录、

的惯用伎俩，给用户造成了很大的不便和经济损失。

3.数据篡改，具体表现为访问的网页被添加了恶意内容，俗称“挂马”。

4.非法控制，具体表现为网络速度、网络访问行为受第三者非法控制。

四、解决方法与防范策略

1.利用命令行的方式来检测并绑定IP地（下转第45页）

文理导航2010/6

47

WENLIDAOHANG

专题研讨

解之得：

［评析］：在研究的对象可以看作一个系统时，可以根据动量守恒定律和机械能守恒定律的条件判断系统的动量和机械能是否守恒，如满足守恒条件，可以首先考虑使用这两个守恒

在有摩擦力做功的情况下，也可利用能量守恒定律进行定律。求解．

从上面这道例题可以看到，从三个不同的角度来研究动

繁简程度力学问题，由于选用的方法不同，处理问题的难易、

可能有很大差别，在很多情况下，用动量和能量的观点来解

更有效。而不管最终选择什么样的方法解题，利题，会更快捷、

用牛顿运动定律判断物体的运动过程和各过程的特点是解题的基础。在进行正确的受力分析，过程分析的基础上，合理地选择物理定律来解题，而不能盲目地套用公式，这样才能化繁为简，化难为易，更好更快地得出正确的解。

（作者单位：江苏省南通市天星湖中学）

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!）相长。因此，教师应想方设法激起学生的学习（上接第39页

同时，教师应成为学生的朋友，以自己的才华、热情和严兴趣。

谨的治学态度去关心、爱护学生，吸引学生，使学生“亲其师，信其道”，以利于对学生进行历史分析能力的培养。

总之，历史分析能力的培养不是一朝一夕就能做到的，它需要教师花费大量时间、精力，深入研究各种教学方法、掌握多种教学手段，需要教师学习、掌握、运用现代素质教育理论，不断实践、不断改进。

【参考文献】

[1]《培养学生的历史分析能力》作者：未知来源：网上收集

[2]《高一教学如何培养学生的历史分析能力》作者：德阳

市教科所代小强

[3]《高中历史课如何培养学生分析思维》作者：湖北新洲一中周双宝

[4]《培养高中学生历史分析综合能力的探讨》来源:网友供稿

[5]《浅谈如何培养和提高学生分析和解答历史问答题的能力》来源:广西崇左市宁明县宁明中学：黄玉兴

[6]《培养高中学生历史分析综合能力的探讨(1)》来源：互联网

（作者单位：河南省宜阳县第一高级中学）

\"\"\"\"\"\"\"\"\"\"\"\"\"\"\"\"\"\"\"\"\"\"\"\"\"\"\"\"\"\"\"\"\"\"\"\"\"\"\"\"\"\"\"\"\"（上接第47页）址与MAC地址的映射。ARP病毒攻击的首要

目标是网关，因此，保留一份正确的网关的IP-MAC数据很重要。当局域网中发生ARP欺骗的时候，实施ARP欺骗的电脑会

这时局域网中的其它电脑就会动态不停地发送ARP欺骗广播，

更新自身的ARP缓存表，将网关的MAC地址记录成带ARP病毒的电脑的MAC地址，我们只要打开一个命令提示符窗口，输入“arp-a”来显示ARP缓存表的内容，显示为：192.168.0.100-21-27-87-b8-1adynamic

如果显示的内容与正确的数据不符，则说明ARP缓存表中网关的MAC已被篡改。先删除现有的IP-MAC对应表：arp-d192.168.0.1，在缓存列表中增加一个正确的、静态的IP→MAC的数据，如arp-s192.168.0.100-21-5c-55-6a-ed，既绑定了网关IP与MAC地址的对应关系。

如果网络管理员有局域网内所有主机的IP-MAC映射表，还可以根据MAC地址找到实施ARP欺骗的主机，再利用ARP专杀工具杀毒。

2.在交换机端口上应用IP-MAC绑定。在交换机端口上实施MAC地址与端口绑定和IP地址与端口的绑定相结合，从而达到在端口上应用IP与MAC地址绑定的功能。一旦绑定之后，交换机的ARP表就固定了，任何ARP欺骗都无法修改交换机的ARP表，同时也就保证了路由的准确性。

3.在交换机上设置虚拟局域网(VLAN)。由于广播信息不能跨越虚拟局域网，因此通过划分VLAN的方法，减小了ARP广播的范围，从而有效的减小了ARP欺骗带来的影响。

4.安装ARP防火墙软件。随着ARP欺骗的不断升级，国内多款ARP防火墙软件应运而生，如奇虎360ARP防火墙、

金山ARP防火墙、瑞星防火墙等，都能有效的抑制ARP欺骗的发生。

网络给人们带来了很大的便利，但随之而来的安全问题

ARP的欺骗正是利用了ARP协让当初的设计者们始料未及。

议设计上的缺陷，给网络安全、信息安全、甚至财产安全带来极大隐患。但只要我们能从原理出发，找到问题的“症结”所在，利用行之有效的解决方法和防范措施，就能减小或消灭ARP病毒带来的危害，从而确保网络的畅通和数据的安全。

（作者单位：河南省郑州市中牟县第一高级中学）

文理导航2010/6

45