毕业设计——ARP病毒分析及防护措施

1、毕业设计 ARP 病毒分析及防护措施 提纲： 一、引言。 二 、 ARP 协议的工作原理。 三、 ARP 病毒的解决方案。 四、 ARP 病毒的防范措施。 五、总结。 一、 1 引言 近期国内很多网吧和 我们 学校的局域网爆发一种新的 “ARP 欺骗 ”木马病毒（ Address Resolution Protocol 地址解析协议），病毒发作时其症状表现为计算机网络连接正常，能登陆成功却无法打开网页；或由于 ARP 欺骗的木马程序（病毒）发作时发出大量的数据包，导致网络运行不稳定，频繁断网、 IE 浏览器频繁出错以及一些常用软件出现故障等问题， 使用局域网时会突然掉线，过一段时间后又会恢复正

2、常。比如客户端状态频频变红，用户频繁断网， IE 浏览器频繁出错，以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法 ping 通网关），重启机器或在 MS-DOS窗口下运行命令 arp -d 后，又可恢复上网。 ARP 欺骗木马十分猖狂，危害也特别大，各大学校园网、小区网、公司网和网吧等局域网都出现了不同程度的灾情，带来了网络大面积瘫痪的严重后果。 ARP 欺骗木马只需成功感染一台电 脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。

3、如盗取 QQ 密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。 二、 2 ARP 协议的工作原理 1、 ARP 协议 原理分析 在局域网中，通过 ARP 协议来完成 IP 地址转换为第二层物理地址 (即 MAC 地址 )的。ARP 协议对网络安全具有重要的意义。通过伪造 IP 地址和 MAC 地址实现 ARP 欺骗，能够在网络中产生大量的 ARP 通信量使网络阻塞。 ARP 协议是 “Address Resolution Protocol”(地址解析协议 )的缩写。在局域网中，网络中实际传输的是 “帧

4、 ”，帧里面是有目标主机的 MAC 地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的 MAC 地址。但这个目标 MAC 地址是如何获得的呢？它就是通过地址解析协议获得的。所谓 “地址解析 ”就是主机在发送帧前将目标 IP地址转换成目标 MAC 地址的过程。 ARP 协议的基本功能就是通过目标设备的 IP 地址，查询目标 设备的 MAC 地址，以保证通信的顺利进行。每台安装有 TCP/IP 协议的电脑里都有一个 ARP 缓存表，表里的 IP 地址与 MAC 地址是一一对应的，如下表所示。 主机 IP 地址 MAC 地址 A 192.168.1.1 01-01-01-0

5、1-01-01 B 192.168.1.2 02-02-02-02-02-02 C 192.168.1.3 03-03-03-03-03-03 D 192.168.1.4 04-04-04-04-04-04 我们以主机 A(192.168.1.1)向主机 B(192.168.1.2)发送数据为例。当发送数据时，主机 A会在自己的 ARP 缓存表中寻找是否有目标 IP 地址。如果找到了，也就知道了目标 MAC 地址，直接把目标 MAC 地址写入帧里面发送就可以了；如果在 ARP 缓存表中没有找到相对应的 IP 地址，主机 A 就会在网络上发送一个广播，目标 MAC 地址是 “FF.FF.FF.F

6、F.FF.FF”，这表示向同一网段内的所有主机发出这样的询问： “192.168.1.2 的 MAC 地址是什么？ ”网络上其他主机并不响应 ARP 询问，只有主机 B 接收到这个帧时，才向主机 A 做出这 样的回应：“192.168.1.2 的 MAC 地址是 02-02-02-02-02-02”。这样，主机 A 就知道了主机 B 的 MAC 地址，它就可以向主机 B 发送信息了。同时它还更新了自己的 ARP 缓存表，下次再向主机 B发送信息时，直接从 ARP 缓存表里查找就可以了。 ARP 缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少 ARP 缓

7、存表的长度，加快查询速度。 从上面可以看出， ARP 协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的 ARP 欺骗。对目标 A 进行欺骗， A 去 Ping 主机 C 却发送到了 04-04-04-04-04-04这个地址上。如果进行欺骗的时候，把 C 的 MAC 地址骗为 04-04-04-04-04-04，于是 A 发送到 C 上的数据包都变成发送给 D 的了。这不正好是 D 能够接收到 A 发送的数据包了么，嗅探成功。 A 对这个变化一点都没有意识到，但是接下来的事情就让 A 产生了怀疑。因为 A和 C 连接不上了。 D 对接收到 A 发送给 C 的数据包可没有转交给

8、C。 做 “man in the middle”，进行 ARP 重定向。打开 D 的 IP 转发功能， A 发送过来的数据包，转发给 C，好比一个路由器一样。不过，假如 D 发送 ICMP 重定向的话就中断了整个计划。 D 直接进行整个包的修改转发，捕获到 A 发送给 C 的数据包，全部进行修改后再转发给 C，而 C 接收到的数据包完全认为是从 A 发送来的。不过， C 发送的数据包又直接传递给 A，倘若再次进行对 C 的 ARP 欺骗。现在 D 就完全成为 A 与 C 的中间桥梁了，对于 A和 C 之间的通讯就可以了如指掌了。 ARP 协议是属于 链路层 的协议，在 以太网 中的数据帧从一个

9、主机到达网内的另一台主机是根据 48 位的以太网地址（硬件地址）来确定接口的，而不是根据 32 位的 IP 地址。内核（如驱动）必须知道目的端的硬件地址才能发送数据。当然，点对点的连接是不需要 ARP协议的。 ARP 协议的 数据结构 ： Typedefstructarphdr unsignedshortarp_hrd；/*硬件类型 */ unsignedshortarp_pro；/*协议类型 */ unsignedchararp_hln；/*硬件地址长度 */ unsignedchararp_pln；/*协议地址长度 */ unsignedshortarp_op；/*ARP 操作类型 */

10、unsignedchararp_sha6；/*发送者的硬件地址 */ unsignedlongarp_spa；/*发送者的协议地址 */ unsignedchararp_tha6；/*目标的硬件地址 */ unsignedlongarp_tpa；/*目标的协议地址 */ ARPHDR,*PARPHDR； 为了解释 ARP 协议的作用，就必须理解数据在网络上的传输过程。这里举一个简单的PING 例子。 假设我们的计算机 IP 地址是 192.168.1.1，要执行这个命令： ping192.168.1.2。该命令会通过 ICMP 协议 发送 ICMP 数据包。该过程需要经过下面的步骤： 1、应用

11、程序构造数据包，该示例是产生 ICMP 包，被提交给内核（网络驱动程序）； 2、内核检查是否能够转化该 IP 地址为 MAC 地址，也就是在本地的 ARP 缓存中查看 IP-MAC对应表； 3、如果存在该 IP-MAC 对应关系，那么跳到步骤 9；如果不存在该 IP-MAC 对应关系，那么接续下面的步骤； 4、内核进行 ARP 广播，目的地的 MAC 地址是 FF-FF-FF-FF-FF-FF， ARP 命令 类型为 REQUEST（ 1），其中包含有自己的 MAC 地址； 5、当 192.168.1.2 主机接收到该 ARP 请求后，就发送一个 ARP 的 REPLY（ 2）命令，其中包含自

12、己的 MAC 地址； 6、本地获得 192.168.1.2 主机的 IP-MAC 地址对应关系，并保存到 ARP 缓存中； 7、内核将把 IP 转化为 MAC 地址，然后封装在以太网头结构中，再把数据发送出去； 使用 arp-a 命令就可以查看本地的 ARP 缓存内容，所以，执行一个本地的 PING 命令后，ARP 缓存就会存在一个目的 IP 的记录 了。当然，如果你的数据包是发送到不同网段的目的地，那么就一定存在一条 网关 的 IP-MAC 地址对应的记录。 知道了 ARP 协议的作用，就能够很清楚地知道，数据包的向外传输很依靠 ARP 协议，当然，也就是依赖 ARP 缓存。要知道， ARP

13、 协议的所有操作都是内核自动完成的，同其他的应用程序没有任何关系。同时需要注意的是， ARP 协议只使用于本网络。 2、 ARP 协议的缺陷 ARP 协议是 建立在信 任 局域网 内所有结点的基础上的，它很高效，但却不 安全 。它是无状态的协议，不会检查自己是否发过请求包，也不管（其实也不知道）是否是合法的应答，只要收到目标 MAC 是自己的 ARP reply 包或 arp 广播包（包括 ARP request 和 ARP reply），都会接受并 缓存 。这就为 ARP 欺骗 提供了可能，恶意节点可以发布虚假的 ARP 报文从而影响网内结点的 通信 ，甚至可以做 “中间人 ”。 常见 ARP 欺骗形式 1、假冒 ARP reply 包（单播） XXX， I have IP YYY and my MAC is ZZZ！ 2、假冒 ARP reply 包（广播） Hello everyone！ I have IP YYY and my MAC is ZZZ！