病毒防護(hù)論文計(jì)算機(jī)病毒防護(hù)論文

1、 病毒防護(hù)論文計(jì)算機(jī)病毒防護(hù)論文淺談arp病毒的運(yùn)行原理及防護(hù)方法摘要：防范arp病毒的常見策略是對(duì)主機(jī)進(jìn)行保護(hù)，但是連入網(wǎng)絡(luò)中的計(jì)算機(jī)非常多，如果對(duì)每臺(tái)計(jì)算機(jī)進(jìn)行保護(hù)，現(xiàn)實(shí)中很難實(shí)現(xiàn)。從運(yùn)行原理對(duì)arp病毒進(jìn)行分析研究，對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行設(shè)置，從而達(dá)到控制arp病毒的作用。 關(guān)鍵詞：網(wǎng)絡(luò)協(xié)議；arp攻擊；防護(hù) 隨著信息化水平越來越高，對(duì)網(wǎng)絡(luò)的依賴程度日益加深。internet已經(jīng)成為人們生活、學(xué)習(xí)、工作中不可缺少的一部分。網(wǎng)絡(luò)在給我們提供方便的同時(shí)，也對(duì)網(wǎng)絡(luò)安全提出新的挑戰(zhàn)，其中arp病毒是最常見的攻擊方法之一。arp的欺騙技術(shù)已經(jīng)被越來越多的病毒所使用，因此對(duì)arp病毒攻擊的防范也變得越來越重

2、要。 1、arp病毒攻擊原理 在internet中，一臺(tái)主機(jī)要和另一臺(tái)主機(jī)進(jìn)行通信，必須要知道目標(biāo)主機(jī)的ip地址，但是最終負(fù)責(zé)在局域網(wǎng)中傳送數(shù)據(jù)的網(wǎng)卡等物理設(shè)備是不識(shí)別ip地址的，只能識(shí)別其硬件地址即mac地址。mac地址是48位的，通常表示為12個(gè)16進(jìn)制數(shù)，每2個(gè)16進(jìn)制數(shù)之間用“-”或者冒號(hào)隔開，如：00-0b-2f13-1a-11就是一個(gè)mac地址。每一塊網(wǎng)卡都有其全球唯一的mac地址，網(wǎng)卡之間發(fā)送數(shù)據(jù)，只能根據(jù)對(duì)方網(wǎng)卡的mac地址進(jìn)行發(fā)送，這時(shí)就需要一個(gè)將高層數(shù)據(jù)包中的ip地址轉(zhuǎn)換成低層mac地址的協(xié)議，ip地址轉(zhuǎn)換為物理地址是通過arp協(xié)議來完成的。arp協(xié)議是tcp/ip協(xié)議組的

3、一個(gè)協(xié)議，用于進(jìn)行把網(wǎng)絡(luò)地址翻譯成物理地址(又稱mac地址)。通常此類攻擊的手段有兩種：路由欺騙和網(wǎng)關(guān)欺騙。arp病毒是一種入侵電腦的木馬病毒。對(duì)電腦用戶私密信息的威脅很大。如果偽造ip地址和物理地址，就能實(shí)現(xiàn)arp欺騙，用偽造的物理地址發(fā)送響應(yīng)包，病毒會(huì)將該機(jī)器的物理地址映射到網(wǎng)關(guān)的ip地址上，向局域網(wǎng)內(nèi)大量發(fā)送arp包，致同一網(wǎng)段地址內(nèi)的其它機(jī)器誤將其作為網(wǎng)關(guān)，掉線時(shí)內(nèi)網(wǎng)是互通的，計(jì)算機(jī)卻不能上網(wǎng)。攻擊者只要不間斷發(fā)出偽造的arp包就能更改主機(jī)arp緩存中的ip地址和物理地址，造成網(wǎng)絡(luò)故障。例如，如果主機(jī)向從機(jī)發(fā)送一個(gè)虛假的arp數(shù)據(jù)包，主機(jī)的ip地址是10.0.0.1，mac地址是fa-

4、4d3c-25-43-ba，但是主機(jī)真實(shí)的物理地址是3f-88-63-25-ba-c6，很明顯被偽造了。當(dāng)從機(jī)接收到主機(jī)偽造的arp應(yīng)答，就會(huì)更新本地的arp緩存，當(dāng)大量的虛假信息向局域網(wǎng)中發(fā)送時(shí)，就會(huì)造成機(jī)器arp緩存崩潰。 arp攻擊是的主要現(xiàn)象有： 1)網(wǎng)上銀行、游戲及qq賬號(hào)的頻繁丟失。一些人為了獲取非法利益，利用arp欺騙程序在網(wǎng)內(nèi)進(jìn)行非法活動(dòng)，此類程序的主要目的在于破解賬號(hào)登陸時(shí)的加密解密算法，通過截取局域網(wǎng)中的數(shù)據(jù)包，然后以分析數(shù)據(jù)通訊協(xié)議的方法截獲用戶的信息。運(yùn)行這類木馬病毒，就可以獲得整個(gè)局域網(wǎng)中上網(wǎng)用戶賬號(hào)的詳細(xì)信息并盜取。 2)網(wǎng)速時(shí)快時(shí)慢，極其不穩(wěn)定，但單機(jī)進(jìn)行光纖數(shù)據(jù)

5、測試時(shí)一切正常。當(dāng)局域內(nèi)的某臺(tái)計(jì)算機(jī)被arp的欺騙程序非法侵入后，它就會(huì)持續(xù)地向網(wǎng)內(nèi)所有的計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備發(fā)送大量的非法arp欺騙數(shù)據(jù)包，阻塞網(wǎng)絡(luò)通道，造成網(wǎng)絡(luò)設(shè)備的承載過重，導(dǎo)致網(wǎng)絡(luò)的通訊質(zhì)量不穩(wěn)定。 3)局域網(wǎng)內(nèi)頻繁性區(qū)域或整體掉線，重啟計(jì)算機(jī)或網(wǎng)絡(luò)設(shè)備后恢復(fù)正常。當(dāng)帶有arp欺騙程序的計(jì)算機(jī)在網(wǎng)內(nèi)進(jìn)行通訊時(shí)，就會(huì)導(dǎo)致頻繁掉線，出現(xiàn)此類問題后重啟計(jì)算機(jī)或禁用網(wǎng)卡會(huì)暫時(shí)解決問題，但掉線情況還會(huì)發(fā)生。 2、定位arp攻擊源頭 第一種是采取主動(dòng)的尋找方式。一般進(jìn)行arp攻擊的機(jī)器，網(wǎng)卡會(huì)處于混雜模式，因此可用專用的查殺工具掃描局域網(wǎng)，如果發(fā)現(xiàn)有機(jī)器的網(wǎng)卡處于混雜模式，那么這臺(tái)網(wǎng)卡處于混雜模式的機(jī)

6、器有可能就是攻擊源。確定攻擊源頭后，就可用專門的軟件進(jìn)行處理。 其次我們也可以采用被動(dòng)的方式。 1)檢查本機(jī)的“arp欺騙”木馬染毒進(jìn)程，點(diǎn)選“進(jìn)程”標(biāo)簽。察看其中是否有一個(gè)名為“miro.dat”的進(jìn)程。如果有，則說明已經(jīng)中毒。右鍵點(diǎn)擊此進(jìn)程后選擇“結(jié)束進(jìn)程”。 2)檢查網(wǎng)內(nèi)感染“arp欺騙”木馬染毒的計(jì)算機(jī)。 在“開始”“運(yùn)行”輸入cmd后確定。 在彈出的命令提示符框中輸入并執(zhí)行以下命令ipconfig 記錄網(wǎng)關(guān)ip地址，即“default gateway”對(duì)應(yīng)的值，例如“10.0.1.1”。 再輸入并執(zhí)行以下命令：arpa 在“internet address”下找到上步記錄的網(wǎng)關(guān)ip地

7、址，記錄其對(duì)應(yīng)的物理地址，即“physical address”值，例如“00-05-e-1f-35-54”。在網(wǎng)絡(luò)正常時(shí)這就是網(wǎng)關(guān)的正確物理地址，在網(wǎng)絡(luò)受“arp欺騙”木馬影響而不正常時(shí)，它就是木馬所在計(jì)算機(jī)的網(wǎng)卡物理地址。 3、arp攻擊的防范方法 1)現(xiàn)在網(wǎng)上有很多arp病毒定位工具，其中做得較好的是anti arpsniffer(現(xiàn)在已更名為arp防火墻)，下面我就演示一下使用anti arpsniffer這個(gè)工具軟件來定位arp中毒電腦。首先打開anti arp sniffer軟件，輸入網(wǎng)關(guān)的ip地址之后，再點(diǎn)擊紅色框內(nèi)的“枚舉mac”按鈕，即可獲得正確網(wǎng)關(guān)的mac地址，接著點(diǎn)擊“自

8、動(dòng)保護(hù)”按鈕，即可保護(hù)當(dāng)前網(wǎng)卡與網(wǎng)關(guān)的正常通信。當(dāng)局域網(wǎng)中存在arp欺騙時(shí)，該數(shù)據(jù)包會(huì)被anti arp sniffer記錄，該軟件會(huì)以氣泡的形式報(bào)警。 2)使用抓包工具，分析所得到的arp數(shù)據(jù)報(bào)。有些arp病毒是會(huì)把通往網(wǎng)關(guān)的路徑指向自己，有些是發(fā)出虛假arp回應(yīng)包來混淆網(wǎng)絡(luò)通信。第一種處理比較容易，第二種處理比較困難，如果殺毒軟件不能正確識(shí)別病毒的話，往往需要手工查找感染病毒的電腦和手工處理病毒，比較困難。 3)靜態(tài)arp綁定網(wǎng)關(guān)。在能正常上網(wǎng)時(shí)，進(jìn)入ms-dos窗口，輸入命令：arp-a，查看網(wǎng)關(guān)的ip對(duì)應(yīng)的正確mac地址，并將其記錄下來。如果計(jì)算機(jī)已經(jīng)有網(wǎng)關(guān)的正確mac地址，而不能上網(wǎng)。只需手工將網(wǎng)關(guān)ip