arp欺骗病毒(arp地址欺骗类病毒)

更新时间:2023-02-28 22:05:28 阅读: 评论:0

什么是arp病毒啊?

arp是一个网络协议,一般用于局域网中,它将IP地址解析为网卡的物理地址,又称为MAC地址。局域网中的所有ip通信最终都必须转换到基于mac地址的通信。一般局域网中每台机器都会缓存一个IP到MAC的转换地址表,使得不用每次要向其他机器发送信息时都要重新解析一遍。
由于该协议存在某些缺陷,使得局域网中恶意的机器可以发送虚假的ARP包来欺骗其他机器,使得其它机器获得虚假的ip与mac对应关系。
局域网一般通过统一的网关来访问外部网络,比如上网浏览网页(http协议),某机器上的恶意代码通过欺骗,让其他机器将网关ip的mac地址都指向自己,又欺骗网关使得其他机器IP的mac地址也指向自己,只有它自己保存着一份真实的ip-mac转换表。这样,基于网中所有机器的上网包都通过该恶意代码的机器进行转发,从而该代码就能截获局域网其他用户的很多上网信息。这种采用arp欺骗的恶意代码就是ARP病毒。
以上是arp病毒的一个基本原理描述,更详细的信息及防护请看资料:
http://netcurity.51cto.com/art/200609/31883.htm

什么是ARP病毒?

磁碟机病毒的泛滥让很多普通用户熟悉了一个词汇——arp病毒。那么什么是“arp病毒”呢?

首先,arp病毒并不是某一种病毒的名称,而是对利用arp协议的漏洞进行传播的一类病毒的总称。arp协议是TCP/IP协议组的一个协议,用于进行把网络地址翻译成物理地址(又称MAC地址)。arp攻击或者arp欺骗并不新鲜,但是把arp欺骗用于传播病毒,的确是近来的事情,而磁碟机病毒把这种手段的应用推向了一个新的高峰。

那么,什么是arp欺骗呢?这需要我们仔细了解一下我们在上网的时候发生的一些细节:

当我们在网上浏览网页或者收发电子邮件的时候,我们知道我们是在跟IP地址通信,因为浏览器会通过dns协议,把我们输入的域名,比如www.microsoft.com,翻译成IP地址,比如207.46.19.190。这个翻译过程仅仅是为了便于记忆。因此,当你浏览http://www.microsoft.com/的时候,你的计算机在不断地与www.microsoft.com这台服务器,也就是207.46.19.190这个IP地址的服务器,在进行通信。如下图所示:

而在现实中,作为用户,我们自己的计算机跟服务器的距离通常非常遥远,不再一个“局域网”之内。打比方来说,正如你跟外地的女朋友要通信一样,你不能直接把信件直接交给她,而只能通过邮局寄出去。在IP网络中,同样地,你也需要借助邮局才能跟遥远的服务器进行通信,这个邮局就是你的网关。你可能也猜到了,跟现实中一样,在IP网络中也存在一个邮政网络,其中的邮局称为路由器(Router)。由此我们可以把上图的图景再细化一下:

IP通信和邮政通信的模式是如此地类似,我们不妨再来复习一遍:在逻辑层次上,用户计算机和服务器直接通信,你的你的女朋友直接通信;在实际实现中,你通过邮局来收发你的信件,用户计算机则通过路由收发数据。

但是,IP通信和邮政通信也存在一些微小而重要的差别。在邮政通信中,如果你要跟远方的女朋友通信,你不仅需要知道她的名字,还需要知道她的实际位置。你在信封上写上她的地址和名字。而在IP通信中,你要给远方的服务器通信,你的数据包的“收件人”会写上服务器的“名字”,就是服务器的IP地址。但是,“收件人地址”,却不是服务器的物理地址,而是网关的物理地址。

你可能会感到惊讶,但是它就是这么工作的。而且这种方式自有其优点,你可以想象一下,你的女朋友正在周游世界,而你只需要信封上写上她的名字,邮局就可以想办法把信件送到她的手中!

现在你知道,你的网关就是你的邮局,你与局域网以外的所有通信都必须经过它。如果你曾经更改过你的网络设置,你应该见国下面这个对话框,其中红色框住的部分就是网关的IP地址。

然而,这还不够,你怎么知道邮局的实际位置呢?在现实中,你通过查阅地图,或者询问他人得到邮局的实际位置。在IP网络中,如果你的局域网规模比较小,你的网关可能就放在你的桌子上;如果你是ADSL用户,在输入帐号和密码建立ADSL连接后,你的网关就是电信运营商那里的一台服务器。但是,你的计算机如何知道这一切呢?他怎么知道该把信件交给谁呢?

类似于购买地图,在IP网络中,找到网关的位置,或者局域网内部其他计算机的物理地址,需要要用到地址解析协议(Address Resolution Protocol,arp协议)。不幸的是,由于arp协议的漏洞,你的计算机可能被欺骗,而得到错误的网关物理地址——它将得到一张被恶意修改过的地图!

arp协议的工作流程是这样设计的:

需要的计算机会在网络中发送一个广播请求:谁是我设置的网关(比如192.168.1.1),请把你的物理地址报上来!
普通的计算机会忽略这个请求,而网关192.168.1.1则会根据请求把自己的物理地址告知请求的计算机。
得到回答之后的计算机会把这个地址缓存起来,在后续的通信中使用——它要经常跟邮局打交道,可不能每次都买地图。
然而,在第二步中存在一个关键的问题:计算机对于arp回应是不加鉴别的,一个恶意的计算机完全可以发送虚假的回复信息让其他计算机以为它是网关,从而获得偷窥甚至修改它们人通信的机会!

你可能觉得买到假地图的机会其实不多,你错了。根据arp协议,计算机不仅在启动后第一次需要的时候发送arp请求,还定期发送arp请求,更新arp缓存,以确保自己得到的物理地址列表(它可能还需要知道局域网中其他计算机的物理地址)是最新的。在默认情况下,操作系统会每个两分钟更新一次arp缓存。你的计算机几乎每时每刻都可能上当受骗!

现在你应该明白arp欺骗的原理了,它通过欺骗你的计算机,伪装成网关,成为你和网关之间的中间人,然后从你的邮件中偷偷地搜集你的个人信息,或者往你的邮包中塞入广告甚至病毒!下次你在迪吉凯尔的网页看到QQ的广告,你就应该意识到,这不是网站的问题。要么是你自己中病毒了,要么是你的网络中存在arp病毒。

那么,该如何防范这种arp攻击呢?显然,要点在于确保arp缓存中的网关物理地址是真实可靠的。有两种方式可以确保可靠:

一种方式是对arp应答信息进行鉴别。由于操作系统本身并未提供这样的选项,你需要另外一种称为arp防火墙的软件,它会对arp应答信息进行鉴别,现在有不少杀毒软件开始集成这种防火墙,只需要开启这种功能即可。

第二种方式要麻烦一些,但是不需要另外安装软件。因为操作系统实际上提供了手动查看和修改arp缓存的途径。在命令行窗口中输入arp -a即可查看当前arp缓存的内容。在我的计算机上,情况是这样的:

如果你的计算机被arp病毒欺骗了,那么其中显示的Physical Address就是发起arp欺骗的主机的物理地址。此时,你就需要运行另外一条命令:arp -d。这样就可以清空当前的arp缓存。然后你就可以再使用arp -s命令,静态地绑定真实的网关物理IP。注意,这种静态绑定只保持到计算机重启。也就是说,如果计算机重新启动了,你静态绑定的结果就会丢失。因此,你可能有必要制作一个批处理,在计算机每次启动的时候应用,内容格式如下:

arp -d
arp -s arp -s <网关IP> <真实的网关物理地址>

从哪里得知真实的网关物理地址呢?现在没有其他办法,要么,你在网络正常的时候记下来过;要么,你能够接触到你的网关,上面会有相应的描述;最后,请咨询你的网络管理员。

通过这种方式,也可以有效防止病毒对您的计算机进行arp欺骗

ARP病毒是什么原理?

你好,ARP病毒原理如下:arp病毒利用arp协议的漏洞进行传播,通常此类攻击的手段有两种:路由欺骗和网关欺骗。

如果中了这个病毒,建议按下面两步来处理:

1、首先开启腾讯电脑管家的ARP防火墙

2、重启计算机进入安全模式(重启按F8进入),使用腾讯电脑管家进行全盘查杀

有其他问题欢迎到电脑管家企业平台咨询,我们将竭诚为您服务!


如何确认自己的电脑是否中了ARP病毒?

ARP欺骗方式共分为两种:

一种是对路由器ARP表的欺骗,该种攻击截获网关数据。通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息,导致上网时断时通或上不了网。

另一种是对内网PC的网关欺骗,仿冒网关的mac地址,发送arp包欺骗别的客户端,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网,造成上网时断时通或上不了网。


arp病毒是什么

你可能是和很多人共用一个网线对把
所谓的ARP病毒就是
是另外一台电脑用终结者对你的电脑进行攻击
带有病毒的攻击
一般所运行的都是终结者
主要原因是在局域网中有人使用了ARP欺骗的木马程序,比如一些盗号的软件
去这里http://www.newhua.com/soft/52718.htm在这里下载ARP防火墙
带自动防御的
在也不怕攻击

ARP病毒是什么原理?

ARP欺骗的原理
网络执法官中利用的ARP欺骗使被攻击的电脑无法上网,其原理就是使该电脑无法找到
网关

MAC地址
。那么ARP欺骗到底是怎么回事呢?知其然,知其所以然是我们《黑客X档案》的优良传统,下面我们就谈谈这个问题。
首先给大家说说什么是ARP,ARP(Address
Resolution
Protocol)是地址解析协议,是一种将
IP地址
转化成
物理地址
的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。
ARP原理:某机器A要向
主机
B发送
报文
,会查询本地的ARP
缓存
表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia--物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
ARP协议并不只在发送了ARP请求才接收ARP应答。当
计算机
接收到ARP应答
数据包
的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,当
局域网
中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答是B冒充C伪造来的,即IP地址为C的IP,而MAC地址是伪造的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C!这就是一个简单的ARP欺骗。
网络执法官利用的就是这个原理!知道了它的原理,再突破它的防线就容易多了。

本文发布于:2023-02-28 18:59:00,感谢您对本站的认可!

本文链接:https://www.wtabcd.cn/zhishi/a/167759312850775.html

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。

本文word下载地址:arp欺骗病毒(arp地址欺骗类病毒).doc

本文 PDF 下载地址:arp欺骗病毒(arp地址欺骗类病毒).pdf

标签:病毒   地址   arp
相关文章
留言与评论(共有 0 条评论)
   
验证码:
推荐文章
排行榜
Copyright ©2019-2022 Comsenz Inc.Powered by © 实用文体写作网旗下知识大全大全栏目是一个全百科类宝库! 优秀范文|法律文书|专利查询|