日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

一 專(zhuān)家解讀APR病毒

云知道

賽迪網(wǎng)原創(chuàng)文章,版權(quán)所有,如欲轉(zhuǎn)載,請(qǐng)與賽迪網(wǎng)聯(lián)系
一、ARP病毒 ARP地址欺騙類(lèi)病毒(以下簡(jiǎn)稱(chēng)ARP病毒)是一類(lèi)特殊的病毒,該病毒一般屬于木馬(Trojan)病毒,不具備主動(dòng)傳播的特性,不會(huì)自我復(fù)制 。但是由于其發(fā)作的時(shí)候會(huì)向全網(wǎng)發(fā)送偽造的ARP數(shù)據(jù)包,干擾全網(wǎng)的運(yùn)行,因此它的危害比一些蠕蟲(chóng)還要嚴(yán)重得多 。二、ARP病毒發(fā)作時(shí)的現(xiàn)象 網(wǎng)絡(luò)掉線(xiàn),但網(wǎng)絡(luò)連接正常,內(nèi)網(wǎng)的部分PC機(jī)不能上網(wǎng),或者所有電腦不能上網(wǎng),無(wú)法打開(kāi)網(wǎng)頁(yè)或打開(kāi)網(wǎng)頁(yè)慢,局域網(wǎng)時(shí)斷時(shí)續(xù)并且網(wǎng)速較慢等 。三、ARP病毒原理 3.1 網(wǎng)絡(luò)模型簡(jiǎn)介 眾所周知,按照OSI (Open Systems Interconnection Reference Model 開(kāi)放系統(tǒng)互聯(lián)參考模型) 的觀點(diǎn),可將網(wǎng)絡(luò)系統(tǒng)劃分為7層結(jié)構(gòu),每一個(gè)層次上運(yùn)行著不同的協(xié)議和服務(wù),并且上下層之間互相配合,完成網(wǎng)絡(luò)數(shù)據(jù)交換的功能,如圖1: 圖1 OSI網(wǎng)絡(luò)體系模型【一 專(zhuān)家解讀APR病毒】然而,OSI的模型僅僅是一個(gè)參考模型,并不是實(shí)際網(wǎng)絡(luò)中應(yīng)用的模型 。實(shí)際上應(yīng)用最廣泛的商用網(wǎng)絡(luò)模型即TCP/IP體系模型,將網(wǎng)絡(luò)劃分為四層,每一個(gè)層次上也運(yùn)行著不同的協(xié)議和服務(wù),如圖2 。圖2 TCP/IP四層體系模型及其配套協(xié)議上圖中,藍(lán)色字體表示該層的名稱(chēng),綠色字表示運(yùn)行在該層上的協(xié)議 。由圖2可見(jiàn),我們即將要討論的ARP協(xié)議,就是工作在網(wǎng)際層上的協(xié)議 。
3.2 ARP協(xié)議簡(jiǎn)介
我們大家都知道,在局域網(wǎng)中,一臺(tái)主機(jī)要和另一臺(tái)主機(jī)進(jìn)行通信,必須要知道目標(biāo)主機(jī)的IP地址,但是最終負(fù)責(zé)在局域網(wǎng)中傳送數(shù)據(jù)的網(wǎng)卡等物理設(shè)備是不識(shí)別IP地址的,只能識(shí)別其硬件地址即MAC地址 。MAC地址是48位的,通常表示為12個(gè)16進(jìn)制數(shù),每2個(gè)16進(jìn)制數(shù)之間用“-”或者冒號(hào)隔開(kāi),如:00-0B-2F-13-1A-11就是一個(gè)MAC地址 。每一塊網(wǎng)卡都有其全球唯一的MAC地址,網(wǎng)卡之間發(fā)送數(shù)據(jù),只能根據(jù)對(duì)方網(wǎng)卡的MAC地址進(jìn)行發(fā)送,這時(shí)就需要一個(gè)將高層數(shù)據(jù)包中的IP地址轉(zhuǎn)換成低層MAC地址的協(xié)議,而這個(gè)重要的任務(wù)將由ARP協(xié)議完成 。ARP全稱(chēng)為Address Resolution Protocol,地址解析協(xié)議 。所謂“地址解析”就是主機(jī)在發(fā)送數(shù)據(jù)包前將目標(biāo)主機(jī)IP地址轉(zhuǎn)換成目標(biāo)主機(jī)MAC地址的過(guò)程 。ARP協(xié)議的基本功能就是通過(guò)目標(biāo)設(shè)備的IP地址,查詢(xún)目標(biāo)設(shè)備的MAC地址,以保證通信的順利進(jìn)行 。這時(shí)就涉及到一個(gè)問(wèn)題,一個(gè)局域網(wǎng)中的電腦少則幾臺(tái),多則上百臺(tái),這么多的電腦之間,如何能準(zhǔn)確的記住對(duì)方電腦網(wǎng)卡的MAC地址,以便數(shù)據(jù)的發(fā)送呢?這就涉及到了另外一個(gè)概念,ARP緩存表 。在局域網(wǎng)的任何一臺(tái)主機(jī)中,都有一個(gè)ARP緩存表,該表中保存這網(wǎng)絡(luò)中各個(gè)電腦的IP地址和MAC地址的對(duì)照關(guān)系 。當(dāng)這臺(tái)主機(jī)向同局域網(wǎng)中另外的主機(jī)發(fā)送數(shù)據(jù)的時(shí)候,會(huì)根據(jù)ARP緩存表里的對(duì)應(yīng)關(guān)系進(jìn)行發(fā)送 。下面,我們用一個(gè)模擬的局域網(wǎng)環(huán)境,來(lái)說(shuō)明ARP欺騙的過(guò)程 。3.3 ARP欺騙過(guò)程 假設(shè)一個(gè)只有三臺(tái)電腦組成的局域網(wǎng),該局域網(wǎng)由交換機(jī)(Switch)連接 。其中一個(gè)電腦名叫A,代表攻擊方;一臺(tái)電腦叫S,代表源主機(jī),即發(fā)送數(shù)據(jù)的電腦;令一臺(tái)電腦名叫D,代表目的主機(jī),即接收數(shù)據(jù)的電腦 。這三臺(tái)電腦的IP地址分別為192.168.0.2,192.168.0.3,192.168.0.4 。MAC地址分別為MAC_A,MAC_S,MAC_D 。其網(wǎng)絡(luò)拓?fù)洵h(huán)境如圖3 。圖3 網(wǎng)絡(luò)拓?fù)洮F(xiàn)在,S電腦要給D電腦發(fā)送數(shù)據(jù)了,在S電腦內(nèi)部,上層的TCP和UDP的數(shù)據(jù)包已經(jīng)傳送到了最底層的網(wǎng)絡(luò)接口層,數(shù)據(jù)包即將要發(fā)送出去,但這時(shí)還不知道目的主機(jī)D電腦的MAC地址MAC_D 。這時(shí)候,S電腦要先查詢(xún)自身的ARP緩存表,查看里面是否有192.168.0.4這臺(tái)電腦的MAC地址,如果有,那很好辦,就將 封裝在數(shù)據(jù)包的外面 。直接發(fā)送出去即可 。如果沒(méi)有,這時(shí)S電腦要向全網(wǎng)絡(luò)發(fā)送一個(gè)ARP廣播包,大聲詢(xún)問(wèn):“我的IP是192.168.0.3,硬件地址是MAC_S,我想知道IP地址為192.168.0.4的主機(jī)的硬件地址是多少?” 這時(shí),全網(wǎng)絡(luò)的電腦都收到該ARP廣播包了,包括A電腦和D電腦 。A電腦一看其要查詢(xún)的IP地址不是自己的,就將該數(shù)據(jù)包丟棄不予理會(huì) 。而D電腦一看IP地址是自己的,則回答S電腦:“我的IP地址是192.168.0.4,我的硬件地址是MAC_D”需要注意的是,這條信息是單獨(dú)回答的,即D電腦單獨(dú)向S電腦發(fā)送的,并非剛才的廣播 ?,F(xiàn)在S電腦已經(jīng)知道目的電腦D的MAC地址了,它可以將要發(fā)送的數(shù)據(jù)包上貼上目的地址MAC_D,發(fā)送出去了 。同時(shí)它還會(huì)動(dòng)態(tài)更新自身的ARP緩存表,將192.168.0.4-MAC_D這一條記錄添加進(jìn)去,這樣,等S電腦下次再給D電腦發(fā)送數(shù)據(jù)的時(shí)候,就不用大聲詢(xún)問(wèn)發(fā)送ARP廣播包了 。這就是正常情況下的數(shù)據(jù)包發(fā)送過(guò)程 。這樣的機(jī)制看上去很完美,似乎整個(gè)局域網(wǎng)也天下太平,相安無(wú)事 。但是,上述數(shù)據(jù)發(fā)送機(jī)制有一個(gè)致命的缺陷,即它是建立在對(duì)局域網(wǎng)中電腦全部信任的基礎(chǔ)上的,也就是說(shuō)它的假設(shè)前提是:無(wú)論局域網(wǎng)中那臺(tái)電腦,其發(fā)送的ARP數(shù)據(jù)包都是正確的 。那么這樣就很危險(xiǎn)了!因?yàn)榫钟蚓W(wǎng)中并非所有的電腦都安分守己,往往有非法者的存在 。比如在上述數(shù)據(jù)發(fā)送中,當(dāng)S電腦向全網(wǎng)詢(xún)問(wèn)“我想知道IP地址為192.168.0.4的主機(jī)的硬件地址是多少?”后,D電腦也回應(yīng)了自己的正確MAC地址 。但是當(dāng)此時(shí),一向沉默寡言的A電腦也回話(huà)了:“我的IP地址是192.168.0.4,我的硬件地址是MAC_A”,注意,此時(shí)它竟然冒充自己是D電腦的IP地址,而MAC地址竟然寫(xiě)成自己的!由于A電腦不停地發(fā)送這樣的應(yīng)答數(shù)據(jù)包,本來(lái)S電腦的ARP緩存表中已經(jīng)保存了正確的記錄:192.168.0.4-MAC_D,但是由于A電腦的不停應(yīng)答,這時(shí)S電腦并不知道A電腦發(fā)送的數(shù)據(jù)包是偽造的,導(dǎo)致S電腦又重新動(dòng)態(tài)更新自身的ARP緩存表,這回記錄成:192.168.0.4-MAC_A,很顯然,這是一個(gè)錯(cuò)誤的記錄(這步也叫ARP緩存表中毒),這樣就導(dǎo)致以后凡是S電腦要發(fā)送給D電腦,也就是IP地址為192.168.0.4這臺(tái)主機(jī)的數(shù)據(jù),都將會(huì)發(fā)送給MAC地址為MAC_A的主機(jī),這樣,在光天化日之下,A電腦竟然劫持了由S電腦發(fā)送給D電腦的數(shù)據(jù)!這就是ARP欺騙的過(guò)程 。如果A這臺(tái)電腦再做的“過(guò)分”一些,它不冒充D電腦,而是冒充網(wǎng)關(guān),那后果會(huì)怎么樣呢?我們大家都知道,如果一個(gè)局域網(wǎng)中的電腦要連接外網(wǎng),也就是登陸互聯(lián)網(wǎng)的時(shí)候,都要經(jīng)過(guò)局域網(wǎng)中的網(wǎng)關(guān)轉(zhuǎn)發(fā)一下,所有收發(fā)的數(shù)據(jù)都要先經(jīng)過(guò)網(wǎng)關(guān),再由網(wǎng)關(guān)發(fā)向互聯(lián)網(wǎng) 。在局域網(wǎng)中,網(wǎng)關(guān)的IP地址一般為192.168.0.1 。如果A這臺(tái)電腦向全網(wǎng)不停的發(fā)送ARP欺騙廣播,大聲說(shuō):“我的IP地址是192.168.0.1,我的硬件地址是MAC_A”這時(shí)局域網(wǎng)中的其它電腦并沒(méi)有察覺(jué)到什么,因?yàn)榫钟蚓W(wǎng)通信的前提條件是信任任何電腦發(fā)送的ARP廣播包 。這樣局域網(wǎng)中的其它電腦都會(huì)更新自身的ARP緩存表,記錄下192.168.0.1-MAC_A這樣的記錄,這樣,當(dāng)它們發(fā)送給網(wǎng)關(guān),也就是IP地址為192.168.0.1這臺(tái)電腦的數(shù)據(jù),結(jié)果都會(huì)發(fā)送到MAC_A這臺(tái)電腦中!這樣,A電腦就將會(huì)監(jiān)聽(tīng)整個(gè)局域網(wǎng)發(fā)送給互聯(lián)網(wǎng)的數(shù)據(jù)包! 實(shí)際上,這種病毒早就出現(xiàn)過(guò),這就是ARP地址欺騙類(lèi)病毒 。一些傳奇木馬(Trojan/PSW.LMir)具有這樣的特性,該木馬一般通過(guò)傳奇外掛、網(wǎng)頁(yè)木馬等方式使局域網(wǎng)中的某臺(tái)電腦中毒,這樣中毒電腦便可嗅探到整個(gè)局域網(wǎng)發(fā)送的所有數(shù)據(jù)包,該木馬破解了《傳奇》游戲的數(shù)據(jù)包加密算法,通過(guò)截獲局域網(wǎng)中的數(shù)據(jù)包,分析數(shù)據(jù)包中的用戶(hù)隱私信息,盜取用戶(hù)的游戲帳號(hào)和密碼 。在解析這些封包之后,再將它們發(fā)送到真正的網(wǎng)關(guān) 。這樣的病毒有一個(gè)令網(wǎng)吧游戲玩家聞之色變的名字:“傳奇網(wǎng)吧殺手” ! 【稍后將為您介紹ARP病毒新的表現(xiàn)形式……】

推薦閱讀