病毒防护论文计算机病毒防护论文

1、 病毒防护论文计算机病毒防护论文浅谈arp病毒的运行原理及防护方法摘要：防范arp病毒的常见策略是对主机进行保护，但是连入网络中的计算机非常多，如果对每台计算机进行保护，现实中很难实现。从运行原理对arp病毒进行分析研究，对网络设备进行设置，从而达到控制arp病毒的作用。 关键词：网络协议；arp攻击；防护 随着信息化水平越来越高，对网络的依赖程度日益加深。internet已经成为人们生活、学习、工作中不可缺少的一部分。网络在给我们提供方便的同时，也对网络安全提出新的挑战，其中arp病毒是最常见的攻击方法之一。arp的欺骗技术已经被越来越多的病毒所使用，因此对arp病毒攻击的防范也变得越来越重

2、要。 1、arp病毒攻击原理 在internet中，一台主机要和另一台主机进行通信，必须要知道目标主机的ip地址，但是最终负责在局域网中传送数据的网卡等物理设备是不识别ip地址的，只能识别其硬件地址即mac地址。mac地址是48位的，通常表示为12个16进制数，每2个16进制数之间用“-”或者冒号隔开，如：00-0b-2f13-1a-11就是一个mac地址。每一块网卡都有其全球唯一的mac地址，网卡之间发送数据，只能根据对方网卡的mac地址进行发送，这时就需要一个将高层数据包中的ip地址转换成低层mac地址的协议，ip地址转换为物理地址是通过arp协议来完成的。arp协议是tcp/ip协议组的

3、一个协议，用于进行把网络地址翻译成物理地址(又称mac地址)。通常此类攻击的手段有两种：路由欺骗和网关欺骗。arp病毒是一种入侵电脑的木马病毒。对电脑用户私密信息的威胁很大。如果伪造ip地址和物理地址，就能实现arp欺骗，用伪造的物理地址发送响应包，病毒会将该机器的物理地址映射到网关的ip地址上，向局域网内大量发送arp包，致同一网段地址内的其它机器误将其作为网关，掉线时内网是互通的，计算机却不能上网。攻击者只要不间断发出伪造的arp包就能更改主机arp缓存中的ip地址和物理地址，造成网络故障。例如，如果主机向从机发送一个虚假的arp数据包，主机的ip地址是10.0.0.1，mac地址是fa-

4、4d3c-25-43-ba，但是主机真实的物理地址是3f-88-63-25-ba-c6，很明显被伪造了。当从机接收到主机伪造的arp应答，就会更新本地的arp缓存，当大量的虚假信息向局域网中发送时，就会造成机器arp缓存崩溃。 arp攻击是的主要现象有： 1)网上银行、游戏及qq账号的频繁丢失。一些人为了获取非法利益，利用arp欺骗程序在网内进行非法活动，此类程序的主要目的在于破解账号登陆时的加密解密算法，通过截取局域网中的数据包，然后以分析数据通讯协议的方法截获用户的信息。运行这类木马病毒，就可以获得整个局域网中上网用户账号的详细信息并盗取。 2)网速时快时慢，极其不稳定，但单机进行光纤数据

5、测试时一切正常。当局域内的某台计算机被arp的欺骗程序非法侵入后，它就会持续地向网内所有的计算机及网络设备发送大量的非法arp欺骗数据包，阻塞网络通道，造成网络设备的承载过重，导致网络的通讯质量不稳定。 3)局域网内频繁性区域或整体掉线，重启计算机或网络设备后恢复正常。当带有arp欺骗程序的计算机在网内进行通讯时，就会导致频繁掉线，出现此类问题后重启计算机或禁用网卡会暂时解决问题，但掉线情况还会发生。 2、定位arp攻击源头 第一种是采取主动的寻找方式。一般进行arp攻击的机器，网卡会处于混杂模式，因此可用专用的查杀工具扫描局域网，如果发现有机器的网卡处于混杂模式，那么这台网卡处于混杂模式的机

6、器有可能就是攻击源。确定攻击源头后，就可用专门的软件进行处理。 其次我们也可以采用被动的方式。 1)检查本机的“arp欺骗”木马染毒进程，点选“进程”标签。察看其中是否有一个名为“miro.dat”的进程。如果有，则说明已经中毒。右键点击此进程后选择“结束进程”。 2)检查网内感染“arp欺骗”木马染毒的计算机。 在“开始”“运行”输入cmd后确定。 在弹出的命令提示符框中输入并执行以下命令ipconfig 记录网关ip地址，即“default gateway”对应的值，例如“10.0.1.1”。 再输入并执行以下命令：arpa 在“internet address”下找到上步记录的网关ip地

7、址，记录其对应的物理地址，即“physical address”值，例如“00-05-e-1f-35-54”。在网络正常时这就是网关的正确物理地址，在网络受“arp欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。 3、arp攻击的防范方法 1)现在网上有很多arp病毒定位工具，其中做得较好的是anti arpsniffer(现在已更名为arp防火墙)，下面我就演示一下使用anti arpsniffer这个工具软件来定位arp中毒电脑。首先打开anti arp sniffer软件，输入网关的ip地址之后，再点击红色框内的“枚举mac”按钮，即可获得正确网关的mac地址，接着点击“自

8、动保护”按钮，即可保护当前网卡与网关的正常通信。当局域网中存在arp欺骗时，该数据包会被anti arp sniffer记录，该软件会以气泡的形式报警。 2)使用抓包工具，分析所得到的arp数据报。有些arp病毒是会把通往网关的路径指向自己，有些是发出虚假arp回应包来混淆网络通信。第一种处理比较容易，第二种处理比较困难，如果杀毒软件不能正确识别病毒的话，往往需要手工查找感染病毒的电脑和手工处理病毒，比较困难。 3)静态arp绑定网关。在能正常上网时，进入ms-dos窗口，输入命令：arp-a，查看网关的ip对应的正确mac地址，并将其记录下来。如果计算机已经有网关的正确mac地址，而不能上网。只需手工将网关ip