毕业设计(论文)-ARP攻击和防范原理及示例.doc

1、 本 科 生 毕 业 论 文（设计） 题 目： ARP攻击和防范原理及示例 专 业： 计算机网络（本科） 考生姓名： ********** 准考证号： ************ 指导教师： ****** 二〇一五 年 十 月 iv - iv - 学术诚信声明 本人所呈交的毕业论文，是在导师的指导下，独立进行研究工作所取得的成果，所有数据、图片资料均真实可靠。除文中已经注明引

2、用的内容外，本论文不包含任何其他人或集体已经发表或撰写过的作品或成果。对本论文的研究作出重要贡献的个人和集体，均已在文中以明确的方式标明。本毕业论文的知识产权归属于培养单位。本人完全意识到本声明的法律结果由本人承担。 本人签名： 日期：2015-10-12 摘 要 ARP攻击是指攻击者利用ARP协议本身的缺陷，在区域内一台终端或服务器上发布欺骗ARP广播包以达到盗取用户帐号、篡改网站内容、嵌入恶意代码、发布不良信息、监听传输数据等非法活动的目的。

3、 ARP的攻击方式是ARP欺骗，ARP欺骗在过去常被运用到简单的拒绝服务攻击中。然而，随着大量缺乏管理且流动性较大的网吧以及其他公共上网环境的普及，互联网上开始出现许多由ARP基本攻击与侦听、网页篡改等黑客技术相互结合的攻击方式。这种ARP攻击之所以能在各类公共上网设施内迅速蔓延是因为在拥有上千台机器的公众上网环境或对外服务的IDC托管机房中，同一网段中往往有来自不同单位或不同人群使用的各类终端与服务器，由于其中各类系统的安全责任点归属复杂、使用人员流动性大，造成环境内安全管理漏洞较多，从而使新一代以ARP欺骗为基础的网页挂码或重定向攻击得以滋生。 目前，很多研究者已经给出了针对ARP欺骗攻

4、击的防治方法，在一定程度上减少了ARP问题的发生，这类方法主要是通过保护ARP高速缓存等方法来实现，它们不能从根本上解决ARP欺骗问题，因为ARP欺骗是利用ARP协议本身存在在的漏洞，本文将从技术层面入手，分析解决该类问题。 关键词： ARP攻击、ARP协议、ARP欺骗、ARP安全防护 Abstract ARP attack is the use of the ARP protocol itself is a defect, in the region of a terminal or server to publish

5、 the ARP broadcast packet to steal user accounts, tampering with the site content, embedded malicious code, publish bad information, monitoring data and other illegal transfer of data. ARP attack is ARP detection, the past is often used to be used in a simple denial of service attack. However,

6、with a large number of Internet cafes and other public Internet access to a large number of lack of management, and other public Internet access to the Internet, many of the Internet began to appear on the basic attack and interception, web tampering and other hacking techniques, such as ARP. The AR

7、P attack reason in all kinds of public Internet facilities spread quickly is because in possession of thousands of machines of the public Internet environment or external service IDC hosting room. In the same segment tend to have from different units or different groups of people use all kinds of te

8、rminal and server, due to the system of responsibility for the safety of the ownership of the complex, using personnel mobility, resulting in environment safety management loopholes more, so that a new generation of ARP deception based web hanging code or redirect attacks can be infested. At pr

9、esent, many researchers have given the prevention and cure method for ARP deception attack. In a certain extent, it can reduce the occurrence of ARP. This method is mainly through the protection of ARP cache. They can not solve the problem of ARP. Because ARP is the use of ARP protocol, this paper w

10、ill analyze and solve the problem. Keywords: ARP attack, ARP protocol, ARP detection, ARP security 摘 要 ii Abstract iii 第一章 引 言 5 1.1 研究背景及其意义 5 1.2 本文研究的内容 6 1.3 研究内容和结构 6 第二章 ARP攻击原理 7 2.1 ARP工作原理 7 2.1.1 ARP协议简介[6] 7 2.1.2 ARP协议原理[6] 7 2.1.3 ARP分组格式[7] 7 2.2 ARP协议的缺陷[8]

11、8 2.3 ARP攻击程序结构[12] 12 第三章 ARP攻击类型[14] 12 3.1 仿冒网关攻击 12 3.2 仿冒用户攻击 13 3.3 ARP泛洪 攻击 14 3.4 ARP攻击的危害[15] 14 第四章 基于ARP欺骗的攻击实验 15 4.1实例：利用ARP攻击软件攻击局域网内计算机 15 4.2 防御策略 17 4.3 对实验的总结和拓展 18 4.3.1 计算机系统安全加固 18 4.3.2 ARP杀毒软件 19 4.3.3 ARP攻击探测 20 4.3.4 MAC地址管理 21 第五章 总结和展望 23 5.1

12、工作总结 23 5.2 研究展望 23 参考文献 24 致 谢 25 第一章 引 言 1.1 研究背景及其意义 网络安全问题一直是网络发展中的突出问题，“2015中国反病毒大会暨第十四次全国计算机病毒和移动终端病毒疫情调查发布会”上发布了国家计算机病毒应急处理中心最新完成的一份调查报告。结果显示[5]：无论是传统PC还是移动终端，安全事件和病毒感染率都呈现出了上升的态势。 调查结果显示，2014年，88.7%的被调查者发生过网络安全事件，与2013年相比增长了37.5%；感染计算机病毒的比例为63.7%，比2013年增长了8.8%；移动终端的病毒感染比例为31.5%，比

13、2013年增长了5.2%。 面对网络安全的严峻形势、网络犯罪活动频发与升级，我国组织了“净网2014”、“剑网2014”等专项行动全面治理网络乱象，打击网络非法行为，净化网络环境。 2014年3月，“敲诈者病毒” 详见网站： 兴起，PC端、手机端敲诈者病毒导致大量用户受害，该类病毒利用ARP欺骗达到不法目的，ARP攻击（特别是ARP欺骗类攻击）是我们平时在生活和学习当中经常会遇到的现象。当代社会越来越强调分工协作、团队合作，因此人口的分布越来越集中，网络成为我们生活中必不可少的内容。随着居住环境和工作环境的集中，平时我们所使用的网络环境往往处于某个局域网或者公众网络环境中，这就为A

14、RP攻击提供了滋生的土壤。 目前，ARP欺骗技术正在被越来越多的病毒所使用。该类病毒会结合黑客技术利用恶意木马程序入侵某个局域网中的计算机系统从而达到截获局域网络内其它计算机系统的通信信息，导致该局域网出现IP地址冲突、频繁断网、浏览器频繁出错，以及一些系统内常用软件出现故障等现象。 综上所述，ARP欺骗类攻击的危害较大，特别是对校园网、网吧等局域网会造成大范围的破坏和影响，轻则影响网络使用，重则导致网络瘫痪，是个不容忽视的问题。 1.2 本文研究的内容 本文通过现象分析出ARP的攻击原理，证明了ARP协议漏洞被用作ARP欺骗，并且演示通过具体的攻防实例找到解决问题的方法。在研究AR

15、P攻击的防御措施时，文章从系统安全加固、MAC地址集中管理两方面进行论述并且配合攻防实例进行演示，最终达到防范ARP攻击的目的。 本人工作分为以下几个阶段： 第一、 上网查询相关资料和翻阅相关书籍完成对ARP协议、ARP攻击原理、ARP攻击分类的理论学习，从而为后面寻求方法解决ARP攻击问题做铺垫。 第二、 通过计算机测试ARP攻击和防御，理论联系实际，找到ARP攻击防御的方法。总结出经验和不足。 第三、 通过计算机测试，对问题进行深入分析，最后完成对论文的撰写工作。 1.3 研究内容和结构 本文主要目的是通过研究ARP协议缺陷，来阐述ARP攻击原理。文章的创新点在于描述了在大型

16、公众上网环境中以多手段相结合，进行整体防御来应对ARP攻击。 第一章 引言。本章通过我国目前的网络安全问题引入了本文主要研究的课题，介绍了课题研究背景，阐述了课题的研究目的以及意义。 第二章 ARP攻击原理。本章首先从理论上研究了ARP攻击的原理，详细介绍ARP协议概念、ARP帧结构、以及其他相关概念，最后论证了ARP协议缺陷是ARP攻击症结所在，并将ARP攻击程序结构进行了分析。 第三章 ARP攻击类型。本章通过ARP攻击的特点对其分类，并对每一类攻击进行了详细的阐述，归纳总结出了ARP攻击的危害性，为下文实验背景做铺垫。 第四章 基于ARP欺骗的攻击实验。本章通过计算机演示ARP

17、攻击和防御，提出问题，并加以分析和验证。实验利用最简单的的MAC地址绑定对ARP欺骗攻击进行了有效的防御。并对防御策略进行了推广和拓展。 第五章 总结和展望。总结了本文所做的各项工作，找出了实验当中存在的不足。 介绍了课题今后进一步需要改进和发展的方向。 第二章 ARP攻击原理 2.1 ARP工作原理 2.1.1 ARP协议简介[6] ARP（Address Resolution Protocol）地址解析协议用于将计算机的网络地址（IP地址32位）转化为物理地址（MAC地址48位）[RFC826]。ARP协议是属于链路层的协议，在以太网中的数据帧从一个主机到达网内的

18、另一台主机是根据48位的以太网地址（硬件地址）来确定接口的，而不是根据32位的IP地址。内核（如驱动）必须知道目的端的硬件地址才能发送数据。当然，点对点的连接是不需要ARP协议的。 2.1.2 ARP协议原理[6] 在TCP/IP协议中，每一个网络结点是用IP地址标识的，IP地址是一个逻辑地址。而在以太网中数据包是靠48位MAC地址（物理地址）寻址的。因此，必须建立IP地址与MAC地址之间的对应（映射）关系，ARP协议就是为完成这个工作而设计的。 TCP/IP协议栈维护着一个ARP cache表，在构造网络数据包时，首先从ARP表中找目标IP对应的MAC地址，如果找不到，就发一个ARP

19、request广播包，请求具有该IP地址的主机报告它的MAC地址，当收到目标IP所有者的ARP reply后，更新ARP cache.ARP cache有老化机制。 2.1.3 ARP分组格式[7] RFC826 详见网站： 定义了ARP分组的格式，在以太网上使用的ARP分组格式见图2-1。该分组由以太网首部和以太网ARP字段两部分组成。 图2-1 ARP的分组格式 （1）以太网首部：以太网首部包括以太网目的地址、以太网源地址和帧类型三部分，以太网目的地址是通信目的端的MAC地址 MAC（Media

20、 Access Control或者Medium Access Control）地址，意译为媒体访问控制，或称为物理地址、硬件地址，用来定义网络设备的位置。在OSI模型中，第三层网络层负责 IP地址，第二层数据链路层则负责 MAC地址。因此一个主机会有一个MAC地址，而每个网络位置会有一个专属于它的IP地址。 ，长度为48位，目的地址为全1是广播地址，这时，电缆上的所有以太接口都要接收此数据并进行处理。以太网源地址是通信源端的MAC地址，长度为48位。帧类型表示以太网首部所携带数据的类型，如果是IP帧则为0x0800，如果是ARP帧则为0x0806。ARP数据帧如图2-2 图2-2ARP数据

21、帧 （2）以太网ARP字段：包括ARP首部和ARP数据两部分。其中ARP首部包括硬件类型、协议类型、硬件地址长度、协议地址长度和操作码五部分，硬件类型字段值为1表示是以太网地址，协议类型字段值为0x8000表示IP地址，硬件地址长度为6表示是以太网硬件地址，协议地址长度字段值为4表示是IP地址，操作码指出了ARP操作的四种类型，其中ARP请求值为1，ARP应答值为2，RARP请求和应答分别人3和4（可参见RARP协议的相关资料，本文不进行介绍）；ARP数据部分包括了发送方硬件地址、发送方IP地址、目的硬件地址和目的IP地址，它们根据不同情况进行填充，ARP请求包填充除目的硬件地址以外

22、的所有数据，而ARP应答数据则填充全部数据。 2.2 ARP协议的缺陷[8] ARP攻击的突破口是ARP协议缺陷，为了说明攻击者是如何进行ARP欺骗进而修改ARP表，首先需要研究ARP协议的工作原理。ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。位于OSI网络七层模型中的第二层—数据链路层。在数据链路层中网络中实际传输的封装数据包为数据“帧”，帧的传播寻址方法是依靠 目标主机的MAC地址。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。这个目标MAC地址是通过地址解析协议获得的。

23、 Internet上常用到DNS域名解析是将IP地址与域名对应起来，而数据链接层的“MAC地址解析”原理与DNS相似，其实就是将网卡的MAC硬件地址与IP地址对应，整个“MAC地址解析”的过程其实就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。而ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 图2-3 互联网名字解析协议原理 在图2-3所示的互联网名字解析方法中，每台使用TCP/IP协议上网的电脑内部都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的。这个高速缓存存放了最近Internet地址到硬件地址之间的

24、映射记录。高速缓存中每一项的生存时间一般默认为2 0分钟（可通过注册表修改），缓存的起始时间从被创建时开始算起。ARP缓存表下图所示。 图2-4 ARP缓存表 举例说明IP-MAC地址表转换工作原理。在192.168.1.0网段中有四台主机，每台主机都会存一张 IP-MAC地址对照关系如表2-1。 主机 IP地址 MAC地址 A 192.168.1.1 aa-aa-aa-aa-aa-aa B 192.168.1.2 bb-bb-bb-bb-bb-bb C 192.168.1.3 cc-cc-cc-cc-cc-cc D 192.168.1.4

25、 dd-dd-dd-dd-dd-dd 表2-1 IP地址与MAC地址对应表 根据表2-1的配置，以主机A（192.168.1.1）向主机B（192.168.1.2）发送数据为例，整个ARP查询过程如图2-5所示。 更新ARP表 回答MAC:bb-bb-bb-bb-bb-bb 发送广播包 需要知道B的MAC A需要连接B B的MAC地址是否在ARP表中 连接bb-bb-bb-bb-bb-bb 读取ARP表 否 是

26、 图2-5 ARP查询过程图 ARP缓存表采用了老化机制 ，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。 从图2-5中可以发现，ARP协议存在一个重大的缺陷：每台主机的ARP表的更新是信任广播域内所有机器的回应包，也就是在说在ARP协议中，接受回应帧的主机无法验证回应包的真伪。所以，在ARP协议中就很容易实现在以太网中的ARP欺骗。 在表2-5所示环境，对目标A进行欺骗。C发出ARP回应数据帧到A，告诉A“B的MAC地址是“cc-cc-cc-cc-cc-cc”，A接受了假回应包，但是无法验证，于是就将自己的缓存更新了。结

27、果，A去Ping主机Ｂ却发送到了“cc-cc-cc-cc-cc-cc”这个地址上。如果进行欺骗的时候，把B的MAC地址欺骗为“cc-cc-cc-cc-cc-cc”，于是A发送到B上的数据包都变成发送给C的了。如此一来C能够接收到A发送的数据桢，数据桢的截获成功。 由于ARP 缓存表项是动态更新的，其生命周期默认是两分钟，如果再没有新的信息更新，ARP 映射项将会自动去除。所以，如果要保持A上的错误信息，C接下来要做的就是一直连续不断地向 A和 B发送虚假的 ARP 响应数据帧，让A的ARP缓存中保持被篡改了的映射表项。 更新ARP表 回答：MAC:cc-cc-cc-cc-cc-cc 发

28、送广播包 需要知道B的MAC A需要连接B B的MAC地址是否在ARP表中 连接:cc-cc-cc-cc-cc-cc bb-bb-bb-bb-bb-bb 读取ARP表 否 是 图2-6ARP欺骗过程图 图2-6演示了如何运用ARP协议固有的缺陷对其进行欺骗，但是仅仅这种欺骗并不能完成对A与B之间数据交换的窃听与篡改，原因是，光有第二层的欺骗是不够的，在建立起数据连接层欺骗后，虽然A对这个变化一点都没有意识到，

29、但是接下来在进行网络层TCP/IP握手以及应用层会话建立时由于C上并没有能模仿B的应用端口监听，所以A和C是无法建立连续连接的，通常当TCP/IP三次握手不成功时，A与C的接将断开，C对接收到A发送给B的数据包可没有转交给B。这种攻击最多也就造成A与B之间连接中断，无法造成更大危害。本章介绍数据链接层协议中ARP协议的先天缺陷，也是整个ARP欺骗攻击的突破口。 2.3 ARP攻击程序结构[12] 随着互联网的发展，ARP攻击已经从早期简单模式，即发送ARP回应包使收欺骗机器无法上网发展到不只是对ARP协议层的攻击。攻击者利用ARP信任局域的重大缺陷作为突破口，并通过一系列数据包转发的方法

30、模拟出正常的通讯手段来欺骗数据收发双方，然后作为一个透明的网关在当中进行监听与数据伪装的方法。 图2-7 ARP攻击的结构框架图 整个攻击的结构如图2-7所示，所有ARP类攻击的核心原理是ARP协议MAC地址欺骗。在数据链接层MAC地址欺骗基础上使用类似于路由器的数据包转发技术可形成对攻击目标的网络数据侦听。然后便可以与各种攻击方式相互结合，达到数据篡改、数据监听、停止服务攻击，以及病毒挂载的目的。 第三章 ARP攻击类型[14] 从第二章内容可以看出：ARP原理存在缺陷，攻击者可以利用缺陷通过ARP欺骗对局域网内其它主机进行攻击，目前ARP攻击根据其特点可以分为以下三

31、类： 3.1  仿冒网关攻击 如图3-1所示，因为主机A仿冒网关向主机B发送了伪造的网关ARP报文，导致主机B的ARP表中记录了错误的网关地址映射关系，从而正常的数据不能被网关接收。 图3-1仿冒网关攻击示意图 仿冒网关攻击是一种比较常见的攻击方式，如果攻击源发送的是广播ARP报文，或者根据其自身所掌握的局域网内主机的信息依次地发送攻击报文，就可能会导致整个局域网通信的中断，是ARP攻击中影响较为严重的一种。 3.2 仿冒用户攻击 (1) 欺骗网关 如图3-2所示，主机A仿冒主机B向网关发送了伪造的ARP报文，导致网关的ARP表中记录了错误的主机

32、B地址映射关系，从而正常的数据报文不能正确地被主机B接收。 图3-2 欺骗网关攻击 (2) 欺骗其他用户 如图3-3所示，主机A仿冒主机B向主机C发送了伪造的ARP报文，导致主机C的ARP表中记录了错误的主机B地址映射关系，从而正常的数据报文不能正确地被主机B接收。 图3-3 欺骗其他用户攻击示意图 3.3 ARP泛洪 泛洪（Flooding）是交换机和网桥使用的一种数据流传递技术，将某个接口收到的数据流从除该接口之外的所有接口发送出去。 攻击 网络设备在处理ARP报文时需要占用系统资源，同时因为系统内存和查找ARP

33、表效率的要求，一般网络设备会限制ARP表的大小。攻击者就利用这一点，通过伪造大量源IP地址变化的ARP报文，使设备ARP表溢出，合法用户的ARP报文不能生成有效的ARP表项，导致正常通信中断。 另外，通过向设备发送大量目标IP地址不能解析的IP报文，使设备反复地对目标IP地址进行解析，导致CPU负荷过重，也是泛洪攻击的一种。 3.4 ARP攻击的危害[15] ARP欺骗不同于通常攻击可造成的巨大破坏。ARP欺骗可以造成内部网络的混乱，某些被欺骗的计算机无法正常访问内外网，让网关无法和客户端正常通信。实际上他的危害还不仅仅如此，一般来说IP地址的冲突我们可以通过多种方法和

34、手段来避免，而ARP协议工作在更低层，隐蔽性更高。系统并不会判断ARP缓存的正确与否，无法像IP地址冲突那样给出提示。而且很多黑客工具，可以随时发送ARP欺骗数据包和ARP恢复数据包，这样就可以实现在一台普通计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机的网络连接截获其通讯数据并可做篡改以加入病毒代码进行传播，甚至还可以直接对网关进行攻击，让所有连接网络的计算机都无法正常上网。这点在以前是不可能的，因为普通计算机没有管理权限来控制网关所以说。ARP欺骗的危害是巨大的，而且非常难对付，非法用户和恶意用户可以随时发送ARP欺骗和恢复数据包，这样就增加了网络管理员查找攻击源的难度。归纳

35、ARP欺骗类攻击的危害性如下： (1)攻击点范围广：不需要攻占具体服务器，在不获得目标主机的权限的条件下，只要在网络环境的任何一个点上安放一台“肉机”便可以感染整个网段； (2)攻击非常隐蔽：不需要改动任何目标主机的页面或者是配置,在网络传输的过 程中间直接插入病毒的代码； (3)发觉困难：如没有机房网络管理人员协助协查，服务器系统管理员光靠系统日志无法在短时间内找到攻击源； (4)恢复复杂：网站管理员即时发现被攻击后，但是从系统层面上无法自己清除； (5)攻击手段变化多样：黑客可以最大化的利用ARP欺骗，将他与其他攻击方法组合后运用于多种攻击，如，侦听、拒绝服务、挂载病毒。从而实

36、现多中攻击目的，如：窃取信息、病毒传播、破坏网络路由，暴力广告等等； 第四章 基于ARP欺骗的攻击实验 4.1实例：利用ARP攻击软件攻击局域网内计算机 下面来演示基于ARP的攻击与防御。本机安装操作系统为Windows 8.1 ，工具：ArpSpoof.exe。 1、 运行命令：cmd，测试PC机A情况如下图4-1所示： 图4-1 PC机A情况 2、 输入命令：ping ，测试PC机A连接外网情况如下图4-2所示： 图4-2 PC机A连接外网情况 从图3-2可以看出本机运行状况正常，可以连接到网易：。 3、

37、在PC机B上先安装 4、 在PC机B上再双击 界面如下图4-3： 图4-3 PC机B安装界面图 5、在PC机B上开始攻击如下图4-4： 图4-4 PC机B攻击示意图 6、 在PC机A上输入命令：ping ，再次测试PC机A连接外网情况如下图4-5： 图4-5 PC机A受攻击后示意图 7、 本次试验通过真机测试，可以确定PC机B对PC机A的ARP攻击是有效的。 8、 从上述实验可以发现

38、此类攻击是通过IP欺骗而达到目的，原来PC机A的IP地址为：192.168.168.102，变为192.168.168.105，因此可以通过MAC地址绑定来达到防御此类攻击的目的。 4.2 防御策略 MAC地址与IP地址的绑定是最简单有效的ARP攻击防御方法。绑定PC机A操作过程如下： 1、 过程如下：先新建一个文本文档，输入如下：arp -s 192.168.168.102 14-75-90-52-65-92 2、把这个文本文档修改为.bat文件，并让它开机自启动。 3、测试PC机A的情况如下图4-6： 图4-6 绑

39、定IP和MAC后示意图 4、 结论：PC机A的外网又可以连通了，说明MAC地址绑定对ARP攻击是有效的。 4.3 对实验的总结和拓展 在第二章和第三章我们分析了ARP欺骗攻击的原理、类型和危害。了解到ARP类攻击的原理后，上文通过在计算机绑定IP地址和MAC地址来防止ARP欺骗，但是在大型公众上网网络环境中要做到每个客户端都进行MAC绑定就相当困难了。单一的防御手段将不再凑效，因此，笔者从以下四个方面同时入手：计算机系统安全加固、ARP杀毒软件、ARP攻击探测、MAC地址管理来综合应对ARP攻击。具体方法如下： （1）设置静态的MAC to IP对应表，并防止黑客刷新静态转换表。不要

40、把网络安全信任关系建立在IP基础上或MAC基础上，尽量将信任关系应该建立在IP和MAC上。 （2）使用MAC地址管理服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。 （3）使用代理IP的传输。 （4）使用防火墙隔离非信任域对内网机器的ARP包传输。 （5）定期使用rarp请求来检查ARP响应的真实性。 （6）定期轮询检查主机上的ARP缓存。 （7）使用防火墙连续监控网络。 （8）使用ARP探测工具，在网络上探测非法ARP广播数据帧。 4.3.1 计算机系统安全加固 良好的计算机使用习惯可以有效的预防ARP攻击，目前很多常见的普通ARP攻击常常以病毒程序

41、的形式存在。该类ARP病毒寄存于Windows系统中，且一般会用到npptools.dll等系统漏洞，所以只要做好操作系统的升级可以防止此类病毒感染。 （1）npptools.dll是windows系统的一个动态库(network packet provider oolshelper)被ARP病毒利用，所以，禁止了npptools.dll将使此类病毒无法正常运行。 具体方法是：在安全模式中，打开WINDOWS\SYSTEM32\NPPTOOLS.DLL文件。删除这个文件后，用零字节的文件替换。最后将nnptools.dll保存为只读文件。 （2）给系统安装补丁程序。通过Windows U

42、pdate安装好系统补丁程序(关键更新、安全更新和Service Pack) （3）给系统管理员帐户设置足够复杂的强密码，最好能是12位以上，字母+数字+符号的组合；也可以禁用/删除一些不使用的帐户 （4）经常更新杀毒软件（病毒库），设置允许的可设置为每天定时自动更新。安装并使用网络防火墙软件，网络防火墙在防病毒过程中也可以起到至关重要的作用，能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁，不妨通过使用网络防火墙等其它方法来做到一定的防护 （5）关闭一些不需要的服务，条件允许的可关闭一些没有必要的共享，也包括CS、DS等管理共享。完全单机的用户也可

43、直接关闭Server服务 4.3.2 ARP杀毒软件 定期对计算机进行扫描，也可以有效预防ARP攻击。在安装在系统上的ARP专杀软件和病毒防火墙产品可以通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址，它能够保障单机与网关之间数据流向不经过第三者， 例如金山ARP防火墙。 ARP防火墙的主要功能包括： （1）拦截ARP攻击：在系统内核层拦截外部虚假ARP数据包，保障系统不受ARP欺骗、ARP攻击影响，保持网络畅通及通讯安全； （2）在系统内核层拦截本机对外的ARP攻击数据包，以减少感染恶意程序后对外攻击给用户带来的麻烦； （3）拦截IP冲突。在系统内核层拦

44、截IP冲突数据包，保障系统不受IP冲突攻击的影响； （4）拒绝服务攻击抑制。在系统内核层拦截本机对外的TCP SYN /UDP /ICMP /ARP DoS攻击数据包，定位恶意发动DoS攻击的程序； （5）除了网关外，不响应其它机器发送的ARP Request，达到隐身效果，减少受到ARP攻击的几率； （6）ARP数据分析。分析本机接收到的所有ARP数据包，掌握网络动态，找出潜在的攻击者或中毒的机器； （7）监测ARP缓存。自动监测本机ARP缓存表，如发现网关MAC地址被恶意程序篡改； （8）主动防御。主动与网关保持通讯，通告网关正确的MAC地址，以保持网络畅通及通讯安全； （9）

45、追踪攻击者。发现攻击行为后，根据ARP包内数据来锁定攻击者IP地址； （10）ARP病毒专杀。根据ARP病毒特征码来扫描病毒； （12）ARP缓存保护。防止恶意程序篡改本机ARP缓存。 （13）自身进程保护。防止被恶意软件终止。 虽然这些ARP病毒防火墙与专杀杀软件能够保证系统自身ARP表的正确性，然而只要他访问的服务器被攻击者实施“Man-In-The-Middle Attack” 中间人攻击 （ Man-in-the-middle attack，通常缩写为MITM ）是指攻击者与通讯的两端分别建立独立的联系，并交换其所收到的数据，使通讯的两端认为他们正在通过一个私密的连接与对方直接

46、对话，但事实上整个会话都被攻击者完全控制。在中间人攻击中，攻击者可以拦截通讯双方的通话并插入新的内容。 ，同样会使得机器中毒。这一点更加说明了整体防护对抵抗ARP攻击的重要性。 4.3.3 ARP攻击探测 IP地址与MAC地址绑定是最简单有效的ARP攻击防御方法（第三章已经试验完成）。但是，在大型公众上网环境中使用静态IP地址和MAC地址绑定会带来巨大的管理负荷，所以，通常需要使用ARP攻击探测器进行对ARP攻击的防御。目前市场上还没有成熟的专门针对ARP攻击的探测器。在大型网络中可以自己通过编程实现，其原理是在其上运行存放一张局域网ARP表，记录有权威的ARP信息，嗅探器通过IDS的

47、原理在路由器镜像口侦听局域网内ARP广播包内容，如果网络内广播包与ARP表不一致，或者ARP广播帧超过合理数量的阀值 阀值：指一个效应能够产生的最低值或最高值。 ，则探测器分析后会匹配找到ARP欺欺骗特征后，探测器马上报警并进行相应的策略联动。以下列举一个简单的程序片段，他将ARP数据帧中的地址与网关地址比较，如果不一致则报警。 static String router="00:14:f2:3c:8c:00";//网关ARP, static String routerip="/63.125.35.29";//网关IP. static String broadcast="00:00:

48、00:00:00:00"; public static void arp()throws java.io.IOException{ 省略。。。。。。 if(p.getSenderHardwareAddress().toString().equals(router) ||p.getTargetHardwareAddress().toString().equals(router) ||p.getSenderProtocolAddress().toString().equals(routerip) ||p.getTargetProtocolAddress().toString().e

49、quals(routerip)){ if(p.getSenderProtocolAddress().toString().equals(routerip)){ if(!(p.getSenderHardwareAddress().toString().equals(router) ||p.getSenderHardwareAddress().toString().equals(broadcast))){ System.out.println("Packte: ABOUT ROUTER ->"+p.toString()); System.out.println("发现病毒:在主机" + p.getSenderProtocolAddress().toString()); pw.println("发现病毒:"+p.toString());} 省略} 4.3.4 MAC地址管理 1.传统的交换机MAC地址管理[16] 现阶段很多网络加固方案中都采用了交换