QQ 电脑入门游戏操作系统图形处理办公软件媒体动画精文荟萃工具软件网络编程程序开发网络技术认证考试网站建设文章专栏

当前位置：清风网络 → 网络技术 → 病毒数据库 → 专家解读APR病毒(一)


	精品推荐


特别推荐

·伪装成卡巴盗号木马avp.exe解决办法

·U盘(auto病毒)类病毒分析与解决方案

·8749流氓软件完全清除方案

·流氓软件借尸还魂广告木马愈演愈烈

·病毒Autorun.inf的自动功能详细解说

·轻松使用U盘，U盘病毒详细介绍

·不输熊猫烧香

·解析U盘病毒,Autorun文件和RavMonE.exe病毒


热点TOP10

·防范在先关于电脑病毒基础知识的识别

·阻挡手机病毒入侵！卡巴斯基手机版7.0上市

·毒性更胜AV病毒禽兽完全解决方案

·Vbs.RaZor.b

·Vbs.Worm.Mepog

·Harm.ShowTime.e.enc

·Harm.Laorenshen.f.enc

·Harm.DiskMan

专家解读APR病毒(一)

日期：2007年8月21日作者：查看:[大字体中字体小字体]

　　一、ARP病毒

　　ARP地址欺骗类病毒（以下简称ARP病毒）是一类特殊的病毒，该病毒一般属于木马(Trojan)病毒，不具备主动传播的特性，不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包，干扰全网的运行，因此它的危害比一些蠕虫还要严重得多。

　　二、ARP病毒发作时的现象

　　网络掉线，但网络连接正常，内网的部分PC机不能上网，或者所有电脑不能上网，无法打开网页或打开网页慢，局域网时断时续并且网速较慢等。

　　三、ARP病毒原理

　　3.1 网络模型简介

　　众所周知，按照OSI (Open Systems Interconnection Reference Model 开放系统互联参考模型) 的观点，可将网络系统划分为7层结构，每一个层次上运行着不同的协议和服务，并且上下层之间互相配合，完成网络数据交换的功能，如图1：

图1 OSI网络体系模型

　　然而，OSI的模型仅仅是一个参考模型，并不是实际网络中应用的模型。实际上应用最广泛的商用网络模型即TCP/IP体系模型，将网络划分为四层，每一个层次上也运行着不同的协议和服务，如图2。

图2 TCP/IP四层体系模型及其配套协议

　　上图中，蓝色字体表示该层的名称，绿色字表示运行在该层上的协议。由图2可见，我们即将要讨论的ARP协议，就是工作在网际层上的协议。

　　3.2 ARP协议简介

　　我们大家都知道，在局域网中，一台主机要和另一台主机进行通信，必须要知道目标主机的IP地址，但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的，只能识别其硬件地址即MAC地址。MAC地址是48位的，通常表示为12个16进制数，每2个16进制数之间用“-”或者冒号隔开，如：00-0B-2F-13-1A-11就是一个MAC地址。每一块网卡都有其全球唯一的MAC地址，网卡之间发送数据，只能根据对方网卡的MAC地址进行发送，这时就需要一个将高层数据包中的IP地址转换成低层MAC地址的协议，而这个重要的任务将由ARP协议完成。

　　ARP全称为Address Resolution Protocol，地址解析协议。所谓“地址解析”就是主机在发送数据包前将目标主机IP地址转换成目标主机MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。这时就涉及到一个问题，一个局域网中的电脑少则几台，多则上百台，这么多的电脑之间，如何能准确的记住对方电脑网卡的MAC地址，以便数据的发送呢？这就涉及到了另外一个概念，ARP缓存表。在局域网的任何一台主机中，都有一个ARP缓存表，该表中保存这网络中各个电脑的IP地址和MAC地址的对照关系。当这台主机向同局域网中另外的主机发送数据的时候，会根据ARP缓存表里的对应关系进行发送。

　　下面，我们用一个模拟的局域网环境，来说明ARP欺骗的过程。

　　3.3 ARP欺骗过程

　　假设一个只有三台电脑组成的局域网，该局域网由交换机(Switch)连接。其中一个电脑名叫A，代表攻击方；一台电脑叫S，代表源主机，即发送数据的电脑；令一台电脑名叫D，代表目的主机，即接收数据的电脑。这三台电脑的IP地址分别为192.168.0.2，192.168.0.3，192.168.0.4。MAC地址分别为MAC_A，MAC_S，MAC_D。其网络拓扑环境如图3。

图3 网络拓扑

　　现在，S电脑要给D电脑发送数据了，在S电脑内部，上层的TCP和UDP的数据包已经传送到了最底层的网络接口层，数据包即将要发送出去，但这时还不知道目的主机D电脑的MAC地址MAC_D。这时候，S电脑要先查询自身的ARP缓存表，查看里面是否有192.168.0.4这台电脑的MAC地址，如果有，那很好办，就将封装在数据包的外面。直接发送出去即可。如果没有，这时S电脑要向全网络发送一个ARP广播包，大声询问：“我的IP是192.168.0.3，硬件地址是MAC_S，我想知道IP地址为192.168.0.4的主机的硬件地址是多少？” 这时，全网络的电脑都收到该ARP广播包了，包括A电脑和D电脑。A电脑一看其要查询的IP地址不是自己的，就将该数据包丢弃不予理会。而D电脑一看IP地址是自己的，则回答S电脑：“我的IP地址是192.168.0.4，我的硬件地址是MAC_D”需要注意的是，这条信息是单独回答的，即D电脑单独向S电脑发送的，并非刚才的广播。现在S电脑已经知道目的电脑D的MAC地址了，它可以将要发送的数据包上贴上目的地址MAC_D，发送出去了。同时它还会动态更新自身的ARP缓存表，将192.168.0.4－MAC_D这一条记录添加进去，这样，等S电脑下次再给D电脑发送数据的时候，就不用大声询问发送ARP广播包了。这就是正常情况下的数据包发送过程。

[1] [2] 下一页

上一篇:Photoshop合成实例：美女化身为美丽孔雀

下一篇:专家解读APR病毒(二)

·解读百度的道歉的含义

·网络安全专家变身黑客年入百万元以上

·彻底告别病毒，“影子系统“让我们放心网上冲浪

·CPU主要的性能指标解读

·以身试毒打造自己的电脑病毒实验室

·防范在先关于电脑病毒基础知识的识别

·MP4机最得力的助手---《MP4/RM转换专家》

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.viphot.com All Rights Reserved.	鄂ICP备05000083号Powered by:viphot