一、 ARP 地址及工作原理
ARP协议 (Address Resolution Protocol , 地址解析协议是 TCP/IP底层协议。通常用在网络故障进行诊断的时候,也是最常用的一种底层协议。它属于 TCP/IP(通常划分为 7层的低层协议,负责将 IP 地址解析成对应的 MAC 地址。当一个使用TCP/IP协议进行数据交换或传输的应用程序需要从一台主机发送数据给另一台主机时,它把信息分割并封装成包, 附上目的主机的 IP 地址。然后, 根据 IP 地址寻找实际 MAC 地址的映射, 这就需要发送 ARP 广播。当 ARP 找到了目的主机 MAC 地址后,就可以形成待发送帧的完整以太网帧头。最后,协议栈将 IP 包封装到以太网帧中进行传送。
用语言表述以上的内容枯燥而乏味,其实简单地理解,就是根据 IP 地址与 MAC 的映射关系,为要发送的信息加上正确的,也是唯一的地址。为了节省 ARP 缓冲区内存,被解析过的 ARP 信息的保存周期都是有限的。如果一段时间内该信息没有被参考过,则信息将被自动删除。若计算机使用的是 Windows 操作系统, ARP 信息的存活周期是 2分钟, 而在大部分交换机中,该值一般都是 5分钟。
二、 ARP 工作的其他几种形式
1、反向 ARP :反向 ARP (Reverse ARP, RARP 用于把 MAC 地址转换成对应的 IP 地址。通常这种形式主要使用在系统自身无法保存 IP 地址的环境里,例如无盘站就是典型的例子。
2、代理 ARP :代理 ARP (PROXY ARP,一般被路由器这样的网络设备使用,用来代替处于其他网段的主机回答本网段主机的 ARP 请求。
3、无为 ARP :无为(Gratuitous ARP , GARP ARP 也称为无故 ARP , 就是计算机使用本机的 IP 地址作为目标地址发送 ARP 请求。无为 ARP 主要有两种用途, 一个作用是根据收到 ARP响应的话, 说明网络中存在重复的 IP 地址;另外一个作用是用来声明一个新的数据链路标识。当一个网络设备收到一个 arp 请求时,如果发现 arp 缓冲区中已经存在发送者的 IP 地址,则更新此 IP 地址所对应的 MAC 地址信息。
三、 ARP 欺骗的表现
ARP 欺骗一般分为两种,一种是对路由器 ARP 表的欺骗;另一种是对内网 PC 的网关欺骗。第一种 ARP 欺骗是截获网关数据,它通知路由器一系列错误的局域网MAC 地址,并按照一定的频率不断的更新学习进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送到错误的 MAC 地址,造成正常的计算机无法收到信息。第二种 ARP 欺骗是通过交换机的 MAC 地址学习机制, 伪造网关。它的原理是建立假的网关,让被它欺骗的计算机向假网关发送数据,而不是通过正常的路由器或交换途径寻找网关,造成在同一网关的所有计算机无法访问网络。
现在企业内部的局域网越来越普及, 其中接入 Internet 的企业也日益增加。但是由于很多企业缺乏专业的网管人员,而网络管理的制度更是缺乏, 这就造成了局域网内电脑感染 ARP 地址欺骗病毒的几率非常高。
ARP 地址欺骗的危害主要表现如下:
1、网络访问时断时继,掉线频繁,网络访问速度越来越慢,有时则长时间不能上网,双击任务栏中的本地连接图标,显示为已经连接,并且发现发送的数据包明显少于接收的数据包;
2、同一网段的所有上网机器均无法正常连接网络;
3、打开·windows任务管理器,出现可疑进程,如”MIE0.dat”等进程;
4、如果是中了 ARP 欺骗病毒的话,病毒发作时除了会导致同一局域网内的其他用户出现时断时续外,还可能会窃取用户密码(如 QQ、网上银行以及其它脆弱系统帐号等,这是木马的惯用伎俩;
5、打开路由器的系统历史记录中看到大量的 MAC 更换信息。
四、 ARP 病毒(或木马的检测方法
1、已知中毒机器的 MAC 地址的情况下,可用 NBTSCAN (下载地址:
/download/nbtscan.rar 工具快速查找。 NBTSCAN 可以取到PC 的真实 IP 地址和 MAC 地址,如果有”传奇木马” 在做怪, 可以找到装有木马的PC 的 IP/和 MAC 地址。命令:“nbtscan -r 192.168.2.0/24”(搜索整个 192.168.2.0/24网段 , 即 192.168.2.1-192.168.2.254;或“nbtscan 192.168.2.25-127”搜索 192.168.2.25-127 网段,即 192.168.2.25-192.168.2.127。输出结果第一列是 IP 地址,最后一列是MAC 地址。
NBTSCAN的使用范例:
假如查找一台 MAC 地址为“00-0C-76-93-89-C2”的中毒主机, 可以使用如下步骤完成查找:
1 将文件包中的 nbtscan.exe 和 cygwin1.dll 解压缩放到 c:\根目录下。
2运行 cmd ,在出现的 DOS 窗口中输入:
C:\nbtscan -r 192.168.2.1/24(这里需要根据用户实际网段输入, 回车。
C:\Documents and Settings\me>C:\nbtscan -r 192.168.2.1/24 Warning: -r option not supported under Windows. Running without it.
Doing NBT name scan for addresses from 192.168.2.1/24
IP address NetBIOS Name Server User MAC address
-------------------------------------------
192.168.2.0 Sendto failed: Cannot assign requested address 192.168.2.50 SERVER 00-11-09-EC-92-91
192.168.2.111 LLF
192.168.2.121 UTT-HIPER 00-13-46-E2-78-F9
