对黑金ARP病毒原理的阐述

安全
以下的文章主要描述的是黑金ARP病毒原理,以及对ARP不安全的协议机制给了攻击者实施恶意欺骗攻击的机会等内容的讲述。

以下的文章主要向大家讲述的是黑金ARP病毒原理,大家都知道ARP欺骗攻击可以说有一段时间了,可以说与以太网技术是在同一时期诞生的。ARP不安全的协议机制给了攻击者实施恶意欺骗攻击的机会。

黑客可以通过发送虚假ARP数据将被攻击用户本地的ARP缓存内容恶意涂改,从而扰乱局域网正常的通讯秩序产生一系列通讯故障。

ARP欺骗攻击历史极为悠久,可以说与以太网技术同时诞生。ARP不安全的协议机制给了攻击者实施恶意欺骗攻击的机会,黑客可以通过发送虚假ARP数据将被攻击用户本地的ARP缓存内容恶意涂改,从而扰乱局域网正常的通讯秩序产生一系列通讯故障。

 

早期的ARP欺骗攻击,多用来干扰用户正常通讯(如某些网管类软件利用ARP攻击来限制指定计算机网速甚至可以完全切断指定计算机网络通信)或是被黑客用来欺骗全网通信,企图Sniffer嗅探网络数据包,伺机窃取有价值的信息。

而近年来的黑金ARP病毒欺骗攻击其目的则和以往的单纯ARP欺骗病毒完全不同,明显表露出其木马化的本质。以黑金ARP病毒Backdoor.Win32.ARP.g为例,该病毒的特别之处就是在原有ARP欺骗基础上,捆绑正常的网络分析软件WinPcap,试图欺骗传统杀毒软件,利用WinPcap提供的网络分析功能,劫持网络内所有HTTP通讯,并且强行在HTTP数据包中插入带有病毒程序的网页链接,使得局域网内任意一个用户在访问正常网页时,都会自动下载木马病毒。

也就是说,只要局域网内有一台计算机感染了该木马,局域网内所有的计算机就都有可能被感染上木马病毒。可见,黑金ARP对局域网危害极大,正可谓是一机中毒,全网“遇难”。理论上如果网内只有一台计算机中了黑金ARP,那么局域网虽受ARP欺骗影响,但仍尚可维持通讯。

但是实际上前述的假设在现实中是不成立的,因为只要有一台计算机中毒,局域网内很快就会变为多台计算机同时中毒,而多台计算机同时发起ARP欺骗的直接后果就是网络内计算机互相欺骗,局域网全网通讯瘫痪。

清除黑金ARP病毒,首先要做的就是要彻底清除其毒源,换句话说如果将病毒源连根拔起清除彻底,局域网自然而然就会恢复正常。B公司的网管也明白这个道理,也尝试安装过国内著名杀毒软件力图解决这个问题,但是收效甚微,扫描时一个病毒也没有报出来。

其实事情是很简单的,所有的黑金ARP病毒都必然具备的一个行为特点就是乱发ARP欺骗数据包,因此采用行为分析技术的主动防御软件对其会有很好地清除能力。主动防御软件根据行为分析一旦发现有程序试图乱发ARP欺骗数据包,立即将其查杀即可。

黑金ARP病毒原理

上述的相关内容就是对黑金ARP病毒原理的描述,希望会给你带来一些帮助在此方面。

【编辑推荐】

  1. 安全技巧:关于ARP病毒造成断网的处理方法
  2. ARP病毒的本机检测方法和工具
  3. 资深网管浅谈ARP病毒的防治思路
  4. ARP病毒手工查杀方法
  5. 局域网ARP欺骗防护和ARP病毒的清除

     

     
责任编辑:佚名 来源: 比特网论坛
相关推荐

2010-09-08 13:47:34

2010-03-10 14:48:24

2009-10-28 10:22:48

2011-11-08 09:46:10

2010-10-09 09:13:06

2009-12-11 14:46:13

2010-07-19 14:17:47

SQL Server内

2010-10-09 10:21:09

2011-03-16 16:38:43

2010-10-09 17:02:13

2009-02-03 09:30:00

2010-09-26 09:49:35

2009-01-12 09:59:00

2010-10-09 10:05:05

2010-09-30 10:31:28

2010-08-06 13:20:00

DB2锁等待

2010-06-21 13:43:46

2011-08-30 15:19:07

2009-06-30 18:14:20

2010-09-26 09:44:16

点赞
收藏

51CTO技术栈公众号