解析ａｒｐ病毒攻擊技術(shù)與防御策略

1、解析ＡＲＰ病毒攻擊技術(shù)與防御策略解析ＡＲＰ病毒攻擊技術(shù)與防御策略【關(guān)鍵詞】arp協(xié)議arp欺騙近年來，arp攻擊十分頻繁，arp病毒位列十大病毒排行榜第四位，而且目前arp地址欺騙技術(shù)已經(jīng)被越來越多的病毒所采用，成為病毒發(fā)展的一個新趨勢。如何防范arp攻擊越來越受到了網(wǎng)管的重視。一、arp協(xié)議工作原理在tcpip協(xié)議中，每一個網(wǎng)絡(luò)結(jié)點是用ip地址標識的，ip地址是一個邏輯地址。而在以太網(wǎng)中數(shù)據(jù)包是靠48位mac地址（物理地址）尋址的。因

2、此，必須建立ip地址與mac地址之間的對應(yīng)（映射）關(guān)系，arp協(xié)議就是為完成這個工作而設(shè)計的。tcpip協(xié)議棧維護著一個arpcache表，在構(gòu)造網(wǎng)絡(luò)數(shù)據(jù)包時，首先從arp表中找目標ip對應(yīng)的mac地址，如果找不到，就發(fā)一個arprequest廣播包，請求具有該ip地址的主機報告它的mac地址，當收到目標ip所有者的arpreply后，更新arpcache.arpcache有老化機制。arp協(xié)議是建立在信任局域網(wǎng)內(nèi)所有結(jié)點的基礎(chǔ)上的，它

3、很高效，但卻不安全。它是無狀態(tài)的協(xié)議，不會檢查自己是否發(fā)過請求包，也不管（其實也不知道）是否是合法的應(yīng)答，只要收到目標2.病毒運作基理loadhw.exe執(zhí)行時會釋放兩個組件npf.sys和msitinit.dll。loadhw.exe釋放組件后即終止運行。注意：病毒假冒成winpcap的驅(qū)動程序，并提供winpcap的功能?？蛻羧粼妊b有winpcap，npf.sys將會被病毒文件覆蓋掉。隨后msitinit.dll將npf.sys注

4、冊(并監(jiān)視)為內(nèi)核級驅(qū)動設(shè)備：“grouppacketfilterdriver”msitinit.dll還負責發(fā)送指令來操作驅(qū)動程序npf.sys(如發(fā)送apr欺騙包，抓包，過濾包等)以下從病毒代碼中提取得服務(wù)相關(guān)值：binarypathname=“system32driversnpf.sys”starttype=service_auto_startservicetype=service_kernel_driverdesiredacce

5、ss=service_all_accessdisplayname=“grouppacketfilterdriver”servicename=“npf”并將loadhw.exe注冊為自啟動程序：[hkey_local_machinesoftwaremicrosoftcurrentversionrunonce]dwmytest=loadhw.exe注：由于該項位于runonce下，該注冊表啟動項在每次執(zhí)行后，即會被系統(tǒng)自動刪除。三、查找ar