ＡＲＰ病毒的入侵检测系统.doc

ＡＲＰ病毒的入侵检测系统 　　摘要：正如很多论文中提到过的一样，ARP病毒在校园网中肆虐。该文主要根据ARP病毒的攻击原理，ARP地址解析协议实现过程，提出的一款ARP病毒的入侵检测系统。此系统工作在受保护网段的交换机上面，实现了报警、病毒定位等功能，而且还有很好的扩充性。是一款廉价的入侵检测设备，有很好的实用价值。 　　关键词：地址解析协议；病毒；入侵检测系统 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)22-644-02 　　ARP Virus Intrusion Detection System 　　ZHAO Jie,ZHANG Huai-qiang,HE Wei-min 　　(East China Institute of Technology Department of Computer and Communication,Fuzhou 344000,China) 　　Abstract:As many of the papers mentioned,ARP virus raging in the campus network.According to ARP virus attack principle and the implementation process of ARP,this paper presents an ARP virus intrusion detection system.This system works in a protected network segment switch and accomplishes the alarm, the virus positioning, and other functions, but also has very good extension and price-performance ratio. Therefore,this system has a good practical value. 　　Key words:ARP;virus;IDS 　　1 引言 　　ARP病毒近些年在各局域网频繁发生，ARP病毒以及其各种变种大规模爆发，直接影响到了局域网的正常运行。其状况为，当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。然后病毒主机就会经常伪造断线的假象。现在市面上所能见到的针对于ARP病毒的防治软件多是在单机上面运行或者是在路由器或者交换机上面嵌入程序，如若发现病毒则切断其端口，达到不继续向局域网其他单机发包的目的。系统管理员只能待事发后去检查单机、路由器或者交换机才能了解单机的中毒情况。并不能直接在交换机上面获得单机感染ARP病毒的信息。这使得管理员处于被动状态。而此ARP的入侵检测系统非但可以切断其端口，还能及时报警并产生报警信息，给管理员一个很明确的指引。 　　2 故障原因及原理 　　2.1 ARP地址解析协议 　　地址转换协议（Address Resolution Protocol，ARP）[1]是用来实现 IP 地址与本地网络认知的物理地址（以太网 MAC 地址）之间的映射。IP数据包常通过以太网发送。以太网设备并不识别32位IP地址：它们是以48位以太网地址传输以太网数据包的。因此，IP驱动器必须把IP目的地址转换成以太网目的地址（即目标主机的MAC地址）。 　　2.2 ARP病毒攻击原理 　　ARP协议的基础是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。 　　ARP工作时，送出一个含有所希望的IP地址的以太网广播数据包。目的地主机，或另一个代表该主机的系统，以一个含有IP和以太网地址对的数据包作为应答。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 　　每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的。例如：主机IP地址MAC地址为A（192.168.1.1-MACa）、B（192.168.1.2-MACb）、C（192.168.1.3-MACc）。正常情况下A和B之间进行通讯，A发送广播请求B来应答（假设现在C已经感染了ARP病毒），请求返回B的MACb地址。然而此时C向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.1.2，但是 MAC地址本来应该是MACb,这里被伪造成了MACc。当A接收到C伪造的ARP应答，就会更新本地的ARP缓存(A被欺骗了)，这时B就伪装成C了。同时,C同样向B发送一个ARP应答,应答包中发送方地址为192.168.1.