對黑金ARP病毒原理的闡述
以下的文章主要向大家講述的是黑金ARP病毒原理,大家都知道ARP欺騙攻擊可以說有一段時間了,可以說與以太網技術是在同一時期誕生的。ARP不安全的協議機制給了攻擊者實施惡意欺騙攻擊的機會。
黑客可以通過發送虛假ARP數據將被攻擊用戶本地的ARP緩存內容惡意涂改,從而擾亂局域網正常的通訊秩序產生一系列通訊故障。
ARP欺騙攻擊歷史極為悠久,可以說與以太網技術同時誕生。ARP不安全的協議機制給了攻擊者實施惡意欺騙攻擊的機會,黑客可以通過發送虛假ARP數據將被攻擊用戶本地的ARP緩存內容惡意涂改,從而擾亂局域網正常的通訊秩序產生一系列通訊故障。
早期的ARP欺騙攻擊,多用來干擾用戶正常通訊(如某些網管類軟件利用ARP攻擊來限制指定計算機網速甚至可以完全切斷指定計算機網絡通信)或是被黑客用來欺騙全網通信,企圖Sniffer嗅探網絡數據包,伺機竊取有價值的信息。
而近年來的黑金ARP病毒欺騙攻擊其目的則和以往的單純ARP欺騙病毒完全不同,明顯表露出其木馬化的本質。以黑金ARP病毒Backdoor.Win32.ARP.g為例,該病毒的特別之處就是在原有ARP欺騙基礎上,捆綁正常的網絡分析軟件WinPcap,試圖欺騙傳統殺毒軟件,利用WinPcap提供的網絡分析功能,劫持網絡內所有HTTP通訊,并且強行在HTTP數據包中插入帶有病毒程序的網頁鏈接,使得局域網內任意一個用戶在訪問正常網頁時,都會自動下載木馬病毒。
也就是說,只要局域網內有一臺計算機感染了該木馬,局域網內所有的計算機就都有可能被感染上木馬病毒。可見,黑金ARP對局域網危害極大,正可謂是一機中毒,全網“遇難”。理論上如果網內只有一臺計算機中了黑金ARP,那么局域網雖受ARP欺騙影響,但仍尚可維持通訊。
但是實際上前述的假設在現實中是不成立的,因為只要有一臺計算機中毒,局域網內很快就會變為多臺計算機同時中毒,而多臺計算機同時發起ARP欺騙的直接后果就是網絡內計算機互相欺騙,局域網全網通訊癱瘓。
清除黑金ARP病毒,首先要做的就是要徹底清除其毒源,換句話說如果將病毒源連根拔起清除徹底,局域網自然而然就會恢復正常。B公司的網管也明白這個道理,也嘗試安裝過國內著名殺毒軟件力圖解決這個問題,但是收效甚微,掃描時一個病毒也沒有報出來。
其實事情是很簡單的,所有的黑金ARP病毒都必然具備的一個行為特點就是亂發ARP欺騙數據包,因此采用行為分析技術的主動防御軟件對其會有很好地清除能力。主動防御軟件根據行為分析一旦發現有程序試圖亂發ARP欺騙數據包,立即將其查殺即可。
上述的相關內容就是對黑金ARP病毒原理的描述,希望會給你帶來一些幫助在此方面。
【編輯推薦】
