Ruta de transmisión del virus ARPArtículo original de Saidi.com, todos los derechos reservados. Si necesita reimprimir, comuníquese con Saidi.com 1. Virus ARP Virus de suplantación de direcciones ARP (en lo sucesivo, virus ARP). ) es un tipo especial de virus. El virus es generalmente un virus troyano (caballo de Troya) y no tiene las características de transmisión activa y no se replica por sí solo. Sin embargo, debido a que envía paquetes ARP falsificados a toda la red durante su ataque e interfiere con el funcionamiento de toda la red, su daño es mucho más grave que el de algunos gusanos. Fenómeno cuando ataca el virus ARP: la red está fuera de línea, pero la conexión de red es normal. Algunas PC en la intranet no pueden acceder a Internet, o todas las computadoras no pueden acceder a Internet. Las páginas web no se pueden abrir o la apertura de las páginas web es lenta. La LAN es intermitente y la velocidad de la red es lenta. Principio del modelo de red del virus ARP 3.1 Como todos sabemos, según la perspectiva de OSI (modelo de referencia de interconexión de sistemas abiertos), el sistema de red se puede dividir en 7 capas. Cada capa ejecuta diferentes protocolos y servicios. entre sí para completar la función de intercambio de datos de red. Cada capa ejecuta diferentes protocolos y servicios, y las capas superior e inferior cooperan entre sí para completar la función de intercambio de datos de la red, como se muestra en la Figura 1: Figura 1 Modelo de sistema de red OSI Pero el modelo OSI es solo un modelo de referencia, no Un modelo aplicado a redes reales. Sin embargo, el modelo OSI es sólo un modelo de referencia y no es un modelo que deba aplicarse a redes reales. De hecho, el modelo de red comercial más utilizado (el modelo arquitectónico TCP/IP) divide la red en cuatro capas, cada una de las cuales ejecuta diferentes protocolos y servicios, como se muestra en la Figura 2. Figura 2: Modelo de arquitectura de cuatro capas TCP/IP y sus protocolos compatibles En la figura anterior, las fuentes azules indican el nombre de la capa y los caracteres verdes indican los protocolos que se ejecutan en esa capa. Como se muestra en la Figura 2, el protocolo ARP que vamos a analizar es un protocolo que funciona en la capa entre redes. 3.2 Introducción al protocolo ARP Como todos sabemos, en una LAN, un host debe conocer la dirección IP del host de destino para poder comunicarse con otro host. Sin embargo, en la LAN, los dispositivos físicos, como las tarjetas de red, son los responsables finales. La transmisión de datos no reconoce la dirección IP, solo su dirección IP, es decir, la dirección MAC. La dirección MAC es de 48 bits, generalmente representada por 12 números hexadecimales. Cada número hexadecimal está separado por "-" o dos puntos, por ejemplo, 00-0B-2F-13-1A-11 es una dirección MAC. Cada tarjeta de red tiene su propia dirección MAC globalmente única. Cuando la tarjeta de red envía datos, solo puede enviar datos según la dirección MAC de la tarjeta de red de la otra parte. En este momento, se necesita un protocolo para convertir la dirección IP. paquete de datos de alto nivel en una dirección MAC de bajo nivel, y esto es importante. La tarea la completa el protocolo ARP. El nombre completo de ARP es "Protocolo de resolución de direcciones". La llamada "resolución de direcciones" es el proceso en el que el host convierte la dirección IP del host de destino en la dirección MAC del host de destino antes de enviar el paquete de datos. La función básica del protocolo ARP es consultar la dirección MAC del dispositivo de destino a través de la dirección IP del dispositivo de destino para garantizar una comunicación fluida. Esto implica un problema. Hay al menos unas pocas computadoras en una red de área local y hasta cientos. Con tantas computadoras, ¿cómo podemos recordar con precisión la dirección MAC de la tarjeta de red de la otra computadora para enviar datos? Esto implica otro concepto: la tabla de caché ARP. En cualquier host de la LAN, existe una tabla de caché ARP, que almacena la dirección IP y la dirección MAC de cada computadora en la red. Cuando este host envía datos a otro host en la misma LAN, se enviará según la correspondencia en la tabla de caché ARP. A continuación, utilizamos un entorno LAN simulado para ilustrar el proceso de suplantación de ARP. 3.3 Proceso de suplantación de ARP Supongamos que solo hay tres computadoras en la LAN y que están conectadas a través de un conmutador. Una computadora se llama A, que representa al atacante; una computadora se llama S, que representa el host de origen, la computadora que envía los datos y una computadora se llama D, que representa el host de destino, que es la computadora que recibe los datos; datos. Las direcciones IP de estas tres computadoras son 192.168.0.2, 192.168.0.3 y 192.168.0.4, y las direcciones MAC son MAC_A, MAC_S y MAC_D. La topología de la red se muestra en la Figura 3.
Dentro de la computadora S, los paquetes TCP y UDP de la capa superior se transmiten a la capa más baja. Dentro de la computadora S, los paquetes de datos TCP y UDP superiores se han transmitido a la capa de interfaz de red más baja y el paquete de datos está a punto de enviarse, pero en este momento no conoce la dirección MAC MAC_D del host de destino D. computadora. En este momento, la computadora S necesita consultar su propia tabla de caché ARP para ver si existe la dirección MAC de la computadora 192.168.0.4. Si es así, será fácil encapsularla fuera del paquete de datos. Envíalo directamente. De lo contrario, la computadora S enviará un paquete de transmisión ARP a toda la red preguntando en voz alta: "Mi dirección IP es 192.168.0.3 y mi dirección de hardware es MAC_S. Quiero saber el hardware del host con la dirección IP 192.168.0.4. Cuál es la dirección? En este punto, todas las computadoras de la red han recibido el paquete de transmisión ARP, incluidas la Computadora A y la Computadora D. La Computadora A ve que la dirección IP que se está consultando no es la suya, por lo que descarta el paquete y lo ignora. Cuando la computadora D vio que la dirección IP era la suya, le dijo a la computadora S la respuesta: "Mi dirección IP es 192.168.0.4 y mi dirección de hardware es MAC_D. Cabe señalar que este mensaje es una respuesta separada". , la computadora D lo envía solo a la computadora S, no solo a la transmisión. Dado que la computadora S conoce la dirección MAC de la computadora de destino D, puede marcar la dirección de destino MAC_D en el paquete de datos que se enviará y enviarla con esto. Al mismo tiempo, también actualizará dinámicamente su tabla de caché ARP y agregará el registro 192.168.0.4-MAC_D, de modo que la próxima vez que la computadora S envíe datos a la computadora D, ya no tenga que pedir en voz alta que envíe paquetes de transmisión ARP. En circunstancias normales, así es como se envía el paquete de datos. Este mecanismo parece perfecto y parece que toda la LAN es segura. Sin embargo, el mecanismo de envío de datos anterior tiene un defecto fatal, es decir, se basa en la confianza en todas las computadoras. en la LAN En otras palabras, asume que no importa qué computadora en la LAN, el paquete ARP que envía es correcto. ¡Esto es muy peligroso porque no todas las computadoras en la LAN son seguras y, a menudo, hay computadoras ilegales! En la transmisión de datos anterior, cuando la computadora S pregunta a toda la red "¿Me gustaría saber la dirección de hardware del host con la dirección IP 192.168.0.4?" ", la computadora D también respondió con su propio paquete ARP. Después de eso, la computadora D también respondió con la dirección MAC correcta. Pero en ese momento, la computadora A, que siempre ha estado en silencio, también respondió: "Mi dirección IP es 192.168.0.4 , I La dirección de hardware de "es MAC_A", observe que en este momento incluso pretende ser la dirección IP de la computadora D, y la dirección MAC se escribe como propia. Dado que la computadora A sigue enviando dichos paquetes de respuesta, el caché ARP. La tabla de la computadora S se ha guardado. Se guarda el registro correcto: 192.168.0.4-MAC_D, pero debido a que la computadora A sigue respondiendo, la computadora S no sabe que el paquete de datos enviado por la computadora A está falsificado, lo que hace que la computadora S actualice dinámicamente su ARP. tabla de caché nuevamente. El primer registro es 192.168.0.4-MAC_A, que obviamente es un registro incorrecto (este paso también se llama envenenamiento de la tabla de caché ARP), lo que hace que la computadora S quiera enviar a la computadora D (es decir, el host con la dirección IP 192.168.0.4) Todos los datos se enviarán al host con la dirección MAC MAC_A. De esta manera, a plena luz del día, la computadora S no sabe que el paquete de datos enviado por la computadora A está falsificado. A plena luz del día, la computadora A en realidad secuestra la computadora esclava S. ¡Los datos se envían a la computadora D! ¡Este es el proceso de suplantación de ARP!