第一篇:ARP解决方案
ARP攻击原理:调用系统里的npptools.dll文件。
网络执法官、彩影arp防火墙等ARP攻防软件也用这个,如果你把这个DLL文件删除了,之后随便弄个DLL改名为npptools.dll即可。
如果C盘是NTFS分区格式就把权限都去掉,如果是FAT格式弄个只读就可以了。防攻击文件:C:WINDOWSsystem32 npptools.dll
处理方法:新建一个空文本文档,改名为npptools.dll然后把它复制到system32文件夹里,覆盖原有的npptools.dll,如果没关闭文件保护,先关闭。再把system32dllcache里的npptools.dll也覆盖了,然后把它们的属性改为只读、隐藏,最后再把它们的everyone权限都去掉,即可!
npptools.dll文件的属性改为只读、隐藏后,再把它们的everyone的权限去掉,病毒就不能替换也不能使用它了,arp就不会起作用,从而达到防范ARP的目的。
第二篇:计算机网络应用ARP协议
计算机网络应用ARP协议
地址解析协议(Address Resolution Protocol,ARP)是一种能够实现IP地址到物理地址转化的协议。在计算机网络中,通过物理地址来识别网络上的各个主机,IP地址只是以符号地址的形式对目的主机进行编址。通过ARP协议将网络传输的数据报目的IP地址进行解析,将其转化为目的主机的物理地址,数据报才能够被目的主机正确接收。
实现IP地址到物理地址的映射在网络数据传输中是非常重要的,任何一次从互联网层及互联网层以上层发起的数据传输都使用IP地址,一旦使用IP地址,必须涉及IP地址到物理地址的映射,否则网络将不能识别地址信息,无法进行数据传输。
IP地址到物理地址的映射包括表格方式和非表格方式两种。其中,表格方式是事先在各主机中建立一张IP地址、物理地址映射表。这种方式很简单,但是映射表需要人工建立及人工维护,由于人工建立维护比较麻烦,并且速度较慢,因此该方式不适应大规模和长距离网络或映射关系变化频繁的网络。而非表格方式采用全自动技术,地址映射完全由设备自动完成。根据物理地址类型的不同,非表格方式有分为直接映射和动态联编两种方式。
1.直接映射
物理地址分为固定物理地址和可自由配置的物理地址两类,对于可自由配置的物理地址,经过配置后,可以将其编入IP地址码中,这样物理地址的解析就变的非常简单,即将它从IP地址的主机号部分取出来便是,这种方式就是直接映射。直接映射方式比较简单,但适用范围有限,当IP地址中主机号部分不能容纳物理地址时,这种方式将失去作用。另外,以太网的物理地址都是固定的,一旦网络接口更改,物理地址也随之改变,采用直接映射将会出现问题。
2.动态联编
由于以太网具有广播能力和物理地址是固定的特点,通常使用动态联编方式来进行IP地址到物理地址的解析。动态联编ARP方式的原理是,在广播型网络中,一台计算机A欲解析另一台计算机B的IP地址,计算机A首先广播一个ARP请求报文,请求计算机B回答其物理地址。网络上所有主机都将接收到该ARP请求,但只有计算机B识别出自己的IP地址,并做出应答,向计算机A发回一个ARP响应,回答自己的物理地址。
为提高地址解析效率,ARP使用了高速缓存技术,即在每台使用ARP的主机中,都保留一个专用的高速缓存,存放最近获得的IP地址-物理地址联编信息。当收到ARP应答报文时,主机就将信宿机的IP地址和物理地址存入缓存。在发送报文时,首先在缓存中查找相应的地址联编信息,若不存在相应的地址联编信息,再利用ARP进行地址解析。这样不必每发一个报文都进行动态联编,提高地址解析效率,从而使网络性能得到提高。
另外,还有一种在无盘工作站中常用的反向地址解析协议(RARP),它可以实现物理地址到IP地址的转换。在无盘工作站启动时,首先以广播方式发出RARP请求,网络上的RARP服务器会根据RARP请求中的物理地址为该工作站分配一个IP地址,生成一个RARP响应报文发送回去。然后,无盘工作站接收到RARP响应报文,便获得自己的IP地址,就能够和服务器进行通信。
第三篇:ARP攻击自查协议书[小编推荐]
ARP攻击自查协议书
兹于四号宿管站C19一单元ARP攻击较为严重,为便于较早的制止攻击且最大程度的减小消极影响,单元成员决定采取自查。
自查条件:
1.QQ管家、360等杀毒软件,彩影等反ARP软件截得ARP攻击每分钟50次以上。
2.出现客户端在1小时内登录不上,或客户端登录上立刻就自行掉线的情况。
3.学校内网无法登陆
除学校硬件设施损坏导致网络故障,或暂停校园网除外。满足以上三个条件方可实行。
自查人员:单元内每个专业(或班级)至少派出一名代表参与自查。
单元人员签字:公证人签字:
第四篇:arp病毒欺骗查找与预防方法
arp病毒欺骗查找与预防方法
ARP地址欺骗类病毒(以下简称ARP病毒)是一类特殊的病毒,该病毒一般属于木马(Trojan)病毒,不具备主动传播的特性,不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包,干扰全网的运行,因此它的危害比一些蠕虫还要严重得多。
二、ARP病毒发作时的现象
网络掉线,但网络连接正常,内网的部分PC机不能上网,或者所有电脑不能上网,无法打开网页或打开网页慢,局域网时断时续并且网速较慢等。
三、ARP病毒原理 3.1 网络模型简介
众所周知,按照OSI(Open Systems Interconnection Reference Model 开放系统互联参考模型)的观点,可将网络系统划分为7层结构,每一个层次上运行着不同的协议和服务,并且上下层之间互相配合,完成网络数据交换的功能,如图1:
图1 OSI网络体系模型
然而,OSI的模型仅仅是一个参考模型,并不是实际网络中应用的模型。实际上应用最广泛的商用网络模型即TCP/IP体系模型,将网络划分为四层,每一个层次上也运行着不同的协议和服务,如图2。
图2 TCP/IP四层体系模型及其配套协议
上图中,蓝色字体表示该层的名称,绿色字表示运行在该层上的协议。由图2可见,我们即将要讨论的ARP协议,就是工作在网际层上的协议。3.2 ARP协议简介
我们大家都知道,在局域网中,一台主机要和另一台主机进行通信,必须要知道目标主机 的IP地址,但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的,只能识别其硬件地址即MAC地址。MAC地址是48位的,通常表示为 12个16进制数,每2个16进制数之间用―-‖或者冒号隔开,如:00-0B-2F-13-1A-11就是一个MAC地址。每一块网卡都有其全球唯一的 MAC地址,网卡之间发送数据,只能根据对方网卡的MAC地址进行发送,这时就需要一个将高层数据包中的IP地址转换成低层MAC地址的协议,而这个重要 的任务将由ARP协议完成。
ARP全称为Address Resolution Protocol,地址解析协议。所谓―地址解析‖就是主机在发送数据包前将目标主机IP地址转换成目标主机MAC地址的过程。ARP协议的基本功能就是 通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。这时就涉及到一个问题,一个局域网中的电脑少则几台,多则上百台,这么多的电脑之间,如何能准确的记住对方电脑网卡的MAC地址,以便数据的发送呢?这就 涉及到了另外一个概念,ARP缓存表。在局域网的任何一台主机中,都有一个ARP缓存表,该表中保存这网络中各个电脑的IP地址和MAC地址的对照关系。当这台主机向同局域网中另外的主机发送数据的时候,会根据ARP缓存表里的对应关系进行发送。下面,我们用一个模拟的局域网环境,来说明ARP欺骗的过程。3.3 ARP欺骗过程
假设一个只有三台电脑组成的局域网,该局域网由交换机(Switch)连接。其中一 个电脑名叫A,代表攻击方;一台电脑叫S,代表源主机,即发送数据的电脑;令一台电脑名叫D,代表目的主机,即接收数据的电脑。这三台电脑的IP地址分别 为192.168.0.2,192.168.0.3,192.168.0.4。MAC地址分别为MAC_A,MAC_S,MAC_D。其网络拓扑环境如图 3。
图3 网络拓扑
现在,S电脑要给D电脑发送数据了,在S电脑内部,上层的TCP和UDP的数据包已经传送到 了最底层的网络接口层,数据包即将要发送出去,但这时还不知道目的主机D电脑的MAC地址MAC_D。这时候,S电脑要先查询自身的ARP缓存表,查看里 面是否有192.168.0.4这台电脑的MAC地址,如果有,那很好办,就将 封装在数据包的外面。直接发送出去即可。如果没有,这时S电脑要向全网络发送一个ARP广播包,大声询问:―我的IP是192.168.0.3,硬件地址 是MAC_S,我想知道IP地址为192.168.0.4的主机的硬件地址是多少?‖ 这时,全网络的电脑都收到该ARP广播包了,包括A电脑和D电脑。A电脑一看其要查询的IP地址不是自己的,就将该数据包丢弃不予理会。而D电脑一看IP 地址是自己的,则回答S电脑:―我的IP地址是192.168.0.4,我的硬件地址是MAC_D‖需要注意的是,这条信息是单独回答的,即D电脑单独向 S电脑发送的,并非刚才的广播。现在S电脑已经知道目的电脑D的MAC地址了,它可以将要发送的数据包上贴上目的地址MAC_D,发送出去了。同时它还会 动态更新自身的ARP缓存表,将192.168.0.4-MAC_D这一条记录添加进去,这样,等S电脑下次再给D电脑发送数据的时候,就不用大声询问发 送ARP广播包了。这就是正常情况下的数据包发送过程。
这样的机制看上去很完美,似乎整个局域网也天下太平,相安无事。但是,上述数据发 送机制有一个致命的缺陷,即它是建立在对局域网中电脑全部信任的基础上的,也就是说它的假设前提是:无论局域网中那台电脑,其发送的ARP数据包都是正确 的。那么这样就很危险了!因为局域网中并非所有的电脑都安分守己,往往有非法者的存在。比如在上述数据发送中,当S电脑向全网询问―我想知道IP地址为 192.168.0.4的主机的硬件地址是多少?‖后,D电脑也回应了自己的正确MAC地址。但是当此时,一向沉默寡言的A电脑也回话了:―我的IP地址 是192.168.0.4,我的硬件地址是MAC_A‖,注意,此时它竟然冒充自己是D电脑的IP地址,而MAC地址竟然写成自己的!由于A电脑不停地发送这样的应答数据包,本来S电脑的ARP缓存表中已经保 存了正确的记录:192.168.0.4-MAC_D,但是由于A电脑的不停应答,这时S电脑并不知道A电脑发送的数据包是伪造的,导致S电脑又重新动态 更新自身的ARP缓存表,这回记录成:192.168.0.4-MAC_A,很显然,这是一个错误的记录(这步也叫ARP缓存表中毒),这样就导致以后凡 是S电脑要发送给D电脑,也就是IP地址为192.168.0.4这台主机的数据,都将会发送给MAC地址为MAC_A的主机,这样,在光天化日之下,A 电脑竟然劫持了由S电脑发送给D电脑的数据!这就是ARP欺骗的过程。
如果A这台电脑再做的―过分‖一些,它不冒充D电脑,而是冒充网关,那后果会怎么 样呢?我们大家都知道,如果一个局域网中的电脑要连接外网,也就是登陆互联网的时候,都要经过局域网中的网关转发一下,所有收发的数据都要先经过网关,再 由网关发向互联网。在局域网中,网关的IP地址一般为192.168.0.1。如果A这台电脑向全网不停的发送ARP欺骗广播,大声说:―我的IP地址是 192.168.0.1,我的硬件地址是MAC_A‖这时局域网中的其它电脑并没有察觉到什么,因为局域网通信的前提条件是信任任何电脑发送的ARP广播 包。这样局域网中的其它电脑都会更新自身的ARP缓存表,记录下192.168.0.1-MAC_A这样的记录,这样,当它们发送给网关,也就是IP地址 为192.168.0.1这台电脑的数据,结果都会发送到MAC_A这台电脑中!这样,A电脑就将会监听整个局域网发送给互联网的数据包!
实际上,这种病毒早就出现过,这就是ARP地址欺骗类病毒。一些传奇木马
(Trojan/PSW.LMir)具有这样的特性,该木马一般通过传奇外挂、网页木马等方式使局域网中的某台电脑中毒,这样中毒电脑便可嗅探到整个局域 网发送的所有数据包,该木马破解了《传奇》游戏的数据包加密算法,通过截获局域网中的数据包,分析数据包中的用户隐私信息,盗取用户的游戏帐号和密码。在 解析这些封包之后,再将它们发送到真正的网关。这样的病毒有一个令网吧游戏玩家闻之色变的名字:―传奇网吧杀手‖!
四、ARP病毒新的表现形式
由于现在的网络游戏数据包在发送过程中,均已采用了强悍的加密算法,因此这类ARP 病毒在解密数据包的时候遇到了很大的难度。现在又新出现了一种ARP病毒,与以前的一样的是,该类ARP病毒也是向全网发送伪造的ARP欺骗广播,自身伪 装成网关。但区别是,它着重的不是对网络游戏数据包的解密,而是对于HTTP请求访问的修改。
HTTP是应用层的协议,主要是用于WEB网页访问。还是以上面的局域网环境举 例,如果局域网中一台电脑S要请求某个网站页面,如想请求www.xiexiebang.com这个网页,这台电脑会先向网关发送HTTP请求,说:―我想登陆 www.xiexiebang.com网页,请你将这个网页下载下来,并发送给我。‖这样,网关就会将www.xiexiebang.com页面下载下来,并发送给S 电脑。这时,如果A这台电脑通过向全网发送伪造的ARP欺骗广播,自身伪装成网关,成为一台ARP中毒电脑的话,这样当S电脑请求WEB网页时,A电脑先 是―好心好意‖地将这个页面下载下来,然后发送给S电脑,但是它在返回给S电脑时,会向其中插入恶意网址连接!该恶意网址连接会利用MS06-014和 MS07-017等多种系统漏洞,向S电脑种植木马病毒!同样,如果D电脑也是请求WEB页面访问,A电脑同样也会给D电脑返回带毒的网页,这样,如果一 个局域网中存在这样的ARP病毒电脑的话,顷刻间,整个网段的电脑将会全部中毒!沦为黑客手中的僵尸电脑!案例:
某企业用户反映,其内部局域网用户无论访问那个网站,KV杀毒软件均报病毒:Exploit.ANIfile.o。
在经过对该局域网分析之后,发现该局域网中有ARP病毒电脑导致其它电脑访问网页 时,返回的网页带毒,并且该带毒网页通过MS06-014和MS07-017漏洞给电脑植入一个木马下载器,而该木马下载器又会下载10多个恶性网游木 马,可以盗取包括魔兽世界,传奇世界,征途,梦幻西游,边锋游戏在内的多款网络游戏的帐号和密码,对网络游戏玩家的游戏装备造成了极大的损失。被ARP病 毒电脑篡改的网页如图4。
图4 被ARP病毒插入的恶意网址连接
从图4中可以看出,局域网中存在这样的ARP病毒电脑之后,其它客户机无论访问什么网页,当返回该网页时,都会被插入一条恶意网址连接,如果用户没有打过相应的系统补丁,就会感染木马病毒。
五、ARP病毒电脑的定位方法
下面,又有了一个新的课题摆在我们面前:如何能够快速检测定位出局域网中的ARP病毒电脑?
面对着局域网中成百台电脑,一个一个地检测显然不是好办法。其实我们只要利用ARP 病毒的基本原理:发送伪造的ARP欺骗广播,中毒电脑自身伪装成网关的特性,就可以快速锁定中毒电脑。可以设想用程序来实现以下功能:在网络正常的时候,牢牢记住正确网关的IP地址和MAC地址,并且实时监控着来自全网的ARP数据包,当发现有某个ARP数据包广播,其IP地址是正确网关的IP地址,但是 其MAC地址竟然是其它电脑的MAC地址的时候,这时,无疑是发生了ARP欺骗。对此可疑MAC地址报警,在根据网络正常时候的IP-MAC地址对照表查 询该电脑,定位出其IP地址,这样就定位出中毒电脑了。下面详细说一下几种不同的检测ARP中毒电脑的方法。5.1 命令行法
这种方法比较简便,不利用第三方工具,利用系统自带的ARP命令即可完成。上文已经 说过,当局域网中发生ARP欺骗的时候,ARP病毒电脑会向全网不停地发送ARP欺骗广播,这时局域网中的其它电脑就会动态更新自身的ARP缓存表,将网 关的MAC地址记录成ARP病毒电脑的MAC地址,这时候我们只要在其它受影响的电脑中查询一下当前网关的MAC地址,就知道中毒电脑的MAC地址了,查 询命令为 ARP -a,需要在cmd命令提示行下输入。输入后的返回信息如下:
Internet Address Physical Address Type192.168.0.1 00-50-56-e6-49-56 dynamic 这时,由于这个电脑的ARP表是错误的记录,因此,该MAC地址不是真正网关的MAC地址,而是中毒电脑的MAC地址!这时,再根据网络正常时,全网的IP—MAC地址对照表,查找中毒电脑的IP地址就可以了。由此可见,在网络正常的时候,保存 一个全网电脑的IP—MAC地址对照表是多么的重要。可以使用nbtscan 工具扫描全网段的IP地址和MAC地址,保存下来,以备后用。5.2 工具软件法
现在网上有很多ARP病毒定位工具,其中做得较好的是Anti ARP Sniffer(现在已更名为ARP防火墙),下面我就演示一下使用Anti ARP Sniffer这个工具软件来定位ARP中毒电脑。
首先打开Anti ARP Sniffer 软件,输入网关的IP地址之后,再点击红色框内的―枚举MAC‖按钮,即可获得正确网关的MAC地址,如图5。
图5 输入网关IP地址后,枚举MAC 接着点击―自动保护‖按钮,即可保护当前网卡与网关的正常通信。如图6。
图6 点击自动保护按钮
当局域网中存在ARP欺骗时,该数据包会被Anti ARP Sniffer记录,该软件会以气泡的形式报警。如图7。
图7 Anti ARP Sniffer 的拦截记录
这时,我们再根据欺骗机的MAC地址,对比查找全网的IP-MAC地址对照表,即可快速定位出中毒电脑。5.3 Sniffer 抓包嗅探法
当局域网中有ARP病毒欺骗时,往往伴随着大量的ARP欺骗广播数据包,这时,流量检测机制应该能够很好的检测出网络的异常举动,此时Ethereal 这样的抓包工具就能派上用场。如图8。
图8 用Ethereal抓包工具定位出ARP中毒电脑
从图8中的红色框内的信息可以看出,192.168.0.109 这台电脑正向全网发送大量的ARP广播包,一般的讲,局域网中有电脑发送ARP广播包的情况是存在的,但是如果不停的大量发送,就很可疑了。而这台192.168.0.109 电脑正是一个ARP中毒电脑。
以上三种方法有时需要结合使用,互相印证,这样可以快速准确的将ARP中毒电脑定位出来。
七、ARP病毒的网络免疫措施
由于ARP病毒的种种网络特性,可以采用一些技术手段进行网络中ARP病毒欺骗数据包免疫。即便网络中有ARP中毒电脑,在发送欺骗的ARP数据包,其它电脑也不会修改自身的ARP缓存表,数据包始终发送给正确的网关,用的比较多的办法是―双向绑定法‖。双向绑定法,顾名思义,就是要在两端绑定IP-MAC地址,其中一端是在路由器中,把所有PC的IP-MAC输入到一个静态表中,这叫路由器IP-MAC绑定。令一端是局域网中的每个客户机,在客户端设置网关的静态ARP信息,这叫PC 机IP-MAC绑定。客户机中的设置方法如下:
新建记事本,输入如下命令:
arp-darp-s 192.168.0.1 00-e0-4c-8c-9a-47 其中,―arp –d‖ 命令是清空当前的ARP缓存表,而―arp-s 192.168.0.1 00-e0-4c-8c-9a-47 ‖命令则是将正确网关的IP地址和MAC地址绑定起来,将这个批处理文件放到系统的启动目录中,可以实现每次开机自运行,这一步叫做―固化arp表‖。―双向绑定法‖一般在网吧里面应用的居多。
除此之外,很多交换机和路由器厂商也推出了各自的防御ARP病毒的软硬产品,如:华 为的H3C AR 18-6X 系列全千兆以太网路由器就可以实现局域网中的ARP病毒免疫,该路由器提供MAC和IP地址绑定功能,可以根据用户的配置,在特定的IP地址和MAC地址 之间形成关联关系。对于声称从这个IP地址发送的报文,如果其MAC地址不是指定关系对中的地址,路由器将予以丢弃,是避免IP地址假冒攻击的一种方式。
第五篇:校园网ARP欺骗攻击分析及解决办法(0)
校园网ARP欺骗攻击分析及解决办法
张志刚
(作者单位:浙江省开化县实验小学 邮编:324300)
摘要:ARP攻击是当前校园网遇到的一个非常典型的安全威胁,受到ARP攻击后轻者校园网会出现大面积掉线,重者会窃取用户密码。目前,网上有关ARP资料较多,但作者发现:网上资料虽多但大多逻辑性和指导性均不强,甚至有一些还自相矛盾,不能自圆其说。该文来自于一线网管员的工作实践,具有较强的针对性和操作性。
关键词:校园网、ARP、原理、方法 正文:
ARP攻击是当前校园网遇到的一个非常典型的安全威胁,受到ARP攻击后校园网内各终端电脑会出现大面积掉线、ARP包爆增、拷贝文件无法完成,出现错误、无法ping通网关,但重启机器后又可恢复上网等情况。欺骗木马发作时还会窃取用户密码,如盗取QQ密码、盗取各种网络游戏密码和账号,盗窃网上银行账号来做非法交易活动等。在08年的暑期,我县的教育城域网就爆发了一次较大的ARP攻击事件,前后持续时间近一个月,给全县教育系统的暑期办公培训及新学期的准备工作带来了较大的影响,攻击源来自于乡下某学校的一台老师忘记关机并感染了ARP病毒的的办公电脑。
作为一名学校的网管员,在与多起ARP欺骗攻击的的斗争过程中,对ARP病毒相关基础知识、危害认识也越来越深刻,对如何在校园网内及时发现、有效防范查杀攻击源的具体处理上也有了一定的心得,现作一整理,供兄弟学校的各网管员们参考借鉴。
1.要了解APR病毒需先掌握的几个概念 1.1:IP地址
IP地址是出现频率非常高的词。它类似于电话通迅中的电话号码,在我们的校园网中,为了区别每一台不同的计算机,我们需要给每一台计算机都配臵一个号码,这个号码我们就将它叫做IP地址,有了这个IP地址我们在利用网络进行上网、传递文件,进行局域网聊天时才不会将发送给A计算机的信息错发到其
它的计算机上。一般情况下,在校园网内一台计算机只分配一个IP地址,IP地址采用十进制数字表示,如192.168.0.25。1.2、MAC地址:
在现实生活中,我们每个人由于工作等原因会经常的搬家,每台计算机的IP地址在使用中就会发生变化。IP地址发生变化了,为什么不会影响我们在网上收发信息呢?这主要是因为我们计算机的网卡MAC地址是不发生变化的。MAC地址也叫物理地址,它类似于我们每个人的身份证,是全球唯一的,只要MAC地址这个计算机的身份证存在,我们在全球庞大的计算机网络中就总能找到自已的这台计算机。MAC地址的长度为48位(6个字节),通常表示为12个16进制数,每2个16进制数之间用冒号隔开,如:00:0F:E2:70:70:BC。XP系统环境下本机的IP与MAC地址信息我们可以执行IPCONFIG –ALL命令进行查询。1.3、ARP(Address Resolution Protocol:地址解析协议)
不管是在校园局域网中还是在广域网中,数据信息要从某种形式的链路上的初始节点出发,从一个节点传递到另一个节点,最终传送到目的节点。如果仅仅依靠IP地址去传递信息是要发生错误的,因为IP地址是要发生变化的,在某些时候我们就需要将IP地址与MAC地址进行捆定,保证网络中信息传递的准确性,完成这个功能的就是ARP地址解析协议。网络中的每台电脑,它都会收集网络上的各台计算机的IP地址与MAC地址信息,将它储存在一个叫“ARP缓存表”的地方,当机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据。
2.ARP欺骗的原理分析
为便于阐述,在这我们假设有一个有三台计算机甲、乙、丙组成的局域网,其中甲感染了ARP木马病毒。正常情况下,甲的地址为:IP:192.168.1.1 MAC: AA-AA-AA-AA-AA-AA,乙的地址为:IP:192.168.1.2 MAC: BB-BB-BB-BB-BB-BB,丙的地址为:IP:192.168.1.3 MAC: CC-CC-CC-CC-CC-CC。当计算机甲上运行了
ARP欺骗程序,向乙或丙发送了ARP欺骗包后,基于乙、丙对甲的完全信任关系,乙或丙计算机会自动更新本地的ARP缓存,将错误的IP与MAC地址信息替代了正确的信息对应表,这样当然也就不能保证乙、丙两台计算机能顺畅地对外通讯了。在校园网中,问题会随着ARP欺骗包针对网关而变本加厉,当局域网中一台机器,反复向其他机器,特别是向网关,发送这样无效假冒的ARP应答信息包时,严重的网络堵塞就会开始。由于网关MAC地址错误,所以从网络中计算机发来的数据无法正常发到网关,自然无法正常上网。这就造成了无法访问外网的问题,另外由于很多时候网关还控制着我们的局域网LAN上网,所以这时我们的LAN访问也就出现问题了
3.校园网ARP病毒的预防措施及感染后的分析及处理 3.1、校园网ARP病毒的五条预防措施:
措施
1、及时升级客户端的操作系统和应用程序补丁。措施
2、安装和更新杀毒软件及ARP专用防火墙。
措施
3、如果网络规模较小,尽量使用手动指定IP设臵,而不是使用DHCP来分配IP地址。
措施
4、如果交换机或路由器支持,在交换机或路由器上绑定MAC地址与IP地址。
措施
5、在校园网正常运行时,备份一份网关与知终端的IP地址与MAC地址正常对应表,最好包含计算机名信息。现今学校一般都通过路由器上网,两地址信息均可在路由器的WEB设臵页面中找到,也可以使用网上常见的一些专业MAC地址扫描工具得到正确的地址信息。3.2、ARP病毒感染后的分析及处理
校园网如果还是不幸中招,出现本文第一段所说的那些症状时,我们首先应该判断是否为ARP病毒的原因,点击“开始”按钮->选择“运行”->输入“arp–d”->点击“确定”按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。arp-d命令用于清除并重建本机arp表。arp–d命令并不能抵御ARP欺骗,执行后仍有可能再次遭受ARP攻击。如果计算机安装有ARP防火墙的话,也会在屏幕的右下角跳出报警信息,当确诊为ARP病毒是时,我们可以采取以下方法进行校园网的修复处理。
第一步:首先保证网络正常运行。在桌面上新建一个名为ARP文本文件,用
记事本写下:
@echo off arp-d
arp-s 网关IP MAC地址
保存后将记事本后缀名改名BAT(批处理文件)。将这个批处理文件发送给各计算机端,当遭受ARP攻击时,将它执行一遍,重新绑定网关的IP-MAC地址信息后就OK了。
第二步:找到感染ARP病毒的机器。
第一种判断方法:如果在你的周围有多台电脑均不能正常上网,出现时常掉线的情况,而你的电脑却安然无恙,数据通信正常,请不要沾沾自喜,这说明你的机器已经中了arp病毒,需要及时断网杀毒。
第二种判断方法:使用arp-a命令任意选两台不能上网的主机,在DOS命令窗口下运行arp-a命令。如图1,两台电脑除了网关的IP,MAC地址对应项,都包含了192.168.0.54的这个IP,则可以断定192.168.0.54这台主机就是病毒源。一般情况下,网内的主机只和网关通信。正常情况下,一台主机的ARP缓存中应该只有网关的MAC地址。如果有其他主机的MAC地址,说明本地主机和这台主机最后有过数据通信发生。如果某台主机(例如上面的192.168.0.54)既不是网关也不是服务器,但和网内的其他主机都有通信活动,且此时又是ARP病毒发作时期,那么,病毒源也就是它了。
第三种判断方法:在故障机上使用ARP -a的命令看得到的网关对应的MAC地址是否与网关真实地址相符,如不符,可去查找与该MAC地址对应的电脑。
第四种判断方法:使用ARP防火墙(例如360ARP防火墙)软件,360ARP防火墙拦截到外部ARP攻击后,可通过拦截界面“追踪攻击源IP”来精准定位局域网内攻击源,方便网管及时查询局域网内攻击源,及时解决问题。
第三步:在学校路由器的WEB页面上网过滤功能设臵中暂时停止病毒源主机的上网行为。考虑到校园网的各终端主机来源比较复杂,有一些来自于老师的笔记本电脑,有时根据MAC地址很难确定是某位老师的电脑,我们可以利用路由器 的MAC地址过滤功能暂停该机的上网功能,待确定计算机主人后再通知其使用ARP专杀工具查杀病毒。这样就保证了校园网的健康运行。目前的路由器一般都有“上网黑白名单”的功能设臵,操作也较简单。
以上的分析查杀过程,在配备简陋的学校校园网内均可实现,基本上可以将ARP病毒的危害降至最低。目前市场上很多的路由器厂商专门推出一些具有ARP病毒防护功能的路由器,它可以在路由器端绑定IP与MAC地址正确信息并按一定频率向网络广播,该种路由器再配合客户端的双向绑定,在ARP的防治上效果非常不错,能还你一个波澜不惊、风平浪静的校园网环境,值得一试!但有些ARP防火墙会将路由器的广播视作是ARP攻击。配备一个功能强大的路由器不仅对ARP的防治有较好的效果,网管员们如仔细分析利用好路由器的系统运行信息,对其它网络病毒的防治诊断也有很好的帮助作用。
台上一分钟,台下十年功,校园网网管员平时的工作默默无闻,网络病毒将我们推上了表演的前台,我们网管员们要想立于不败之地,实现自身价值,一个重要的前提就是平时要做好校园网基本信息知识的积累整理工作,练好内功,加强软实力,这样才能在校园网的一些突发事件面前,做到从容不迫、大将风度。
点击咨询 