校园网ARP欺骗攻击分析及解决办法(0)
ARP攻击的分析及解决方案
一、ARP协议ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写,在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。
在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。
所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
二、ARP攻击现象以下几种现象为ARP攻击常见的现象:1. 上网时断时续;2. 通过IE地址栏输入要打开的网页地址,实际上打开的网页地址与目的地址不一致;3. 用户访问网页,瑞星杀毒软件监控提示木马病毒报警,但是全盘查杀木马病毒,并未扫描出木马病毒;4. 本地查杀没有病毒木马,但是用户账号密码被盗。
三、ARP欺骗原理如图所示,正常情况下,PC A(192.168.0.1)向PC B(192.168.0.2)发送数据时,会先在自己的ARP缓存表中查看是否有PC B的IP地址,如果有,则会找到此IP地址对应的MAC地址,向此MAC地址发送数据。
如果PC A在自己的ARP缓存表中未发现PC B的IP 地址,则PC A 会在网络中发送一个广播,查找192.168.0.2 此IP对应的MAC 地址。
此时,网络上其他主机并不会相应此ARP询问,只有PC B接收到这个消息时,会回应PC B(192.168.0.2)的MAC地址(bb-bb-bb-bb)。
这样,PC A就可以向PC B通讯了,而且,PC A 会将此对应信息记录到自己的缓存表中,下次再访问就可以直接通过ARP缓存表查看。
发生ARP攻击时,例如,PC C(192.168.0.3)感染了ARP病毒,它会在局域网内发送伪造的ARP REPLY包,内容如下,PC B(192.168.0.2)的MAC地址为cc-cc-cc-cc。
这样,所有的接收到此包的客户端PC A, PC D 在访问PC B(192.168.0.2)的时候,就会变成先访问PC C,这样,PC C 就成功获取了PC A, PC D 发送的消息。
校园网ARP欺骗分析与解决方案
实际经验 , 出 了三种 有 效的 解决 方案 , 点分析 了在 校 园网核 心层 利 用北 电 交换机过 滤 A . 提 重 RP
欺骗 数据 包的 方 法。在 对各 方案 的优 缺 点和 适 用 范 围比较 的基 础 上 ,提 出 了在 校 园网 内对 于
A . 骗 必 须 采 用 综 合 策 略 进 行 防 范 RP欺 关 键 词 : RP协 议 ; KP欺 骗 : 电 交 换 机 A . A 北
址 的对 应关 系[ 1 1 。
P0 C 2发 出的 A P rq et 一 个 广 播 报 文 , R us是 e 整
本 的功 能就 是把 3 2位 的 目标 I 址 映射 为 以太 网 个 网段 的 主机 都 能够 收 到 。如 果 此 时 网段 中一 台 P地AR 缓 Nhomakorabea存表 P
9 68 0 _ 3 03 03 03 0 21 n1 3 0 _ _ _ _ 3
A P作为局 域 网协议 ,是建立 在各个 主机 之间 R 相互 信任 的基 础上 的 , 因此存在 安 全问题 。 常 的主 正 机上 的 MA C地址 刷新 有一 定周 期 , 如果 存在 恶意 用 户修 改 了被欺 骗机 器上 的地 址缓 存 , 目标 I 址 将 P地 同非法 的 M AC地址 建立 映射关 系 。 就可 进行 假 冒或 拒绝服 务攻击 。 如 图 l 示 。 始时 P 0 所 初 C 2向 网关发 数 据 , 由于 P0 C 2不知 道 网关 的 MA C地 址 ,就要 向网络 里发 送
A 缓存 表 RP
1 21 &Q10 - - 1 01 01 0101 9 6 1 01 0 - - - - 1 21 8n= 9 6
流行 ,影 响最大 的一种安 全威 胁 。国 内外 对 于 A P R
ARP攻击防范与解决方案
ARP攻击防范与解决方案ARP(Address Resolution Protocol)攻击是一种常见的网络安全威胁,黑客通过ARP欺骗技术,伪造网络设备的MAC地址,从而实施网络攻击,如中间人攻击、会话劫持等。
为了保护网络安全,我们需要采取一系列的防范措施和解决方案来应对ARP攻击。
1. 防范措施:1.1 使用静态ARP表:静态ARP表是一种手动配置的ARP表,将网络设备的IP地址和MAC地址进行绑定。
这样,即使黑客发起ARP欺骗攻击,也无法修改设备的ARP表,从而有效防止ARP攻击。
1.2 使用ARP防火墙:ARP防火墙可以监控网络中的ARP请求和响应,检测和阻止异常的ARP流量。
它可以根据事先设定的策略,过滤和阻断潜在的ARP攻击。
1.3 使用网络入侵检测系统(NIDS):NIDS可以监测网络中的异常流量和攻击行为,包括ARP攻击。
当NIDS检测到ARP攻击时,可以及时发出警报并采取相应的防御措施。
1.4 使用网络隔离技术:将网络划分为多个虚拟局域网(VLAN),并使用网络隔离技术将不同的用户和设备隔离开来。
这样,即使发生ARP攻击,黑客也无法直接访问其他网络。
2. 解决方案:2.1 实施ARP监控和检测:通过实时监控和检测ARP请求和响应,可以及时发现和识别ARP攻击行为。
可以使用专门的ARP监控工具或网络安全设备来实现。
2.2 使用加密通信:通过使用加密协议和加密算法,可以保护通信过程中的ARP请求和响应,防止黑客窃取或篡改网络设备的MAC地址。
2.3 定期更新网络设备的固件和软件:网络设备厂商会不断修复和更新设备的漏洞和安全问题。
定期更新网络设备的固件和软件,可以及时修复已知的ARP攻击漏洞。
2.4 加强员工的网络安全意识教育:通过加强员工的网络安全意识教育,提高他们对网络攻击的认识和防范能力,减少因员工的疏忽而导致的ARP攻击。
2.5 使用网络流量分析工具:网络流量分析工具可以帮助识别异常的ARP流量和攻击行为。
ARP攻击防范与解决方案
ARP攻击防范与解决方案简介:ARP(Address Resolution Protocol)攻击是一种常见的网络安全威胁,攻击者通过伪造ARP响应包来欺骗网络设备,从而篡改网络流量的目的地址。
这种攻击可以导致网络中断、信息泄露和数据篡改等严重后果。
为了保护网络安全,我们需要采取一些防范措施和解决方案来避免ARP攻击的发生。
一、防范措施:1. 安全网络设计:合理规划网络拓扑结构,采用分段设计,将重要的服务器和关键设备放置在内部网络,与外部网络隔离。
2. 强化网络设备安全:对路由器、交换机等网络设备进行定期升级和漏洞修复,禁用不必要的服务和端口,启用访问控制列表(ACL)限制不必要的流量。
3. 使用网络设备认证机制:启用设备认证功能,只允许授权设备加入网络,防止未经授权的设备进行ARP攻击。
4. 配置静态ARP表项:将重要设备的IP地址和MAC地址进行绑定,限制ARP请求和响应的范围,减少ARP攻击的可能性。
5. 使用防火墙:配置防火墙规则,限制网络流量,过滤异常ARP请求,阻挠ARP攻击的传播。
6. 监控和检测:部署网络入侵检测系统(IDS)和入侵谨防系统(IPS),实时监控网络流量,及时发现并阻挠ARP攻击。
二、解决方案:1. ARP缓存监控和清除:定期监控网络设备的ARP缓存,发现异常的ARP缓存项,及时清除并重新学习正确的ARP信息。
2. 使用ARP欺骗检测工具:部署ARP欺骗检测工具,实时监测网络中的ARP 请求和响应,发现异常的ARP流量,并采取相应的谨防措施。
3. 使用ARP谨防软件:部署专门的ARP谨防软件,通过对ARP流量进行深度分析和识别,及时发现和阻挠ARP攻击。
4. VLAN隔离:使用VLAN技术将网络划分为多个虚拟局域网,限制不同VLAN之间的通信,减少ARP攻击的影响范围。
5. 加密通信:使用加密协议(如SSL、IPSec)对网络通信进行加密,防止ARP攻击者窃取敏感信息。
论校园网管理中ARP欺骗及攻击和安全防范措施
P的 P就 是 不 需 要 别 人 问 , 上 一 在局域 网中 , 网络 中实 际传输 的是 “ 据 帧” 数据 帧如 果要 费 AR ” 机 制 。所 谓 免 费 AR 数 , 我 P地 址 是 多 少 , 的 MAC地 址 是 多 我 到 达 目的 地 , 必 须 知 道 对 方 的 MAC 地 址 , 不 认 I 的 。 来 就 先 告 诉 别 人 , 的 I 就 它 P 少 , 的 主 机 无 需 广 播 , 已经 知 道 了该 主机 的 I 别 就 P和 MAC, 但 这 个 目标 M A 地 址 是 如 何 获 得 的 呢 ? 它 就 是 通 过 A C RP 下次需要 发到这个 I P的 时 候 , 接 发 就 行 了 。既 然 是 主 动 直 协 议 获 得 的 。所 谓 “ 址 解 析 ” 是 主 机 在 发 送 帧 前 将 目标 地 就 就 用 P地 I 址 转 换 成 目标 MAC地 址 的 过 程 。 AR P地 P协 议 的基 本 功 发 起 的 , 可 以 被 别 有 用 心 的 人 利 用 了 , 一 个 假 冒 的 I 可 加 能 就 是 通 过 目 标 设 备 的 I 地 址 , 询 目标 设 备 的 MAC地 址 ( 能 是 网 关 的 或 者 重 要 服 务 器 的 地 址 ) 上 自 己 的 P 查 MAC 出去 骗 别 人 , 把 重 要 的 信 息 都 骗 到 这 里 来 了 。 下 面 就 址 , 保 证 通 信 的顺 利 进 行 。 以
P欺 骗 的 具 体 操 作 过 程 。 每 台 安 装 有 T P I 议 的 电脑 里 都 有 一 个 AR C /P协 P缓 存 我 们 来 看 看 AR
表, 里的I 表 P地 址 与 MAC地 址 是 一 一 对 应 的 。
论校园网管理中ARP欺骗及攻击和安全防范措施
论校园网管理中ARP欺骗及攻击和安全防范措施通过介绍ARP协议的概念和工作原理,分析了当前ARP攻击的主要类型和特点,提出了一些具体的防范措施,来解决网络管理中出现的ARP的欺骗和攻击。
标签:APR;病毒攻击;防范措施1 ARP协议及欺骗原理1.1 ARP协议ARP欺骗,一个让我们耳熟能详的网络安全事件,普遍的存在于校园网、企业网等网络环境中,给我们的工作、学习和生活带来了很大的不变,轻则网络变慢、时断时续,重则直接无法上网、重要信息被窃取,可以说,ARP欺骗是网络的一块顽疾。
分析ARP欺骗,就不得不研究一下ARP协议,因为这种攻击行为正是利用了ARP协议本身的漏洞来实现的。
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写,它的作用,就是将IP地址转换为MAC地址。
在局域网中,网络中实际传输的是“数据帧”,数据帧如果要到达目的地,就必须知道对方的MAC地址,它不认IP的。
但这个目标MAC地址是如何获得的呢?它就是通过ARP协议获得的。
所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的。
我们以主机A向主机B发送数据为例。
当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。
如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问。
网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应。
这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。
arp欺骗的解决方案
arp欺骗的解决方案1.引言1.1 概述ARP欺骗是一种常见的网络攻击手段,攻击者利用ARP协议的漏洞,通过发送虚假的ARP响应帧来篡改目标主机的ARP缓存表,从而达到欺骗目标主机的目的。
这种攻击会给网络带来严重的安全风险,可能导致数据泄露、网络崩溃甚至入侵。
本文旨在探讨ARP欺骗的解决方案,以帮助用户更好地应对网络攻击。
文章将介绍两种主要的解决方案:使用静态ARP表和使用ARP防火墙。
这两种方案不仅可以帮助用户有效应对ARP欺骗攻击,还能提升网络的安全性和稳定性。
在介绍解决方案之前,我们先对ARP欺骗的原理和危害进行了解和分析。
通过深入理解ARP欺骗攻击的原理,我们能更好地认识到这种攻击对网络安全造成的威胁,进而更好地理解解决方案的重要性和必要性。
接下来,我们将详细介绍解决方案一:使用静态ARP表。
通过使用静态ARP表,用户可以手动将IP地址和MAC地址的映射关系设置为固定值,有效地防止ARP欺骗攻击。
我们将介绍如何正确配置和管理静态ARP 表,并探讨其优势和劣势。
然后,我们将讨论解决方案二:使用ARP防火墙。
ARP防火墙是一种软件或硬件设备,通过监测和过滤网络中的ARP请求和响应,可以检测和阻止恶意ARP欺骗行为。
我们将介绍ARP防火墙的原理和配置方法,以及其在网络安全方面的优势和不足之处。
最后,我们将对本文进行总结,并对所介绍的解决方案进行评价。
我们将从安全性、实用性和成本等方面对这两种解决方案进行评估,以帮助读者全面了解和选择适合自身需求的解决方案。
通过本文的阅读,读者将能够了解ARP欺骗攻击的危害,掌握两种常见的解决方案,并能根据自身的实际情况和需求选择适合的解决方案,提升网络的安全性和稳定性。
1.2 文章结构文章结构部分的内容可以描述文章的整体框架和组织方式,以及各部分的主要内容和目标。
具体内容可以参考以下示例:文章结构:本文主要分为以下几个部分:引言、正文和结论。
引言部分:在引言部分,我们将首先概述ARP欺骗的背景和现状,介绍该问题对计算机网络和信息安全的危害。
ARP攻击防范与解决方案
ARP攻击防范与解决方案一、背景介绍ARP(地址解析协议)是在局域网中解决IP地址和MAC地址之间映射关系的协议。
然而,ARP协议的设计缺陷导致了ARP攻击的出现。
ARP攻击是一种常见的网络安全威胁,攻击者通过发送伪造的ARP响应包来篡改网络中的ARP缓存表,从而实现中间人攻击、拒绝服务攻击等恶意行为。
为了保护网络安全,我们需要采取相应的防范与解决方案。
二、防范ARP攻击的措施1. 使用静态ARP表静态ARP表是一种手动配置的ARP表,将IP地址和MAC地址的映射关系固定在ARP表中,可以有效防止ARP缓存污染攻击。
管理员可以根据网络拓扑结构手动添加ARP表项,并定期检查和更新。
2. 使用ARP欺骗检测工具ARP欺骗检测工具可以实时监测网络中的ARP请求和响应,检测是否存在异常的ARP活动。
当检测到ARP欺骗行为时,可以及时发出警报并采取相应的防御措施。
3. 使用静态ARP绑定静态ARP绑定是将特定IP地址和MAC地址的映射关系绑定在ARP表中,使得ARP缓存表中的映射关系不易被篡改。
管理员可以手动配置静态ARP绑定,确保网络中重要主机的ARP映射关系的安全性。
4. 使用网络入侵检测系统(IDS)网络入侵检测系统可以实时监测网络流量,检测是否存在异常的ARP活动。
当检测到ARP攻击行为时,可以自动触发警报,并采取相应的防御措施,如断开与攻击者的连接。
5. 使用虚拟局域网(VLAN)虚拟局域网可以将网络划分为多个逻辑上的独立网络,不同的VLAN之间无法直接通信,从而有效隔离了网络流量,减少了ARP攻击的风险。
三、解决ARP攻击的方法1. 及时更新操作系统和网络设备的补丁厂商会定期发布针对操作系统和网络设备的安全补丁,这些补丁通常包含了对已知漏洞的修复。
及时安装这些补丁可以有效减少ARP攻击的风险。
2. 使用网络流量监测工具网络流量监测工具可以实时监测网络流量,检测是否存在异常的ARP活动。
当检测到ARP攻击行为时,可以及时发出警报并采取相应的解决措施。
ARP攻击防范与解决方案
ARP攻击防范与解决方案ARP(地址解析协议)攻击是一种常见的网络攻击手段,通过欺骗网络中的设备,使得攻击者可以窃取数据、篡改数据或者拒绝服务。
为了保护网络安全,我们需要了解ARP攻击的原理和解决方案。
一、ARP攻击的原理1.1 ARP欺骗:攻击者发送虚假ARP响应包,欺骗目标设备将攻击者的MAC 地址误认为是网关的MAC地址,导致数据流经攻击者设备。
1.2 中间人攻击:攻击者在网络中伪装成网关,截取目标设备与网关之间的通信,可以窃取敏感信息。
1.3 DOS攻击:攻击者发送大量虚假ARP请求,使得网络设备无法正常通信,造成网络拥堵。
二、ARP攻击的危害2.1 数据泄露:攻击者可以窃取目标设备的敏感信息,如账号、密码等。
2.2 数据篡改:攻击者可以篡改数据包,导致目标设备收到错误的数据。
2.3 网络拒绝服务:攻击者可以通过ARP攻击使得网络设备无法正常通信,造成网络拥堵。
三、ARP攻击的防范方法3.1 ARP绑定:在网络设备中配置ARP绑定表,将IP地址和MAC地址进行绑定,减少ARP欺骗的可能性。
3.2 安全路由器:使用具有ARP防护功能的安全路由器,可以检测和阻挠虚假ARP响应包。
3.3 网络监控:定期监控网络流量和ARP表,及时发现异常情况并采取相应措施。
四、ARP攻击的解决方案4.1 使用静态ARP表:在网络设备中手动配置ARP表,避免自动学习带来的风险。
4.2 ARP检测工具:使用专门的ARP检测工具,可以检测网络中是否存在ARP攻击,并及时采取应对措施。
4.3 更新网络设备:及时更新网络设备的固件和软件,修复已知的ARP攻击漏洞,提高网络安全性。
五、ARP攻击的应急响应5.1 断开网络连接:一旦发现ARP攻击,即将断开受影响设备的网络连接,阻挠攻击继续扩散。
5.2 修改密码:及时修改受影响设备的账号密码,避免敏感信息泄露。
5.3 报警通知:向网络管理员或者安全团队报告ARP攻击事件,协助进行应急响应和网络恢复。
ARP欺骗攻击分析及防范措施
ARP欺骗攻击分析及防范措施ARP欺骗攻击(Address Resolution Protocol Spoofing Attack),也称为ARP缓存中毒攻击,是一种常见的网络攻击手段。
攻击者通过伪造ARP响应报文,将目标主机的IP地址与自己的MAC地址进行绑定,从而达到劫持网络流量、盗取敏感信息或进行中间人攻击等恶意目的。
本文将对ARP欺骗攻击进行分析,并提出相应的防范措施。
一、攻击原理分析1.ARP协议简介ARP(Address Resolution Protocol)是将IP地址与MAC地址进行匹配的协议,通过在局域网中的广播方式,发送ARP请求报文,等待目标主机响应,以获取目标主机的MAC地址。
目标主机接收到ARP请求后,会将自己的MAC地址发送给请求方,请求方在收到响应后将目标主机的IP地址与MAC地址进行绑定,并将其存储在自己的ARP缓存表中。
2.攻击原理在ARP欺骗攻击中,攻击者通过发送伪造的ARP响应报文,将目标主机的IP地址与自己的MAC地址进行绑定。
当目标主机收到该伪造的ARP响应报文后,会将攻击者的MAC地址存储到自己的ARP缓存表中。
然后,当其他主机需要与目标主机进行通信时,会将数据包发送给攻击者的MAC地址,攻击者可以拦截和篡改这些数据包,导致网络流量被劫持。
二、攻击过程分析1.发送ARP请求攻击者首先发送ARP请求报文,向网络中的所有主机请求目标主机的MAC地址。
这是一个广播的过程,所有主机都会收到该ARP请求报文。
2.伪造ARP响应目标主机收到ARP请求后,会根据请求方的IP地址将自己的MAC地址发送给请求方。
攻击者利用这个过程,伪造一个ARP响应报文,并将报文中的目标IP地址设为请求主机的IP地址,源MAC地址设为自己的MAC 地址。
3.欺骗目标主机目标主机收到伪造的ARP响应报文后,会将其中的目标IP地址与MA 地址进行绑定,并将其存储在ARP缓存表中。
此时,目标主机认为攻击者的MAC地址就是目标主机的MAC地址。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
校园网ARP欺骗攻击分析及解决办法张志刚(作者单位:浙江省开化县实验小学邮编:324300)摘要:ARP攻击是当前校园网遇到的一个非常典型的安全威胁,受到ARP攻击后轻者校园网会出现大面积掉线,重者会窃取用户密码。
目前,网上有关ARP资料较多,但作者发现:网上资料虽多但大多逻辑性和指导性均不强,甚至有一些还自相矛盾,不能自圆其说。
该文来自于一线网管员的工作实践,具有较强的针对性和操作性。
关键词:校园网、ARP、原理、方法正文:ARP攻击是当前校园网遇到的一个非常典型的安全威胁,受到ARP攻击后校园网内各终端电脑会出现大面积掉线、ARP包爆增、拷贝文件无法完成,出现错误、无法ping通网关,但重启机器后又可恢复上网等情况。
欺骗木马发作时还会窃取用户密码,如盗取QQ密码、盗取各种网络游戏密码和账号,盗窃网上银行账号来做非法交易活动等。
在08年的暑期,我县的教育城域网就爆发了一次较大的ARP攻击事件,前后持续时间近一个月,给全县教育系统的暑期办公培训及新学期的准备工作带来了较大的影响,攻击源来自于乡下某学校的一台老师忘记关机并感染了ARP病毒的的办公电脑。
作为一名学校的网管员,在与多起ARP欺骗攻击的的斗争过程中,对ARP 病毒相关基础知识、危害认识也越来越深刻,对如何在校园网内及时发现、有效防范查杀攻击源的具体处理上也有了一定的心得,现作一整理,供兄弟学校的各网管员们参考借鉴。
1.要了解APR病毒需先掌握的几个概念1.1:IP地址IP地址是出现频率非常高的词。
它类似于电话通迅中的电话号码,在我们的校园网中,为了区别每一台不同的计算机,我们需要给每一台计算机都配臵一个号码,这个号码我们就将它叫做IP地址,有了这个IP地址我们在利用网络进行上网、传递文件,进行局域网聊天时才不会将发送给A计算机的信息错发到其它的计算机上。
一般情况下,在校园网内一台计算机只分配一个IP地址,IP地址采用十进制数字表示,如192.168.0.25。
1.2、MAC地址:在现实生活中,我们每个人由于工作等原因会经常的搬家,每台计算机的IP地址在使用中就会发生变化。
IP地址发生变化了,为什么不会影响我们在网上收发信息呢?这主要是因为我们计算机的网卡MAC地址是不发生变化的。
MAC 地址也叫物理地址,它类似于我们每个人的身份证,是全球唯一的,只要MAC 地址这个计算机的身份证存在,我们在全球庞大的计算机网络中就总能找到自已的这台计算机。
MAC地址的长度为48位(6个字节),通常表示为12个16进制数,每2个16进制数之间用冒号隔开,如:00:0F:E2:70:70:BC。
XP系统环境下本机的IP与MAC地址信息我们可以执行IPCONFIG –ALL命令进行查询。
1.3、ARP(Address Resolution Protocol:地址解析协议)不管是在校园局域网中还是在广域网中,数据信息要从某种形式的链路上的初始节点出发,从一个节点传递到另一个节点,最终传送到目的节点。
如果仅仅依靠IP地址去传递信息是要发生错误的,因为IP地址是要发生变化的,在某些时候我们就需要将IP地址与MAC地址进行捆定,保证网络中信息传递的准确性,完成这个功能的就是ARP地址解析协议。
网络中的每台电脑,它都会收集网络上的各台计算机的IP地址与MAC地址信息,将它储存在一个叫“ARP缓存表”的地方,当机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP 地址对应的MAC地址后就会进行数据传输。
如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B 回答物理地址Pb。
网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。
其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。
接着使用这个MAC地址发送数据。
2.ARP欺骗的原理分析为便于阐述,在这我们假设有一个有三台计算机甲、乙、丙组成的局域网,其中甲感染了ARP木马病毒。
正常情况下,甲的地址为:IP:192.168.1.1 MAC: AA-AA-AA-AA-AA-AA,乙的地址为:IP:192.168.1.2 MAC: BB-BB-BB-BB-BB-BB ,丙的地址为:IP:192.168.1.3 MAC: CC-CC-CC-CC-CC-CC。
当计算机甲上运行了ARP欺骗程序,向乙或丙发送了ARP欺骗包后,基于乙、丙对甲的完全信任关系,乙或丙计算机会自动更新本地的ARP缓存,将错误的IP与MAC地址信息替代了正确的信息对应表,这样当然也就不能保证乙、丙两台计算机能顺畅地对外通讯了。
在校园网中,问题会随着ARP欺骗包针对网关而变本加厉,当局域网中一台机器,反复向其他机器,特别是向网关,发送这样无效假冒的ARP应答信息包时,严重的网络堵塞就会开始。
由于网关MAC地址错误,所以从网络中计算机发来的数据无法正常发到网关,自然无法正常上网。
这就造成了无法访问外网的问题,另外由于很多时候网关还控制着我们的局域网LAN上网,所以这时我们的LAN 访问也就出现问题了3.校园网ARP病毒的预防措施及感染后的分析及处理3.1、校园网ARP病毒的五条预防措施:措施1、及时升级客户端的操作系统和应用程序补丁。
措施2、安装和更新杀毒软件及ARP专用防火墙。
措施3、如果网络规模较小,尽量使用手动指定IP设臵,而不是使用DHCP 来分配IP地址。
措施4、如果交换机或路由器支持,在交换机或路由器上绑定MAC地址与IP 地址。
措施5、在校园网正常运行时,备份一份网关与知终端的IP地址与MAC地址正常对应表,最好包含计算机名信息。
现今学校一般都通过路由器上网,两地址信息均可在路由器的WEB设臵页面中找到,也可以使用网上常见的一些专业MAC地址扫描工具得到正确的地址信息。
3.2、ARP病毒感染后的分析及处理校园网如果还是不幸中招,出现本文第一段所说的那些症状时,我们首先应该判断是否为ARP病毒的原因,点击“开始”按钮->选择“运行”->输入“arp –d”->点击“确定”按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。
arp-d命令用于清除并重建本机arp表。
arp–d 命令并不能抵御ARP欺骗,执行后仍有可能再次遭受ARP攻击。
如果计算机安装有ARP防火墙的话,也会在屏幕的右下角跳出报警信息,当确诊为ARP病毒是时,我们可以采取以下方法进行校园网的修复处理。
第一步:首先保证网络正常运行。
在桌面上新建一个名为ARP文本文件,用记事本写下:@echo offarp -darp -s 网关IP MAC地址保存后将记事本后缀名改名BAT(批处理文件)。
将这个批处理文件发送给各计算机端,当遭受ARP攻击时,将它执行一遍,重新绑定网关的IP-MAC地址信息后就OK了。
第二步:找到感染ARP病毒的机器。
第一种判断方法:如果在你的周围有多台电脑均不能正常上网,出现时常掉线的情况,而你的电脑却安然无恙,数据通信正常,请不要沾沾自喜,这说明你的机器已经中了arp病毒,需要及时断网杀毒。
第二种判断方法:使用arp-a命令任意选两台不能上网的主机,在DOS命令窗口下运行arp-a命令。
如图1,两台电脑除了网关的IP,MAC地址对应项,都包含了192.168.0.54的这个IP,则可以断定192.168.0.54这台主机就是病毒源。
一般情况下,网内的主机只和网关通信。
正常情况下,一台主机的ARP缓存中应该只有网关的MAC 地址。
如果有其他主机的MAC地址,说明本地主机和这台主机最后有过数据通信发生。
如果某台主机(例如上面的192.168.0.54)既不是网关也不是服务器,但和网内的其他主机都有通信活动,且此时又是ARP病毒发作时期,那么,病毒源也就是它了。
第三种判断方法:在故障机上使用ARP -a的命令看得到的网关对应的MAC 地址是否与网关真实地址相符,如不符,可去查找与该MAC地址对应的电脑。
第四种判断方法:使用ARP防火墙(例如360ARP防火墙)软件,360ARP防火墙拦截到外部ARP攻击后,可通过拦截界面“追踪攻击源IP”来精准定位局域网内攻击源,方便网管及时查询局域网内攻击源,及时解决问题。
第三步:在学校路由器的WEB页面上网过滤功能设臵中暂时停止病毒源主机的上网行为。
考虑到校园网的各终端主机来源比较复杂,有一些来自于老师的笔记本电脑,有时根据MAC地址很难确定是某位老师的电脑,我们可以利用路由器的MAC地址过滤功能暂停该机的上网功能,待确定计算机主人后再通知其使用ARP专杀工具查杀病毒。
这样就保证了校园网的健康运行。
目前的路由器一般都有“上网黑白名单”的功能设臵,操作也较简单。
以上的分析查杀过程,在配备简陋的学校校园网内均可实现,基本上可以将ARP病毒的危害降至最低。
目前市场上很多的路由器厂商专门推出一些具有ARP 病毒防护功能的路由器,它可以在路由器端绑定IP与MAC地址正确信息并按一定频率向网络广播,该种路由器再配合客户端的双向绑定,在ARP的防治上效果非常不错,能还你一个波澜不惊、风平浪静的校园网环境,值得一试!但有些ARP防火墙会将路由器的广播视作是ARP攻击。
配备一个功能强大的路由器不仅对ARP的防治有较好的效果,网管员们如仔细分析利用好路由器的系统运行信息,对其它网络病毒的防治诊断也有很好的帮助作用。
台上一分钟,台下十年功,校园网网管员平时的工作默默无闻,网络病毒将我们推上了表演的前台,我们网管员们要想立于不败之地,实现自身价值,一个重要的前提就是平时要做好校园网基本信息知识的积累整理工作,练好内功,加强软实力,这样才能在校园网的一些突发事件面前,做到从容不迫、大将风度。