收藏
下载资源 加入VIP免费专享

浅谈ARP病毒在局域网中的分析处理及防御.ppt

上传人:田海滨 文档编号:118765 上传时间:2025-07-10 格式:PPT 页数:27 大小:203.50KB
下载 相关 举报
浅谈ARP病毒在局域网中的分析处理及防御.ppt_第1页
第1页 / 共27页
浅谈ARP病毒在局域网中的分析处理及防御.ppt_第2页
第2页 / 共27页
浅谈ARP病毒在局域网中的分析处理及防御.ppt_第3页
第3页 / 共27页
浅谈ARP病毒在局域网中的分析处理及防御.ppt_第4页
第4页 / 共27页
浅谈ARP病毒在局域网中的分析处理及防御.ppt_第5页
第5页 / 共27页
点击查看更多>>
资源描述

1、恃戒坪凛烩龄及鼓抢磋逢预斡韭坯腿歪盛箕身赏告蚀蚌闯刑闻爵冉闸萤绰浅谈ARP病毒在局域网中的分析处理及防御浅谈ARP病毒在局域网中的分析处理及防御ARP ARP ARP ARP 病毒在局域网中的病毒在局域网中的病毒在局域网中的病毒在局域网中的分析处理及防御分析处理及防御分析处理及防御分析处理及防御赖谓仲黍王泄疹又鹤享驮壳拷衫殷吓灭娇释狐拴钵车刷付繁宝蛤蚜赃挚醉浅谈ARP病毒在局域网中的分析处理及防御浅谈ARP病毒在局域网中的分析处理及防御 本文将对局域网中发生的ARP病毒故障现象及故障诊断进行介绍,同时介绍ARP协议的工作原理及常见的ARP病毒的攻击方式,以及如何处理和防御ARP病毒攻击的方法,

2、以达到全面防御维护局域网网络安全的目的。关键词:地址解析协议,ARP欺骗,网络安全 瓷溪迷与柬缔镁急熔递僳饺赏每期奥炒诌临呸脚叶照垦板擦噶段陈隆敝糕浅谈ARP病毒在局域网中的分析处理及防御浅谈ARP病毒在局域网中的分析处理及防御目目 录录 一、一、ARPARP病毒的故障现象病毒的故障现象四、四、ARPARP病毒的故障诊断病毒的故障诊断二、二、ARPARP协议的工作原理协议的工作原理三、三、ARPARP病毒攻击方式病毒攻击方式五、五、ARPARP病毒的故障处理病毒的故障处理六、预防措施六、预防措施虚苹巨廷惩冀潍猫除硷凄剁蔽屁狄如栋涟蔼睹驻哄膀听夷驭号淡褥候侈诱浅谈ARP病毒在局域网中的分析处理及

3、防御浅谈ARP病毒在局域网中的分析处理及防御 我们知道,当我们在浏览器里面输入网址时,DNS服务器会自动把它解析为IP地址,浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物理地址(即MAC地址)的呢?在局域网中,这是通过ARP协议来完成的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量,使网络阻塞。讳审拐泊揉贿驳环糖季擞警承瓢郁淋宰瑞腮宫巷钢剿我贰匈掉枣酵湘尊戒浅谈ARP病毒在局域网中的分析处理及防御浅谈ARP病毒在局域网中的分析处理及防御一、一、ARPARP病毒的故障现象病毒的故障现象 ARP病毒现象

4、表现为:计算机网络连接正常,网络运行不稳定,无法PING通网关的IP地址、但可以PING通自己的IP地址,上网时会突然掉线,过一段时间后又会恢复正常。比如出现用户频繁断网,IE浏览器频繁出错等现象。重启电脑或在 MS-DOS窗口下运行命令arp-d后,又可恢复上网。抑蒂死场样已廊桶呜哥仍藐凹懦鸦焕垛宜态家减箍跑檀敞聪连湛陈悄象对浅谈ARP病毒在局域网中的分析处理及防御浅谈ARP病毒在局域网中的分析处理及防御二、二、ARP协议的工作原理协议的工作原理1、什么是ARP协议 IP数据包常通过以太网发送。以太网设备并不识别32位IP地址,它们是以48位以太网地址传输以太网数据包的。因此,必须把目的IP

5、地址转换成目的MAC 地址。在这两种地址之间存在着某种对应的映射,常常需要查看一张表。地址解析协议(Address Resolution Protocol,ARP)就是用来确定这些映像的协议。在局域网中,就是通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。这个目标MAC地址是通过地址解析协议即ARP协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询

6、目标设备的MAC地址,以保证通信的顺利进行。郑棕姆匙私点瓢菊盘估春事奸奎避栽抉限鼓矿吹贤哼妓张檬谚贯聚肩熏钮浅谈ARP病毒在局域网中的分析处理及防御浅谈ARP病毒在局域网中的分析处理及防御 每台安装有TCP/IP协议的计算机主机里都有一个ARP缓存表,表中的IP地址 MAC地址是一一对应的,如表 1 所示:表 1 地址解析协议缓存地址表 值得注意的一点是:ARP 缓存表采用了一种老化机制,在一定的时间内如果某一条记录没有被使用过就会被删除。这样可以大大减少ARP 缓存表的长度,加快查询速度。主机IP地址MAC地址A192.168.1.1 AA-AA-AA-AA-AA-AA B192.168.1

7、2BB-BB-BB-BB-BB-BB C192.168.1.3CC-CC-CC-CC-CC-CC 惯挝人辱凡尿届雄亭最筹谩蜀卯迪吊奈洁嘶藻郡龙茎烙时苞运善剁戌滞柔浅谈ARP病毒在局域网中的分析处理及防御浅谈ARP病毒在局域网中的分析处理及防御2、什么是ARP欺骗 ARP欺骗是一种利用计算机病毒使计算机网络无法正常运行的计算机攻击手段。包括进行对主机发动IP冲突攻击、数据包轰炸,切断局域网上任何一台主机的网络连接等。主要有以盗取数据为主要目的的ARP欺骗攻击,感染的计算机试图通过“ARP 欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。ARP的攻击问题影响很大

8、局域网内一旦有ARP的攻击存在,会欺骗局域网内所有的主机和网关,让所有上网的流量必须经过ARP攻击者控制的主机。其它用户原来直接通过网关上网,现在却转由通过被控主机转发上网。由于被控主机性能和程序性能的影响,这种转发并不会非常流畅,因此就会导致用户上网的速度变慢甚至频繁断线。另外ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网网络拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网无法上网,严重的可能带来整个网络的瘫痪。孔姐夸集裁辊貌侈六鞭锻腾泉悔侈饼隋赤节车部刻爬凡泡货丑遇愉郴零睬浅谈ARP病毒在局域网中的分析处理及防

9、御浅谈ARP病毒在局域网中的分析处理及防御3、ARP协议的工作原理协议的工作原理 首先,每台主机都会在自己的ARP缓冲区中建立一个 ARP列表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址,如果有就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。槽攫颅账蹈氓烙邵聋命帽爪银涅炉西梨渔酥惨拐艳重踪床件宗隔山仔升作浅谈ARP病毒在局域网中的分析处理及防御浅谈

10、ARP病毒在局域网中的分析处理及防御网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个 ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。弥揉甚阵欲网搅彻镇鸦议贞拧磁怯庸邱镀志壮荷矗曰偶稿氰碘淬绅弟嫌宦浅谈ARP病毒在局域网中的分析处理及防御浅谈ARP病毒在局

11、域网中的分析处理及防御三、ARP病毒攻击方式 从影响网络连接通畅的方式来看,ARP攻击分为两种,一种是ARP泛洪;另一种是ARP欺骗。ARP 泛洪:受ARP病毒感染的主机不断向本地网络内其他主机发送大量的错误ARP应答报文,导致受攻击主机的ARP表中的真实的ARP条目被刷新掉。因为错误的ARP条目占用了整个ARP表。所以,受攻击主机就不能完成正确的二层寻址,也就不能实现Internet的访问。这种攻击的现象是,受攻击主机即不能访问本地网络,也不能访问外部网络。礁搁慈硷翌穷撤郴元成经造驯汹碾下蝴祷辞倡继惫沪熊身纠奢渤饺狰蠕涧浅谈ARP病毒在局域网中的分析处理及防御浅谈ARP病毒在局域网中的分析处

12、理及防御 ARP欺骗:受ARP病毒感染的主机伪造IP地址为网关地址,MAC地址为本机MAC地址的虚假ARP应答报文发送给本地网络内的主机,以刷新受攻击主机的正确的网关的ARP条目,诱使受攻击主机将原本发往网关的数据包发送到感染ARP病毒的主机上。攻击者通常利用这种方法来窃取被攻击者的数据包中的信息。这种攻击的现象是,受攻击主机访问外部网络时断时续,但是访问本地网络时不受影响。倍黔措缎包呆齿拈景肘朗挖曾这炉泌蝶功绵硼沈睫疟淬园扑污守柠贡彝瘪浅谈ARP病毒在局域网中的分析处理及防御浅谈ARP病毒在局域网中的分析处理及防御四、四、ARPARP病毒的故障诊断病毒的故障诊断 如果用户发现计算机网络连接正

13、常,网络运行不稳定,频繁断网。可以通过如下操作进行诊断:点击“开始”按钮 选择“运行”输入cmd 再输入“arp-d”-点击“确定”按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。注:可以先用arp-a命令查看一下,再用arp-d清除主机arp表。主机的arp表被清空。如果这时可以正常上网,过一段时间又不能上网,再重复前面的过程又可以上网。则说明受到ARP攻击。孪苇浪秽色苍揣插讯辖钎倚架蒲谅庄淹伐傈惶郁休篇律有杰虽喝筛嘘予够浅谈ARP病毒在局域网中的分析处理及防御浅谈ARP病毒在局域网中的分析处理及防御五、ARP病毒的故障处理(一)、(一)、从交换机上进行IP地址

14、与MAC地址绑定设置 从交换机的角度,可以使用命令进行IP 地址和 MAC地址的绑定。以中兴ZXR10 解决方案为例,中兴ZXR10在交换机上提供 IP 地址和 MAC 地址的绑定功能,并建立绑定关系。在进行 ARP 绑定前首先要确定网络是正常运行的,然后再进行ARP 绑定设置。这样可以有效地提高网络安全性和稳定性。当更换电脑网卡时要更新静态 ARP 映射表。否则由于更换了网卡的主机的 MAC 地址与 ARP 表中的不一致,也会导致无法上网,应相应的给予修改。掉梯樱捡湛玲沟盏冬腮傲卢烽腊缎偏视泥款企肺嗣蛔飞假辱导宏雷莲劝耸浅谈ARP病毒在局域网中的分析处理及防御浅谈ARP病毒在局域网中的分析处

15、理及防御博品榷样呆璃蕴妖澄谓拱保硕镣苑腺捅六配诞组呈洱由接掠敏缩苍婆忻棒浅谈ARP病毒在局域网中的分析处理及防御浅谈ARP病毒在局域网中的分析处理及防御(二)、从(二)、从客户端主机进行 ARP 绑定设置处理方法 步骤一:在能上网的时候点击“开始开始”按钮 选择“运行运行”输入cmd 输入“arp arp-a a”则会显示网关的正确MAC 地址和IP地址(记录下来为以后查杀ARP病毒做准备)。如果不能上网,则先运行一次“arp-d”,将arp缓存中的内容清空,计算机可暂时上网。步骤二:已经有网关正确的MAC地址和IP地址,手工将MAC 地址和IP地址绑定,计算机可以免受ARP攻击的干扰。手工绑

16、定可在MS-DOS下运行以下命令:“arp-s 网关IP地址 网关MAC地址”例如:在运行中输入cmd 输入“arp-a”命令,则会显示局域网网关的IP 地址和MAC地址,如下图:Internet Address Physical Address Type 60.2.11.1 00-19-C6-07-5A-21 dynamicI(动态)尉扁坦欣歧我湿眼屈颜屿置哄喉渴孩戏三盼胎匣菲喷淳物妮籍汽竭笼啊汁浅谈ARP病毒在局域网中的分析处理及防御浅谈ARP病毒在局域网中的分析处理及防御面腿灭勃弘乌戎蜒腮苍在梯溯审辨遍鸡躁扳婿稳垦菌捐养晶智阁豹宛凡惭浅谈ARP病毒在局域网中的分析处理及防御浅谈ARP病毒

17、在局域网中的分析处理及防御 那么手工绑定的命令为:“arp-s 60.2.11.1 00-19-C6-07-5A-2100-19-C6-07-5A-21”(注意要写自己局域网网关的IP地址和MAC地址)。绑定完可再用“arp-a”命令查看arp 缓存表,则会发现网关类型变成了静态:Internet Address Physical Address Type 60.2.11.1 00-19-C6-07-5A-21 static(静态)巍辉师镊串闲共哄惑搏军絮窑亡贮讨掘蚊熟撮浪猪摄绅小瓶爹蛾放塑钾之浅谈ARP病毒在局域网中的分析处理及防御浅谈ARP病毒在局域网中的分析处理及防御恋得丽参霞索啊划旷躇

18、琅寥听泛赐骂庙壳苹流乍硼狗伪丛骨蘑亭襄缮屉拷浅谈ARP病毒在局域网中的分析处理及防御浅谈ARP病毒在局域网中的分析处理及防御 但是,需要说明的是手工绑定在计算机关机重开机后就会失效,需要再绑定。我们可以编写一个批处理文件,放到启动项中,这样每次开机都会运行这个程序,可以防止arp 攻击。请按照以下步骤操作:1)编写一个批处理文件arp.bat内容如下:如图所示:echo offarp-darp-s 60.2.11.1 00-19-C6-07-5A-21羊莱闰仟卤傲奄段浮墩攻嘉沉娠绳矾朔澳兄聘织绽芭繁瓢搞身抽迄春规峦浅谈ARP病毒在局域网中的分析处理及防御浅谈ARP病毒在局域网中的分析处理及防御

19、 将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。竹哨请兽瘤迁待裸端煌衔捏斗羊禄岸颂警妥氰脑轰埂手缕撮慢宋介吕蛛钒浅谈ARP病毒在局域网中的分析处理及防御浅谈ARP病毒在局域网中的分析处理及防御用窟染种已址胳莎枪捆斗吴误邀倒秀惊旭叁寨猎赠笆阂唇吴凯综柔隅谩临浅谈ARP病毒在局域网中的分析处理及防御浅谈ARP病毒在局域网中的分析处理及防御 2)保存文件夹(自启动文件夹):C:Documents and SettingsAll Users开始菜单程序启动 (注意,一定是All Users目录下)3)重起计算机 4)操作完成后可以看到:桌面开始菜单所有程序启动arp.b

20、at,切记不要删!注:此方法要是换网段的话要重新设置。所以要彻底消除攻击则要找出被病毒感染的计算机,杀除arp病毒,方可解决。坦蝇诅咆几邵柬丝燃杨莫嫉窗壶闯嗜纯归飘爬伟慨媚疥罢党钝弛者邦刨铆浅谈ARP病毒在局域网中的分析处理及防御浅谈ARP病毒在局域网中的分析处理及防御(三)、(三)、找出受病毒感染的计算机找出受病毒感染的计算机并查杀病毒并查杀病毒 目前关于ARP类的防护软件出的比较多,结合使用软件可以找到受病毒感染计算机的MAC 地址和IP地址,也就找到了该计算机。Anti Arp SnifferAnti Arp Sniffer是一款检测网络内存在ARP木马欺骗的工具。当怀疑网络内存在ARP

21、木马时,可使用此工具来进行自我保护。或者设置为自动运行,可以免受ARP欺骗木马的感染。网络内存在ARP 欺骗木马时的症状通常如下:物理网络正常的情况下,网络不稳定,上网时断时续。或者是突然不能连接互连网。这时您可以使用Anti Arp Sniffer来进行自我保护。更深入一步,也可以检测到感染ARP欺骗木马的主机地址和MAC地址,这时我们可以和网管人员一起来找出病源,专门针对该机器进行病毒的查杀。首先要升级防病毒软件的病毒定义码,使得防病毒软件的病毒库为最新。然后断开网线,查杀病毒。堑宁泅翁涡擦瘫体型赵餐刮观阳典邪烁苹伊藩相吝歧予栈唉戍勃证嘻臭剑浅谈ARP病毒在局域网中的分析处理及防御浅谈AR

22、P病毒在局域网中的分析处理及防御仇界濒撩聚饺池毅浸磁喂绸靡誉舵节铣骄森克唱敷聘型损膘管达臀盒八岗浅谈ARP病毒在局域网中的分析处理及防御浅谈ARP病毒在局域网中的分析处理及防御六、预防措施:机器被感染病毒,主要是防范意识薄弱,即使你的机器现在清除了该病毒,但以后仍然会感染新的病毒(包括该病毒变种及其他病毒)。为了有效防范来自病毒、黑客的网络攻击,要养成良好的使用习惯。1、不要随便点击打开QQ、MSN等聊天工具上发来的链接信息,不要随便打开或运行陌生、可疑文件和程序,如邮件中的陌生附件,外挂程序等;2、及时更新防病毒软件的病毒定义码,建议安装并使用网络防火墙软件。网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。3、给系统管理员帐户设置足够复杂的密码,最好能是12位以上,字母+数字+符号的组合。4、下载后的文件或文档在打开前一定要先杀毒,确保它安全再打开。缩释仁椅伙闻弊瘴艇振惕面短碱嵌磅角综橙缎酪橡丰才春埂胀鉴励化单豫浅谈ARP病毒在局域网中的分析处理及防御浅谈ARP病毒在局域网中的分析处理及防御 结 束 不妥之处,敬请指出!谢谢大家!2008年11月旭臂腔谰允脸宗莆亏探住烛搐巩础韭孺笨墒项银诚鲍骤宽未劫膘颖恼惫拂浅谈ARP病毒在局域网中的分析处理及防御浅谈ARP病毒在局域网中的分析处理及防御

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > IT计算机 > 网络信息安全

宁ICP备18001539号-1