2024年5月8日发(作者:)
校园网管理之ARP病毒的防护
内容简介:本文就校园网出现ARP病毒的产生原因,处理方法,进
行了实际讲解。本文对校园网的管理能起到一定的辅助作用。
关 键 词:ARP病毒
原文:
我校自01年起就建设成功了校园网,并已正常运行了好几年,可
这段时间总有老师反映:计算机上网不是很好,经常出现掉线,上网速
慢等故障现象,本人就此问题认真分析,排查最终发现故障原因为部分
机器中了ARP病毒所致,最后加以处理,系统恢复正常运转。那么为
什么ARP病毒会导致整个网络出现瘫痪现象呢?本文就ARP病毒的
发生机理,以及本人的处理方法谈谈,仅作抛砖引玉。
一、什么是ARP?
ARP是“Address Resolution Protocol”(地址解析协议)
的缩写,它工作在tcp/ip协议的网络层。
它的功能是通过目标设备的IP地址,查询目标设备的MAC地
址。那么为什么数据通讯一定需要知道MAC地址呢?因为在以太网
中,一个主机和另一个主机进行通信,本质上是通过MAC地址来锁
定目的计算机的,因此仅知道对方机器的IP地址,是无法来进行数
据的交换,要进行数据交换必需先通过地址解析协议(ARP)获得对
方的MAC地址,然后根据获得的MAC地址来进行数据交换,也可
以这么说“地址解析过程”就是主机在发送数据帧之前将目标IP地
址转换成目标MAC地址的过程。
在实际应用中,每台安装有TCP/IP协议的电脑里都有一个ARP
缓存表,表里的IP地址与MAC地址是一一对应的,计算机要同另
外一台计算机进行通讯,首先要在这个缓冲表里找,看是否有目标机
的IP地址,如果找到就使用对应的MAC地址来进行通信。如果没
有找到,计算机会通过ARP广播的方式请求目标计算机返回目标计
算机的MAC地址,然后用返回的MAC地址来进行通信。
二、什么是ARP病毒?
ARP病毒是通过中毒计算机向网络设备发送伪造IP地址和
MAC地址的ARP包,来达到欺骗网络设备并对网络数据交换进行干
扰,以造成传输过程出现错误为目的的病毒。ARP病毒大概可以通
过以下两种方式来进行:一种是对路由器ARP表的欺骗,这种方法
造成整个网络IP地址的混乱,最终使路由器数据转发时发生错误,
另一种是修改局域网内计算机ARP缓冲表中网关对应的MAC地址
来进行欺骗计算机,让被欺骗计算机的数据包通过假网关来发送,以
达到数据包不可达的结果。我校发生ARP病毒为第二种,后面就这
种原因的病毒,谈谈处理方法。
三、如何判断中ARP病毒的方法
ARP病毒攻击常会造成内网IP或MAC冲突,出现短时间内部
份断线。上网时感觉网络经常掉线,重新开机或修复本地连接(或先
停用再启用)后又能上一会儿。不断弹出“本机的XXX段硬件地址
与网络中的XXX段地址冲突”的对话框。 对于此类arp攻击,在
病毒发作时,我们可任找一台机器,点开始运行,输入“CMD“,
开启DOS窗口并输入“arp -a” 命令, 会发现很多不同IP地址有着
相同的MAC地址表现象。
故障如图:
从上图可以看到地址为 192.168.1.1 和192.168.1.252的
MAC地址是一样的,而192.168.1.1又是计算机的网关地址,所以
本应向正确网关发送的数据却会转向错误地址192.168.1.252发送,
可是192.168.1.252却不具备网关转发功能,所以最终导致上网中断
现象。
四、ARP病毒处理方法。
1、在网络PC上APR缓冲表中锁定网关的IP和MAC地址,保护机
器能够正常上网
1)首先获得网关的内网的MAC地址
假如:网关地址192.168.1.1的MAC地址为000faa0022aa。
2)编写批处理文件kill_内容如下
@echo off
arp -d
arp -s 192.168.1.1 00-0f-aa-00-22-aa
将这个批处理软件拖到“windows--开始--程序--启动”中,然后
重新启动计算机。
2、在网络上找到发出虚假ARP数据包的中ARP病毒的计算机,有
下面两种方法。
1)通过网卡的混杂模式来寻找中毒计算机
因为所有的ARP攻击源都会有其特征——网卡会处于混杂模
式,可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处
于混杂模式的,从而判断这台机器有可能就是“元凶”。定位好机器
后,再做杀毒或系统重装处理。
2)通过ARP缓冲表中的错误MAC地址来查找中病毒计算机。
首先在DOS窗口下直接Ping网关IP,完成Ping后,迅速用
ARP –a查看网关IP对应的MAC地址,此MAC地址应该为欺骗
的MAC,记下来。然后通过使用软件NBTSCAN可以取得的本网段
所有计算机的真实IP地址、机器名和MAC地址表,再进行比对,
看那个IP的MAC地址和欺骗的MAC一致,发现后我们就可以锁定
的到病毒计算机的IP,机器名,找到中病毒的计算机以后进行杀毒安
装系统等处理。
例:命令:“nbtscan -r 192.168.16.0/24”(搜索整个
192.168.16.0/24网段, 即192.168.16.1-192.168.16.254);或
“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段,
即192.168.16.25-192.168.16.137。输出结果第一列是IP地址,最
后一列是MAC地址。
3)做好防毒工作,下载安装微软MS07-17补丁。
4)对网内所有计算机的MAC地址和IP地址进行登记。
四、结语
通过上述操作,我们很快的找到了中ARP病毒的计算机,然
后进行杀毒处理,现系统运行正常,这起病毒引发的故障让我们深深
体会到ARP缓冲表正确性对一个网络系统的正常运转的重要性。
发布评论