2024年5月8日发(作者:)
第16期总第218期
2010年8月
内蒙古科技与经济
Inner Mongolia Science Technology&Economy
No.16.the 218th issue
Aug.2010
除 方法
浅析医院局域网ARP病毒及 其清
贾彦萍
(包头医学院第二附属医院信息科,内蒙古包头014030)
摘 要:文章介绍了ARP病毒、现象及其工作原理,并结合实际情况,给出了一些实用性较强且操
作简单的有效清除及防范的方法。
关键词:ARP;ARP病毒;清除方法;医院局域网
中图分类号:TP393.08 文献标识码:A
在当今网络信息化时代,网络的开放性和共享
性在方便了人们使用的同时,也使得网络容易遭受
到攻击,其中利用ARP协议漏洞对网络进行攻击就
是其中的一种重要方式,其后果是严重的。
1 什么是ARP病毒
ARP病毒也叫做ARP地址欺骗类病毒,是一
类特殊的病毒。该病毒一般属于木马病毒,不具备主
动传播的特性,不会自我复制,但是由于其发作的时
候会向全网发送伪造的ARP数据包,严重干扰全网
的正常运行,其危害甚至比一些蠕虫病毒还要严重
得多。
2 ARP病毒现象
ARP病毒发作时,通常会造成网络掉线,但网
络连接正常,内网的部分电脑不能上网,或者所有电
脑均不能上网,无法打开网页或打开网页慢以及局
域网连接时断时续并且网速较慢等现象,严重影响
到局域网的正常运行。更为严重的是,ARP病毒新
变种出现了新特征,该类ARP病毒同样是向全网发
送伪造的ARP欺骗广播,但病毒把自身伪装成网
关,在所有用户请求访问的网页添加恶意代码,导致
杀毒软件在用户访问任意网站均发出病毒警报。包
头医学院第二附属医院局域网正是遭到了该新型
ARP病毒的攻击。
3 ARP病毒的攻击方式
3.1 中间人攻击
中间人攻击就是攻击者将自己的主机插入iN个
目标主机通信路径之间,使他的主机如同两个目标
主机通信路径上的一个中继,这样攻击者就可以监
听两个目标主机之间的通信。
3.2拒绝服务攻击
拒绝服务攻击就是使目标主机不能响应外界请
求,从而不能对外提供服务的攻击方法。
3.3 克隆攻击
攻击者首先对目标主机实施拒绝服务攻击,使
其不能对外界作出任何反应。然后攻击者就可以将
自己的IP与MAC地址分别改为目标主机的IP与
MAC地址,这样攻击者的主机变成了与目标主机
~
样的副本。
4 ARP协议的工作原理
正常情况下,每台主机都会在自己的ARP缓冲
区中建立一个ARP列表,以表示IP地址和MAC地
址的对应关系。当源主机需要将一个数据包要发送
到目的主机时,会首先检查自己ARP列表中是否存
在该IP地址对应的MAC地址,如果有,就直接将
数据包发送到这个MAC地址;如果没有,就向本地
网段发起一个ARP请求的广播包,查询此目的主机
对应的MAC地址。此ARP请求数据包里包括源主
收稿日期:2O1O一05—18
文章编号:1OO7—6921(201O)17一O091一O1
机的IP地址、硬件地址以及目的主机的IP地址 网
络中所有的主机收到这个ARP请求后,会检查数据
包中的目的IP是否和自己的IP地址一致。如果不相
同就忽略此数据包;如果相同,该主机首先将发送端
的MAC地址和IP地址添加到自己的ARP列表中,
如果ARP表中已经存在该IP的信息,则将其覆盖,
然后给源主机发送一个ARP响应数据包,告诉对
方自已是它需要查找的MAC地址;源主机收到这
个ARP响应数据包后,将得到的目的主机的IP地
址和MAC地址添加到自己的ARP列表中,并利用
此信息开始数据的传输。
5清除方法
5.1 清空ARP缓存
如果是遇到使用ARP欺骗工具来进行攻击的
情况,可以通过ARP的指令来清空本机的ARP缓
存对应关系,让网络设备从网络中重新获得正确的
对应关系,具体解决过程如下:
第一步:通过点击桌面上任务栏的“开始”一“运
行”,然后输入cmd一回车,进入cmd命令行模式。
第二步:在命令行模式下输入arp—a命令来查
看当前本机储存在本地系统ARP缓存中IP和MAC
对应关系的信息。
第三步:使用arp—d命令,将储存在本机系统
中的ARP缓存信息清空,这样错误的ARP缓存信
息就被删除了,本机将重新从网络中获得正确的
ARP信息,达到局域网机器间互访和正常上网的目
的。
如果是感染ARP欺骗病毒,病毒每隔一段时间
自动发送ARP欺骗数据包,这时使用清空ARP缓
存的方法将无能为力了。
5.2 指定ARP对应关系
该方法强制指定ARP对应关系。由于绝大部分
ARP欺骗病毒都是针对网关MAC地址进行攻击
的,使本机上ARP缓存中存储的网关设备的信息出
现紊乱,这样当机器要上网发送数据包给网关时就
会因为地址错误而失败,造成计算机无法上网。
第一步:我们假设网关地址的MAC信息为00
—
14~78一a7—77—5c,对应的IP地址为192.168.
2.1,指定ARP对应关系就是指这些地址。在感染了
病毒的机器上,点击桌面一任务栏的“开始”一“运
行”,输入cmd一回车,进入cmd命令行模式。
第二步:使用arp—s命令来添加一条ARP地
址对应关系,例如arp—s 192.168.2.1 00—14—78
a7~77—5c命令。这样就将网关地址的IP与正确
的MAC地址绑定好了,本机网络连接将恢复正常
了。
第三步:因为每次重新启动 (下转第93页)
・
91・
金华明・装载机常见故障分析及处理方法 2010年第16期
顿的时间也会相应延长,工作负荷越大,越感到动力
针、逆时针转动外环齿轮。良好者应是顺时针能转
不足。
动,逆时针不能转动。若顺时针、逆时针都能转动,说
3.2 Ⅱ挡行驶aY-常,突然工作无力
明其已经损坏。有时顺时针能转动,逆时针不能转
装载机平时工作良好,Ⅱ挡行驶正常,但会突然 动,这也不能说明其是良好的。此时,若振动几下外
出现工作无力现象。检查时若发现变速箱液压油没 环齿轮,使其与内环凸轮及滚柱的相对位置有较小
有变质,油位符合要求且油底滤网没有堵塞,变速压 的变化或调整,若出现顺时针、逆时针都能相对转动
力也正常,这说明超越离合器已损坏失效。
的情况,说明超越离合器已经损坏;若只能顺时针转
3.3 变速箱突发异响,车速骤减
动,且转动时有滚柱旷动的声音,并且手感有松旷的
装载机以较高速度行驶时,突然在变速箱部位 感觉,这也是超越离合器损坏的表现。上述3种损坏
发出较大的机械异响,随即像是被制动似的车速骤 情况会造成以上3.1~3.4项中所述故障现象。若顺
减,此时松开油门、停住车,无须摘挡,怠速运转一会 时针、逆时针都不能转动,说明其外环齿轮与内环凸
儿,异响即消失,然后踏下油门,机车行驶恢复正常。 轮已咬死,会出现上述第3.5种故障现象。
这种现象若不时地出现,这是由于超越离合器的滚
一
般说来,凭经验对超越离合器总成进行检查
柱有发卡现象所致,滚柱本应在不工作位置而现在 时,应注意装载机解体前各种工况下的工作情况,且
卡在了工作位置,使原来不参加工作的一级涡轮输
只能检查出损坏较大、较严重的故障,而对于其锁紧
出齿轮与超越离合器的外环齿轮间断地工作,致使 性能不良但尚能锁紧的故障,在装载机又工作不良
齿轮发出较大的撞击声,同时产生较大的制动力。 的情况下是不能被检查出来的,必须用一定的仪器
3.4起步或换挡时,车辆反应迟缓
来检查。因超越离合器损坏而使装载机性能不良时,
装载机作业中,挂挡时手感节奏正常,挂挡杆无 应根据其变速压力、挂挡手感、换挡时压力变化等特
松旷现象,变速压力及换挡时的反应也正常,但在装
点,结合装载机的使用情况对超越离合器进行检查
载机起步、换挡时有时车辆反应较缓慢。这是因为超 并做出较为正确的检查结论。
越离合器外环齿轮与内环凸轮接合不良、锁死缓慢
超越离合器的损坏一般表现为滚柱、外环齿轮
所致。
的内轨道、内环凸轮的楔形面磨损超限或挤压变形,
3.5 Ⅱ挡、I挡速度无区别
使外环齿轮与内环凸轮不能锁紧或卡死而不能分
有的装载机在低速、重载时工作有力,但变矩器
离;工作弹簧压盖损坏,弹簧折断、变形、变软而失去
油温升高较快,并且Ⅱ挡与I挡的速度无区别。这是 作用,使滚柱不能顶在内环凸轮楔形面较高的位置
因为超越离合器的滚柱卡死在工作位置,使外环齿
上而起到锁死作用;隔离环损坏或变形、松旷,使滚
轮与内环凸轮始终处于接合的状态,即一、二级涡轮
柱、弹簧脱落,或使滚柱不能顶在楔形面的高位处。
一
直在较大负荷、较低转速下工作,致使油温升高较
4结束语
快、车辆行驶速度较慢。
通过对装载机的一些常见故障的分析,认识到
3.6超越离合器总成的检查
只有对车辆的结构和原理有全面的了解,才能更准
检查超越离合器总成时,一般是先看轴承有无
确地判断故障所在,才能采取正确的处理方法,才能
损坏,滚柱、弹簧有无脱落。若有则应换件修复或更
保证车辆正常使用。
换总成;若没有,应将中间输入轴制动住,分别顺时
(上接第91页) 计算机的时候,ARP缓存信息
查找病毒源,对病毒源头的机器进行处理,杀毒
都会被全部清除。所以我们应该把这个ARP静态地 或重新安装系统。解决了ARP攻击的源头PC机的
址添加指令写到一个批处理文件中,然后将这个文
问题,可以保证内网免受攻击。及时升级客户端的
件放到系统的启动项中。当程序随系统的启动而加 操作系统和应用程式补丁。
载的话,就可以免除因为ARP静态映射信息丢失的
如果网络规模较少,尽量使用手动指定IP设
困扰了。
置,而不是使用DHCP来分配IP地址。
5.3 添加路由信息应对ARP欺骗
时常关注本机的服务项和启动项,关闭一些不
一
般的ARP欺骗都是针对网关的,那么我们是
需要的服务。条件允许的可关闭一些没有必要的共
否可以通过给本机添加路由来解决此问题呢。只要 享,也包括C¥、D¥等管理共享。完全单机的用户也
添加了路由,那么上网时都通过此路由出去即可,自 可直接关闭Server服务。
然也不会被ARP欺骗数据包干扰了。
经常更新杀毒软件(病毒库)。设置为每天定
第一步:先通过点击桌面上任务栏的“开始”一
时自动更新,安装并使用网络防火墙软件。
“运行”,然后输入cmd一回车,进入cmd命令行模
7结束语 ’
式。
此类ARP病毒攻击危害大,病毒变种形式多
第二步:手动添加路由,详细的命令如下:删除 样,给包头医学院第二附属医院宽网用户带来极大
默认的路由:route delete 0.0.0.0;添加路由:
不便。包头医学院第二附属医院信息中心将继续密
route add——P 0.0.0.0 mask 0.0.0.0 192.168.1.
切关注网络运行状态,一旦确认ARP攻击源,无论
254 metric 1;确认修改:route change此方法对网 是无意中毒还是有意攻击,将对其采取断网措施,待
关固定的情况比较适合,如果将来更改了网关,那么
用户PC机病毒清除后再行解封。为营造良好上网环
就需要更改所有的客户端的路由配置了。 境,请大家理解、积极配合,良好上网环境需要大家
安装杀毒软件并及时升级,有条件的单位可以
共同维护。
使用网络版的防病毒软件。
6 防范方法
[参考文献]
使用可防御ARP攻击的三层交换机,绑定端
[1] 陈英,马洪涛.局域网内ARP协议攻击及解决
口MAC—IP。限制ARP流量,及时发现并自动阻断
办法[J].中国安全科学学报,2007,17(7).
ARP攻击端口。合理划分VLAN,彻底阻止盗用IP、 [2] 谭敏,杨卫平.ARP病毒攻击与防范[J].网络
MAC地址,杜绝ARP的攻击。
安全技术与应用,2008,(4).
・
93・
发布评论