2024年5月8日发(作者:)
校园网ARP病毒的解决方案
[摘要] 该论文是针对泉州经贸职业技术学院校园网ARP病毒的频繁发作,
以网管员的身份,总结实际工作经验,所提出的解决思路和解决方案,具有较强
的实用性和可操作性。论文先介绍了ARP协议的概念和工作原理,接着分析了
ARP病毒的原理、特征和危害。最后根据实际的探索与发现总结了解决的思路、
提出了解决方案。
[关键词] 校园网 ARP协议 ARP病毒 解决思路 解决方案
一、引言
随着网络的快速发展,各个高校都纷纷建立起了自己的局域网。局域网大大
方便了人们之间的交流和联系。但是同时,局域网内的一些病毒的肆虐,给校园
网的稳定带来了很大的困扰。最近校园局域网内的ARP病毒的肆虐,严重影响
了校园网的稳定。ARP地址欺骗类病毒是一种特殊的病毒,该病毒一般属于木
马病毒,不具备主动传播的特性,也不会自我复制。但是,由于其发作时会向全
网发送伪装的ARP数据包、干扰全网的稳定运行,同时也会窃取网内的信息,
所以其危害甚大。
二、ARP协议的原理
(一)ARP协议的概念
ARP的英文全称是Address Resolution Protocol即地址解析协议。在局域网
中一台主机A要向B发送数据,首先就要知道对方的IP地址,但是知道了IP
地址还不够,因为数据的最终传输是通过网卡等物理设备传输的,而这些物理设
备并不识别IP地址,他们识别的是网卡上自己拥有的全球唯一的MAC地址,
那这样,就需要一个协议来将IP地址与MAC地址进行相互转换,而这个协议
就是ARP协议。
(二)ARP协议的工作原理
若主机A(192.168.15.44)要向主机B(192.168.15.55)发送数据,主机A
会先在自己的ARP缓存表中寻找是否有主机B的MAC地址。如果有,就直接
把主机B的MAC地址写入帧里面发送出去就可以了;如果没有,主机A就会
在网络上发送一个广播,向同一网段内的所有主机发出这样的询问:
“192.168.15.55的MAC地址是什么?”网络上其他主机并不响应ARP询问,只
有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.15.55的MAC
地址是00-30-18-AF-CB-E8”。这样,主机A就知道了主机B的MAC地址,它
就可以向主机B发送信息了。如图1所示。同时它还更新了自己的ARP缓存表,
下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表
采用的是老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这
样就可以大大减少ARP缓存表的长度,加快查询速度。
三、ARP病毒的原理
(一)ARP病毒中毒现象及产生的影响
ARP病毒的中毒现象表现为:校园网突然掉线,但是过一段时间后又会恢
复正常。比如客户端老是出现注销现象接着就无法登陆, 网速变得极度缓慢,
以及一些常用软件出现故障等。比如我校的校园网是通过客户端身份认证上网
的,那么有时也会突然出现可以认证,但不能上网的现象(无法ping通网关),
重启机器或在MS-DOS窗口下运行命令arp -d后,又可恢复上网。
一个网段内只要有一台电脑感染了ARP病毒,就可能导致整个网段都无法
上网。该病毒发作时除了会导致同一局域网网段内的其他用户上网出现时断时续
的现象外,还会窃取用户密码。如盗取QQ密码、各种网络游戏密码和账号、网
上银行账号来做非法交易活动等,给用户造成了很大的不便和巨大的经济损失。
我校校园网是将网络分成多个网段,可以极大限度的缩小ARP病毒发作的范围。
(二)ARP病毒的攻击原理
校园网ARP攻击原理就是通过伪造IP地址和MAC地址实现ARP欺骗,中
了ARP病毒的主机会将自己伪装成为网关,使原本流向网关的数据都流向病毒
主机,以此来截取网内的信息。中毒主机还会不定期的发送伪造的ARP响应数
据报文和广播报文,来欺骗网内的其他主机,对其他主机宣称自己的MAC地址
就是网关的MAC地址,对真实网关说其他的主机MAC地址都是自己的MAC
地址。这样网关接收不了正确的主机MAC地址,网内主机找不到正确的网关,
从而使整个网络短时间瘫痪。如图2所示,主机A被ARP欺骗,主机B感染
ARP病毒。
图1ARP协议的工作原理示意图
四、ARP病毒的解决方案
(一) ARP病毒的解决思路
要想从根本上解决校园网内的ARP病毒,是需要通过校园网用户和网管员
共同努力的。本文仅就网管员采取的措施进行阐述。
解决的方法是要从网内主机到服务器共同着手协作的。
1、预防ARP病毒的思路
实行IP-MAC的双向绑定,即在网关路由上对网内主机使用静态IP-MAC绑
定和在每台主机上进行网关的IP-MAC绑定。
2、处理ARP病毒的思路
通过查询找出病毒主机,拔掉网线,单独杀毒处理。
3、ARP防护软件的使用
可以通过ARP防护软件的使用,来预防和处理ARP病毒。
图2ARP病毒欺骗原理示意图
(二) ARP病毒的解决方案
1、检查本机的“ ARP 欺骗”木马染毒进程
在任务管理器的进程中,查看是否有一个名为“ ”的进程。如果有,
则说明已经中毒。右键点击此进程后选择“结束进程”。
2、检查网内染毒的计算机
在命令行下输入并执行以下命令:ipconfig
记录网关 IP 地址,即“ Default Gateway ”对应的值,例如“ 192.168.15.254 ”,
再输入并执行命令:arp –a
在“ Internet Address ”下找到上步记录的网关 IP 地址192.168.15.254,记录
其对应的物理地址,即“ Physical Address ”值,例如“ 00-e0-fc-58-fe-e8 ”。在网络
正常时这就是网关的正确物理地址,在网络受“ ARP 欺骗”木马影响而不正常时,
它就是木马所在计算机的网卡物理地址。
也可以扫描本子网内的全部 IP 地址,然后再查 ARP 表。如果有一个 IP
对应的物理地址与网关的相同,那么这个 IP 地址和物理地址就是中毒计算机的
IP 地址和网卡物理地址。
3、作批处理文件绑定网关IP-MAC
在对网内主机做网关的arp绑定,具体操作步骤如下:
(1)步骤一:
查找本网段的网关地址,比如192.168.15.254,以下以此网关为例。
在正常上网时,“开始→运行→cmd→确定”
输入:arp -a,回车
查看网关对应的Physical Address
比如:网关192.168.15.254 对应00-e0-fc-58-fe-e8。
(2)步骤二:
编写一个批处理文件,内容如下:
@echo off/*不显示后续命令行及当前命令行
arp –d /*清除ARP缓存表的记录
arp -d
arp -d
arp -d
arp -d
arp -d
arp -d
arp -d
arp -d
arp -s 192.168.15.254 00-e0-fc-58-fe-e8/*绑定网关IP-MAC
保存为:。
(3)步骤三:
运行批处理文件将这个批处理文件拖到“Windows→开始→程序→启动”中,
如果需要立即生效,请运行此文件。
注意:以上配置需要在网络正常时进行
4、管理员实时监控
该方法可能需要耗费相当的时间和精力,但是却是ARP病毒解决方案中非
常有效的方法。
当网络发生不稳定时,管理员可以通过对交换机的记录查询中毒的主机。如
下演示:
(1)步骤一:管理员登录交换机,如图3所示。
图3登录交换机界面
(2)步骤二:发现冲突,如图4所示。
图4发现冲突
(3)步骤三:冲突的结束,如图5所示。
图5冲突的结束
(4)步骤四:我们发现192.168.17.230的这台机器的MAC地址出现了2个,
所以发生冲突。那么下面我们就来查一下路由表中看看哪个MAC地址才是正确
的MAC地址,如图6所示。
(5)步骤五:找到正确的MAC地址是001e-900b-9108, 那么冲突的MAC
地址001e-bb9d-9108就是伪造出来的MAC地址,再通过此伪造的MAC就可以
找出病毒主机,从而通知其主机已中毒并派维护人员前往修理。
5、ARP病毒防护软件
我院采用360ARP防火墙来预防和追踪ARP攻击源。
(1)简介
这是市面上用的比较普及的360ARP防火墙。
360ARP防火墙通过在系统内核层拦截ARP攻击数据包,确保网关正确的
MAC地址不被篡改,可以保障数据流向正确,不经过第三者,从而保证通讯数
据安全、保证网络畅通、保证通讯数据不受第三者控制,完美的解决局域网内
ARP攻击问题。
图6检查路由表
(2)“手工设置”网关及DNS保护
网关及DNS保护有“自动获取”和“手工设置”两种方式,当网络不正常时,
采用“自动获取”方式并不能把真正的网关IP和MAC地址静态绑定,只有“手工
设置”才能在任何时候将真正的网关IP和MAC地址静态绑定,达到阻止ARP
网关欺骗的目的。具体设置如下:
1)单击网关保护设置。
2)选择手工设置→添加保护网关IP/MAC,打开后选择添加网关。
3)将正确的网关IP和MAC地址输入,如果不知道地址可以询问网络管理员。
再单击确定即可。
五、结束语
ARP病毒是每个高校局域网都会面临的问题,不同的高校有不同的解决办
法,本文总结了泉州经贸职业技术学院对ARP病毒的解决方案,具有较强的可
操作性。
参考文献:
[1] 孔祥翠、郭爱章、耿玉水 《校园局域网防ARP病毒的研究和解决》计
算机安全,2008年 04期95-100.
[2]白小梅 《局域网中ARP欺骗攻击解决方案》鞍山师范学院学报,2007
年 06期55-57.
[3]权晓红 《ARP病毒攻击解决方案》 大众科学(科学研究与实践),2007
年 11期55.
[4]什么是ARP攻击?/custom/.
[5] ARP病毒的解决方案
/jinan/2shou/?ID=2206.
[6] arp病毒简介及arp病毒相应解决方案
/post/.
发布评论