--网络协议NARP.pptVIP

3.7 ARP病毒及防护介绍 现象 “ ARP 欺骗”系列病毒自 06 年出现以来，一直难以根除。一旦感染此病毒，就会在局域网内发起攻击，导致其他用户不能上网，危害严重。电脑中毒后会向同网段内所有计算机发ARP欺骗包，导致网络内其它电脑因网关物理地址被更改而无法正常上网，被欺骗电脑的典型症状是刚开机能上网，几分钟之后断网，过一会又能上网，或者重启一遍电脑就可以上网，一会又不好了，如此不断重复，影响正常使用。 * Powered by Sunry 3.7 ARP病毒及防护介绍 病毒原理 当某台电脑感染了 ARP 欺骗病毒 / 木马程序后，会不定期发送伪造的 ARP 响应报文和广播报文。受感染电脑发出的这种报文会欺骗所在网段其他电脑 。 一方面对其他电脑称自己的 mac 就是网关的 mac，导致其他电脑发送的信息不能直接到达网关。 另一方面对实际网关称其他电脑的mac都是自己的 mac，这样网关无法更新它的 ARP 表，无法正确的转发数据帧到实际用户电脑。 * Powered by Sunry 3.7 ARP病毒及防护介绍 病毒自查手段 对于Windows操作系统，在运行了一些网络应用后通过Alt＋Ctrl＋Del键进入Windows任务管理器，在进程页面中查看是否有1.exe、 2.exe、3.exe、……、10.exe中的任意一个或几个，如果有那么这台计算机基本已经中毒了。此外如果进程页面中有svhost32这个进程， 那么同样也有大于95％的可能性已经中毒了。应立即段网，认真清除本机病毒。 * Powered by Sunry 3.7 ARP病毒及防护介绍 病毒防治 目前无专杀ARP病毒的有效软件，对未中毒被攻击电脑防护办法： 静态绑定：最常用的方法就是做IP和MAC静态绑定，在网内把主机和网关都做IP和MAC绑定。“arp -s IP? ?MAC地址”。所以把ARP全部设置为静态可以解决对内网PC的欺骗，同时在网关也要进行IP和MAC的静态绑定，这样双向绑定才比较保险。 使用ARP防护软件：常见的有ArpFix，AntiArp，360安全卫士等软件。 ArpFix软件下载： 43/tools/ArpFix.rar AntiArp 软件下载：/ 推荐一个下载软件的教育网内地址：鹭图软件 08/softdown/index.asp * Powered by Sunry 3.7 ARP病毒及防护介绍 ARP防护软件的使用示例 下载AntiArp软件在本机安装运行（见图），在“网关地址”中输入本机网关地址，然后点击“获取MAC”按钮，再点击“自动防护”即可。由于此病毒只感染同一个网段的电脑，因此，如果用户所在的网段没有电脑感染arp病毒，即用户上网正常,没有如上的症状，就不需要安装此软件进行防护。 ArpFix软件的使用见/newsdetail.php?nid=233 * Powered by Sunry 3.7 ARP病毒及防护介绍 RE * Powered by Sunry 本章小结 ARP、RARP 掌握ARP分组格式 ARP的高速缓存，ARP命令 代理ARP 免费ARP 了解ARP病毒 * Powered by Sunry 实验2 题目：ARP协议分析及命令使用 时间： 9月16日，周三 1-2节 网络0701 7-8节 网络0702 内容： 用分析软件捕获ARP协议，进行分析。 捕获免费arp协议，进行分析。 练习arp命令的使用。 注意事项： 带好实验纸，当堂撰写实验报告。 2人一组，请提前组合，上机位置相邻。 * Powered by Sunry 作业 ARP分组的长度是固定的吗？试加以解释。 分析题：有一个ARP报文如下(十六进制表示)? 00 01 08 00? 06 04 00 01 00 00 5e 00 01 ea 86 4a ea 01 00 00 00 00 00 00 86 4a ea 01 回答以下问题： 源MAC地址是什么？目的MAC地址 是什么？ 这是一个ARP请求报文还是应答报文？ 硬件地址长度是多少？ 协议地址长度是多少？ 这是一个免费ARP吗？ * Powered by Sunry * * * * 济 南 大 学 信 息 科 学 与 工 程 学 院 School of Information Science and Engineering Powered by Sunry 孙润元 ise_sunry@ 网络工程专业选修课 课程组：刘悦、孙润元 复习 链路层协议：SLIP、PPP; 以太网和IEEE802.3 802系列：LLC，MAC MTU，路