arp攻击病毒的查、防、治.docVIP

ARP 攻击病毒的查、防、治 ARP定义 　　ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的底层协议，负责将某个IP地址解析成对应的MAC地址。 　　ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行。 　　ARP（AddressResolutionProtocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。 ARP攻击原理 　　ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。 　　ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。 　　某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播一个ARP请求。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。 遭受ARP攻击后现象 　　ARP欺骗木马的中毒现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常。重启机器或在MS-DOS窗口下运行命令arp -d后，又可恢复上网。 　　ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象 　 遭受ARP攻击后ARP病毒病毒发作时候的特征为，中毒的机器会伪造某台电脑的MAC地址，如该伪造地址为网关服务器的地址，那么对整个网络均会造成影响，用户表现为上网经常瞬断。在任意客户机上进入命令提示符(或MS-DOS方C:WINNTsystem32arp -a Interface: 192.168.100.93 on Interface 0x1000003 Internet Address Physical Address Type 192.168.100.1 00-50-da-8a-62-2c dynamic 192.168.100.23 00-11-2f-43-81-8b dynamic 192.168.100.24 00-50-da-8a-62-2c dynamic 192.168.100.25 00-05-5d-ff-a8-87 dynamic 192.168.100.200 00-50-ba-fa-59-fe dynamic 可以看到有两个机器的MAC地址相同，那么实际检查结果为 00-50-da-8a-62-2c00-50-da-8a-62-2c为192.168.0.24的MAC地址，192.168.100.1的实际MAC地址为00-02-ba-0b-04-32，我们可以判定192.168.100.24实际上为有病毒的机器，它伪192.168.100.1的MAC地址、在192.168.100.24上进入命令提示符(或MS-DOS方式)，用arp –a命令查看C:WINNTsystem32arp -a Interface: 192.168.100.24 on Interface 0x1000003 Internet Address Physical Address Type 192.168.100.1 00-02-ba-0b-04-32 dynamic 192.168.100.23 00-11-2f-43-81-8b dynamic 192.168.100.25 00-05-5d-ff-a8-87 dynamic 192.168.100.193 00-11-2f-b2-9d-17 dynamic 192.168.100.200 00-50-ba-fa-59-fe dynamic 可以看到带病毒的机器上显示的MAC地址是正确的，而且该机运行速度缓慢，应该为所有流量在二层通过该机进行转发而导致，该机重启后所有电脑都不能上，只有等arp刷新MAC地址后才正常