浅谈企业网ARP病毒的危害及防治预案.ppt

第四采油厂第四油矿 引 言 ARP病毒的影响 ARP病毒的危害 ARP病毒的防范措施 ARP病毒的清除方法 4.1 ARP病毒机的定位 在ARP病毒感染的网络中，通常进行ARP欺骗的主机无异常现象，隐蔽性很强，不易被发现，所以在企业网ARP病毒的查杀过程中，如何迅速、准确地定位中毒机器是关键。 经过对ARP病毒欺骗原理的仔细研究并结合我厂企业网实际情况反复试验，现总结出以下几种可以应用在我厂企业网的定位中毒计算机办法： （1）通过访问核心交换机分析定位。从核心交换机读取全厂企业网所有主机的ARP缓存表，然后根据ARP病毒工作原理，找出具有不同IP地址,相同MAC地址的所有主机，此相同的MAC即为进行ARP欺骗的中毒计算机的真实MAC地址，接下来根据已备份全厂计算机的正确IP-MAC地址表，即可迅速定位中毒主机。 第七采油厂信息中心 * * 大庆油田公司第七采油厂 * 大庆油田公司第七采油厂 * 大庆油田公司第七采油厂 第七采油厂信息中心 第七采油厂信息中心 * 大庆油田公司第七采油厂 * 第七采油厂信息中心 浅谈企业网ARP病毒的危害及防治 发布人： 第四采油厂第四油矿 第四采油厂第四油矿 引 言 ARP病毒的影响 ARP病毒的危害 ARP病毒的防范措施 ARP病毒的清除方法 引 言 随着网络技术的发展，局域网的使用日益广泛，局域网中感染ARP病毒的情况也越来越多，而且该病毒危害较大，清理和防范较难，给网络管理员和用户造成了诸多困扰。因此，了解ARP病毒，掌握其防范和清除方法十分必要。 第四采油厂第四油矿 引 言 ARP病毒的影响 ARP病毒的危害 ARP病毒的防范措施 ARP病毒的清除方法 一 、ARP病毒的影响 采油厂企业网属于大型局域网，它采用以太网的通信规则进行数据的交换和传输。在企业网的日常管理和安全维护中，我们发现了多起ARP病毒入侵网络的现象，它们常常使网络时断时续、主机IP地址冲突、网页连接错误，给员工日常的办公和油田生产数据的传输带来了较大的影响。因此，ARP病毒的防治已成为采油厂企业网管理和维护的首要任务。 最近一段时期，在互联网中出现了一种以网络ARP协议为工作原理的病毒，它以破坏局域网的网络链接为目标，欺骗网关，阻断入网计算机，造成计算机无法连接网络或网络时断时续，此病毒一经产生便大规模地在网络中蔓延，造成了很大的影响。 许多局域网出现网络运行不稳定，频繁断网、IE浏览器接连出错、IP地址冲突等问题。国家计算机病毒应急处理中心通报一种新型“地址解析协议欺骗”(简称：ARP欺骗)的恶意木马程序正在网络中传播。论文检测，清除方法。这是ARP病毒第一次公开出现在大众视线中，从此，ARP病毒逐渐在校园网、部门网、企业网、社区网以及网吧等局域网中蔓延。 1.1 ARP病毒的起源 1.2ARP病毒的原理 ARP病毒是利用局域网中ARP协议工作原理进行网络破坏的。 ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。 每台交换机或安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下表所示： Internet Address Physical Address Type 2 00-06-29-38-cf-54 dynamic 6 00-d0-b7-a8-26-38 dynamic 9 00-17-08-5c-b0-a1 dynamic 28 00-17-a4-44-74-19 dynamic 1.3 ARP病毒的分类 ARP病毒在发展的过程中演化出了许多变种，经过研究，按照ARP病毒的原理主要可分为以下四类： 部分（被伪装）主机无法接入企业网。 病毒发作现象 Arp病毒类型 病毒原理 类型一 发送arp数据包，伪装网段内其他主机的MAC地址，使得被伪装的主机无法接入企业网。 同一网段内所有主机无法接入企业网。 病毒发作现象 Arp病毒类型 病毒原理 类型二 发送arp数据包，欺骗网关MAC地址，使得网段内所有主机访问企业网时访问病毒感染主机。 同一网段内所有主机访问正常WEB地址时，被定向到了病毒网站，如