高手告诉你如何清除局域网中的ARP病毒-沙中学.DOCVIP

网络安全中ARP故障及防范 湖北省沙市中学 康庄 摘? 要? 文章介绍了ARP地址解析协议在网络中所起到的作用，分析了ARP协议存在的安全漏洞的原因，并给出了网段内和跨网段ARP欺骗的实现过程。结合网络管理的实际工作，介绍了IP地址和MAC地址绑定、交换机端口和MAC地址绑定、VLAN隔离等技术等几种能够有效防御ARP欺骗攻击的安全防范策略。 关健词?网络安全，ARP，ARP欺骗，MAC地址，IP地址 在现阶段网络中，多台计算机之间交换信息或者通过一个路由器共同上网的情况相当普遍，而绝大多数网络都是使用ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞在局域网中感染ARP的情况比较多，清理和防范都比较困难，给不少的网络管理员造成了很多的困扰。ARP故障引起的症状 有时候无法正常上网，有时候好了，包括访问网上邻居也是如此，拷贝文件无法完成，出现错误；局域网内有人使用ARP欺骗的程序（比如：传奇盗号的，某些传奇外挂中也被恶意加载了此程序）。局域网内的ARP包爆增，使用ARP查询的时候会发现不正常的MAC地址，或者是错误的MAC地址对应，还有就是一个MAC地址对应多个IP的情况也会有出现。ARP的原理 ARP协议是“Address?Resolution?Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 实验（5） ： 再来用一个实例来模拟一下传输的全过程： 现在有一台计算机A(IP:192.168.85.1 MAC:AA-AA-AA-AA-AA-AA)，另 一台计算机B(IP:192.168.85.100 MAC:BB-BB-BB-BB-BB-BB)现在用A去 ping B。看见 Reply from 192.168.85.100: bytes=32 time10ms TTL=32 这样的信息。 然后在运行中输入 arp -a，会看见 192.168.85.100 BB-BB-BB-BB-BB-BB dynamic这样的信息。那就是arp高速缓存中IP地 址和MAC地址的一个映射关系，在以太网中，数据传递靠的是MAC，而并不是IP地址。其实在这背后就隐藏着arp的秘密。你一定会问，网络上这么多计算 机，A是怎么找到B的？那么我们就来分析一下细节。 首先A并不知道B在哪里，那么A首先就会发一个广播的ARP请求，即目的MAC为FF-FF-FF- FF-FF-FF,目的IP为B的192.168.85.100，再带上自己的源IP，和源 MAC。这表示向同一网段内的所有主机发出这样的询问：“的MAC地址是什么？”主机才向主机A做出这样的回应：“的MAC地址是bb-bb-bb-bb-bb-bb”。主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。知道了ARP协议的作用，就能够很清楚地知道，数据包的向外传输很依靠ARP协议，当然，也就是依赖ARP缓存。要知道，ARP协议的所有操作都是内核自动完成的，同其他的应用程序没有任何关系。ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。ARP的利用介绍。、交换网络的嗅探 ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，在上面的假设网络中，B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存，将本地的IP-MAC对应表更换为接收到的数据格式，由于这一切都是A的系统内核自动完成的，A可不知道被伪造了。ARP欺骗的主要用途就是进行在交换网络中的嗅探。嗅探 ②、IP地址冲突 我们知道，如果网络中存在相