浅论ARP病毒的防与治.docVIP

浅论ARP病毒的防与治 　　摘要：校园网经常遭受ARP病毒的攻击，致使网络无法正常运行。本文分析了ARP病毒的攻击原理，故障诊断，提出了ARP病毒的防与治的策略。 　　关键词：校园网；ARP病毒；防与治 　　中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2011) 14-0000-01 　　Talking on the Prevention and Treatment of ARP Virus 　　Li Jing 　　(Henan Agricultural Economic School,Luoyang471000,China) 　　Abstract:Campus network attacks are often subjected to ARP virus,resulting in the network can not function properly.This paper analyzes the principle of ARP virus attacks,fault diagnosis,made the ARP virus prevention and treatment of the strategy. 　　Keywords:Campus network;ARP virus;Prevention and treatment 　　最近校园网经常遭受ARP病毒的攻击，主要表现在：网络连接显示正常，但用户无法打开网页，网络状态显示收到的数据包为零，无法ping通网关。计算机频繁掉线，重启交换机后正常。严重时重启交换机后，也不能正常连接网络。ARP病毒的攻击严重影响了校园网的使用。结合工作实际，探讨一下对ARP病毒攻击的防范。 　　一、ARP病毒攻击原理 　　校园网内ARP病毒一般采用ARP欺骗的攻击方式。主要有两种情况：第一种，局域网内某台主机感染了ARP病毒，病毒截获网关数据，通知路由器错误的内网MAC地址，并不断进行，造成真实的地址信息无法通过更新保存在路由器中。这样原本流向网络中心的流量改道流向病毒主机，，造成受害者无法正常上网。中毒主机会发送大量数据包，造成网络拥塞，网速很慢。若重启交换机，网络会出现短时正常。第二种，ARP病毒建立假网关，网段内的PC向假网关发数据，不能通过正常的路由器途径上网。 　　二、ARP协议 　　ARP，即地址解析协议，其目的是通过IP地址得知其物理地址。在TCP/IP网络环境下，每个主机都分配了一个32位的IP地址，IP地址是在网际范围内标识主机的一种逻辑地址。为了让报文在物理网路上传送，必须知道对方目的主机的物理地址。这样就存在把IP地址变换成物理地址的地址转换问题。拿以太网环境为例，为了正确地向目的主机传送报文，必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址，这组协议就是ARP协议。 　　三、ARP病毒攻击故障诊断 　　如果用户发现突然不能上网，可以通过如下操作进行诊断： 　　方法一：如网络用户在使用计算机过程中，突然发现无法上网，可以先禁用网卡，然后再启用，如果启用之后能上网，就有可能是ARP病毒所致。 　　方法二：点击“开始”按钮-选择“运行”，输入cmd后，输入arp-a发现出现多个IP地址，并且出现不同的lP地址对应的MAC是―样的，因此基本确定是中了ARP欺骗。 　　方法三：点击“开始”按钮-选择“运行”，输入cmd后，输入“arp-d”-点击“确定”按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。“arp-d”命令能清除本机的arp表，arp表被清除后接着系统会自动重建新的arp表，“arp-d”命令并不能抵御ARP欺骗，执行“arp-d”命令后仍有可能再次遭受ARP攻击。 　　四、ARP病毒的防治 　　（一）IP地址和MAC地址静态绑定，在网内把主机和网关都做IP和MAC绑定。登记校园网内所有用户的IP地址，设置静态的MAC地址#61664;IP地址对应表，任何用户不得随意更换IP。具体办法如下： 　　进入“MS-DOS”方式，在命令提示符下输入如下命令： 　　ARP-sIP地址MAC地址 　　例如，假设有一台主机，其IP地址为：172.16.17.89，MAC地址为00-25-56-32-29-E6，将其MAC和IP绑定的命令如下： 　　ARP-s 172.16.17.89 00-25-56-32-29-E6 　　使用ARP?Ca命令查看ARP缓存列表，可以看出IP地址的类型为static.，表明它是静态项。通过以上操作，我们将IP地址172.16.17.89和网卡地址为00-25-56-