Arp欺骗防治方法.doc

Arp欺骗防治方法 　　[摘要] 近期，国内高校的校园网络出现短时间内断线(全断或部分断)的现象，但会在很短的时间内会自动恢复。这是因为MAC地址冲突引起的，当带毒机器的MAC映射到主机或者路由器之类的NAT设备，那么全网断线，如果只映射到网内其他机器，则只有这部分机器出问题。多发于传奇游戏特别是私服务外挂等方面。此类情况就是网络受到了ARP病毒攻击的明显表现。这种网络病毒给教学工作带了很大的麻烦，也给校园网络的维护人员带来很大的压力，给校园网络的安全带来新的挑战。本文通过对Arp的概念的分析，结合本人在校园网中对Arp病毒的防治办法，与各位网管高手共同探讨防治Arp欺骗的最佳办法。 　　[关键词] ARP ARP病毒 ARP病毒防治方法 　　 　　引言 　　 　　ARP病毒的防治方法有很多种，本文通过由浅到深的方法，由介绍ARP病毒的概念开始，再介绍对ARP病毒的防治方法。其中在介绍对ARP病毒的防治中，分为用户的防治方法和网络维护人员的防治方法，因为校园网是一个大型的局域网，它的安全稳定运行需要 用户与网络维护人员共同参与。本文主要是通过举例的方法来说明对ARP病毒的防治的。 　　 　　一、什么是ARP 　　 　　要了解什么是ARP病毒攻击，首先说一下什么是ARP。如果你在DOS下输入 arp -a (9x下也是），你的输出看起来应该是这样的：Interface: xxx.xxx.xxx.xxxInternet Address Physical Address Type xxx.xxx.xxx.xxx 00-00-93-64-48-d2 dynamic xxx.xxx.xxx.xxx 00-00-b4-52-43-10 dynamic这里第一列显示的是ip地址，第二列显示的是和ip地址对应的网络接口卡的硬件地址（MAC），第三列是该ip和mac的对应关系类型。可见，arp是一种将ip转化成以ip对应的网卡的物理地址的一种协议，或者说ARP协议是一种将ip地址转化成MAC地址的一种协议。它靠维持内存中保存的一张表来使ip得以在网络上被目标机器应答。为什么要将ip转化成mac呢？简单的说，这是因为在tcp网络环境下，一个ip包走到哪里，要怎么走是靠路由表定义。但是，当ip包到达该网络后，哪台机器响应这个ip包却是靠该ip包中所包含的mac地址来识别。也就是说，只有机器的mac地址和该ip包中的mac地址相同的机器才会应答这个ip包。因为在网络中，每一台主机都会有发送ip包的时候。所以，在每台主机的内存中，都有一个 arp-- mac 的转换表。通常是动态的转换表（注意在路由中，该arp表可以被设置成静态）。也就是说，该对应表会被主机在需要的时候刷新。这是由于以太网在子网层上的传输是靠48位的mac地址而决定的。通常主机在发送一个ip包之前，它要到该转换表中寻找和ip包对应的mac地址。如果没有找到，该主机就发送一个ARP广播包，看起来象这 “我是主机xxx.xxx.xxx.xxx ， mac是xxxxxxxxxxx ，ip为xxx.xxx.xxx.xx1的主机请告之你的mac来” ip为xxx.xxx.xxx.xx1的主机响应这个广播，应答ARP广播为：“我是xxx.xxx.xxx.xx1，我的mac为xxxxxxxxxx2”于是，主机刷新自己的ARP缓存，然后发出该ip包。 　　 　　二、什么是ARP病毒攻击 　　 　　了解了这些常识后，现在就可以说明什么是ARP病毒攻击了。这种病毒是对内网的PC进行攻击，使内网PC机的ARP表混乱，在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。进行ARP重定向和嗅探攻击。用伪造源MAC地址发送ARP响应包，对ARP高速缓存机制的攻击。这些情况主要出现在校园网的同一个网段中，造成同一网段部分机器或全部机器暂时掉线或者不可以上网，在重新启动后可以解决，但保持不了多久有会出现这样的问题，校园网的管理员对电脑使用arp a命令来检查ARP表的时候发现路由器的IP和MAC被修改，这就是ARP病毒攻击的典型症状。 　　这种病毒的程序如PWSteal.lemir或其变种，属于木马程序/蠕虫类病毒，Windows 95/98/Me/NT/2000/XP/2003将受到影响，病毒攻击的方式对影响网络连接畅通来看有两种，对路由器的ARP表的欺骗和对内网PC网关的欺骗，前者是先截获网关数据，再将一系列的错误的内网MAC信息不停的发送给路由器，造成路由器发出的也是错误的MAC地址，造成正常PC无法收到信息。后者ARP攻击是伪