校园网ARP病毒分析及防护.docVIP

校园网ARP病毒分析及防护 　　在科技高速发展的今天,“让技术走进学校,更好地服务于教育教学”显得尤为重要。学校的信息化建设需要先进的技术,负责或实践这些技术的教师需要开拓视野,需要集思广益,进而结合本区域或本学校的具体情况以高效、节耗的技术促进学校的信息化建设。“校园技术攻略”将围绕上述内容,为读者提供指导、帮助及适时交流。 　　鉴于校园网络的信息化进程不断加快,打造安全高效的校园网络环境是校领导及其网络管理人员所迫切期待的。而局域网中出现的一个小小的“ARP欺骗”都有可能致使所有的机器被感染,进而影响工作。下面,作者将带大家一起去了解ARP病毒的原理及防御方法。 　　 　　学校的局域网近来经常遭遇“ARP欺骗”木马病毒,病毒发作时症状表现为:校园网内的主机出现频繁断网的现象,但会在很短的时间内自动恢复;或者计算机网络连接正常却无法打开网页,网络运行不稳定;IE浏览器频繁出错以及一些常用软件出现故障等,极大地影响了局域网用户的正常使用。 　　 　　● 关于ARP协议 　　 　　1.ARP协议的概念 　　TCP/IP协议规定IP地址共32位,由网络号和网络内的主机号构成。每一台接入局域网的主机都要配置一个唯一的IP地址。当用户上网时在浏览器地址栏内输入网址,DNS(Domain Name Service)服务器会自动把网址解析为IP地址,浏览器实际上查找的是IP地址而不是网址。而IP地址仅仅是网内主机区别于其他主机的一个外部标识,是不能直接来访问主机的。 　　如何根据IP地址找到我们要访问的一台主机呢?这就需要把IP地址转化为物理地址,这个物理地址就是MAC(Media Access Control)地址,它是在网络中唯一能标识计算机的硬件地址,存在于所购买的网卡上。每块合法的网卡在出厂时都被赋予了一个MAC地址,且所有网卡的MAC地址在全世界范围内唯一。一般情况下,单击“开始“按钮,在打开的“开始”菜单上按照“程序→附件→命令提示符”路径,在“命令提示符”窗口的提示符下,输入“Ipconfig/all”命令得到主机的MAC地址,如Physical Address…#8201;…#8201;…:00-13-8F-15-A7-E4,就是某台计算机的MAC地址。MAC地址共48位,一般用12位16进制数表示,其中前6位是厂商号,后6位是网卡号。 　　在局域网中,正是通过ARP协议来完成IP地址到MAC地址的转换。ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在主机发送帧前,该协议将网络层的目标IP地址解析为数据链路层的目标MAC地址。 　　ARP协议是TCP/IP协议中一个重要的协议,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址,这就要通过ARP协议获得。ARP消息作为数据被封装在以太网帧的数据部分之中,通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。 　　2.ARP协议的工作原理 　　在每台安装有TCP/IP协议的主机里都有一个ARP缓存表,该表里的IP地址和MAC地址是一一对应的。查看ARP缓存表的方法是在主机“命令提示符”窗口的提示符下,输入“arp-a”命令,打开的ARP缓存表如下所示。 　　C:\Documents and Settings\Administrator\arp-a 　　Interface: 222.21.50.22┄0x2 　　 Internet Address Physical Address Type 　　 222.21.50.100-d0-f8-8a-93-81 dynamic 　　 222.21.50.24 00-13-20-2a-27-7cdynamic 　　 222.21.50.29 00-13-8F-15-A7-E4dynamic 　　当主机A(222.21.50.24)向主机B(222.21.50.29)发送数据时,主机A会在自己的ARP缓存表中查找是否有主机B的IP地址。如果有,就能知道主机B相应的MAC地址了;如果在ARP缓存表中没有找到主机B的IP地址,主机A会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“222.21.50.29的MAC地址是什么?”此时网络上其他主机并不响应该ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“222.21.50.29的MAC地址是00-13-8F-15-A7-E4”。这样主机A就知道了主机B的MAC地址,就可以向主机B发送信息。同时主机A还更新自己的ARP缓存表,下次再向主机B发送信息时,就能直接从ARP缓存表里查找主机