校园网ARP病毒解决方案.docVIP

校园网ARP病毒解决方案 　　[摘要] 该论文是针对泉州经贸职业技术学院校园网ARP病毒的频繁发作，以网管员的身份，总结实际工作经验，所提出的解决思路和解决方案，具有较强的实用性和可操作性。论文先介绍了ARP协议的概念和工作原理，接着分析了ARP病毒的原理、特征和危害。最后根据实际的探索与发现总结了解决的思路、提出了解决方案。 　　[关键词] 校园网 ARP协议 ARP病毒 解决思路 解决方案 　　 　　一、引言 　　随着网络的快速发展，各个高校都纷纷建立起了自己的局域网。局域网大大方便了人们之间的交流和联系。但是同时，局域网内的一些病毒的肆虐，给校园网的稳定带来了很大的困扰。最近校园局域网内的ARP病毒的肆虐，严重影响了校园网的稳定。ARP地址欺骗类病毒是一种特殊的病毒，该病毒一般属于木马病毒，不具备主动传播的特性，也不会自我复制。但是，由于其发作时会向全网发送伪装的ARP数据包、干扰全网的稳定运行，同时也会窃取网内的信息，所以其危害甚大。 　　二、ARP协议的原理 　　（一）ARP协议的概念 　　ARP的英文全称是Address Resolution Protocol即地址解析协议。在局域网中一台主机A要向B发送数据，首先就要知道对方的IP地址，但是知道了IP地址还不够，因为数据的最终传输是通过网卡等物理设备传输的，而这些物理设备并不识别IP地址，他们识别的是网卡上自己拥有的全球唯一的MAC地址，那这样，就需要一个协议来将IP地址与MAC地址进行相互转换，而这个协议就是ARP协议。 　　（二）ARP协议的工作原理 　　若主机A（192.168.15.44）要向主机B（192.168.15.55）发送数据，主机A会先在自己的ARP缓存表中寻找是否有主机B的MAC地址。如果有，就直接把主机B的MAC地址写入帧里面发送出去就可以了；如果没有，主机A就会在网络上发送一个广播，向同一网段内的所有主机发出这样的询问：“192.168.15.55的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.15.55的MAC地址是00-30-18-AF-CB-E8”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。如图1所示。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用的是老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样就可以大大减少ARP缓存表的长度，加快查询速度。 　　三、ARP病毒的原理 　　（一）ARP病毒中毒现象及产生的影响 　　ARP病毒的中毒现象表现为：校园网突然掉线，但是过一段时间后又会恢复正常。比如客户端老是出现注销现象接着就无法登陆， 网速变得极度缓慢，以及一些常用软件出现故障等。比如我校的校园网是通过客户端身份认证上网的，那么有时也会突然出现可以认证，但不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp -d后，又可恢复上网。 　　一个网段内只要有一台电脑感染了ARP病毒，就可能导致整个网段都无法上网。该病毒发作时除了会导致同一局域网网段内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取QQ密码、各种网络游戏密码和账号、网上银行账号来做非法交易活动等，给用户造成了很大的不便和巨大的经济损失。我校校园网是将网络分成多个网段，可以极大限度的缩小ARP病毒发作的范围。 　　(二)ARP病毒的攻击原理 　　校园网ARP攻击原理就是通过伪造IP地址和MAC地址实现ARP欺骗，中了ARP病毒的主机会将自己伪装成为网关，使原本流向网关的数据都流向病毒主机，以此来截取网内的信息。中毒主机还会不定期的发送伪造的ARP响应数据报文和广播报文，来欺骗网内的其他主机，对其他主机宣称自己的MAC地址就是网关的MAC地址，对真实网关说其他的主机MAC地址都是自己的MAC地址。这样网关接收不了正确的主机MAC地址，网内主机找不到正确的网关，从而使整个网络短时间瘫痪。如图2所示，主机A被ARP欺骗，主机B感染ARP病毒。 　　 　　 图1ARP协议的工作原理示意图 　　四、ARP病毒的解决方案 　　（一） ARP病毒的解决思路 　　要想从根本上解决校园网内的ARP病毒，是需要通过校园网用户和网管员共同努力的。本文仅就网管员采取的措施进行阐述。 　　解决的方法是要从网内主机到服务器共同着手协作的。 　　1、预防ARP病毒的思路 　　实行IP-MAC的双向绑定，即在网关路由上对网内主机使用静态IP-MAC绑定和在每台主机上进行网关的IP-MAC绑定。 　　2、处理ARP病毒的思路 　　通过查