浅谈ARP病毒在局域网中的分析处理及防御培训讲学.pptVIP

ARP 病毒在局域网中的分析处理及防御; 我们知道，当我们在浏览器里面输入网址时，DNS服务器会自动把它解析为IP地址，浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物理地址（即MAC地址）的呢？在局域网中，这是通过ARP协议来完成的。ARP协议对网络安全具有重要的意义。 通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量，使网络阻塞。 ;一、ARP病毒的故障现象;二、ARP协议的工作原理; 每台安装有TCP/IP协议的计算机主机里都有一个ARP缓存表，表中的IP地址 MAC地址是一一对应的，如表 1 所示： 表 1 地址解析协议缓存地址表 值得注意的一点是：ARP 缓存表采用了一种老化机制，在一定的时间内如果某一条记录没有被使用过就会被删除。这样可以大大减少ARP 缓存表的长度，加快查询速度。 ;2、什么是ARP欺骗;3、ARP协议的工作原理;网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个 ARP响应数据包，告诉对方自己是它需要查找的MAC地址；源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。;三、ARP病毒攻击方式 ; ARP欺骗：受ARP病毒感染的主机伪造IP地址为网关地址，MAC地址为本机MAC地址的虚假ARP应答报文发送给本地网络内的主机，以刷新受攻击主机的正确的网关的ARP条目，诱使受攻击主机将原本发往网关的数据包发送到感染ARP病毒的主机上。攻击者通常利用这种方法来窃取被攻击者的数据包中的信息。这种攻击的现象是，受攻击主机访问外部网络时断时续，但是访问本地网络时不受影响。 ;四、ARP病毒的故障诊断;五、ARP病毒的故障处理;;（二）、从客户端主机进行 ARP 绑定设置处理方法;; 那么手工绑定的命令为：“arp?-s 60.2.11.1 00-19-C6-07-5A-21”（注意要写自己局域网网关的IP地址和MAC地址）。绑定完可再用“arp ?-a ”命??查看arp 缓存表，则会发现网关类型变成了静态：  Internet Address Physical Address Type 60.2.11.1 00-19-C6-07-5A-21 static（静态）;; 但是，需要说明的是手工绑定在计算机关机重开机后就会失效，需要再绑定。我们可以编写一个批处理文件，放到启动项中，这样每次开机都会运行这个程序，可以防止arp 攻击。请按照以下步骤操作：1) 编写一个批处理文件arp.bat内容如下：如图所示：　　@echo off　　arp -d　　arp -s 60.2.11.1 00-19-C6-07-5A-21; 将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。;; 2）保存文件夹（自启动文件夹）：C:\Documents and Settings\All Users\「开始」菜单\程序\启动 (注意,一定是All Users目录下) 3）重起计算机 4）操作完成后可以看到:桌面→开始菜单→所有程序→启动→arp.bat ，切记不要删! 注：此方法要是换网段的话要重新设置。所以要彻底消除攻击则要找出被病毒感染的计算机，杀除arp病毒，方可解决。;（三）、找出受病毒感染的计算机并查杀病毒;;六、预防措施：; 结 束