ARP病毒安全解决方案.ppt

2005 Symantec Corporation, All Rights Reserved ARP 病毒安全解决方案 Agenda Agenda ARP协议介绍 地址解析协议（Address Resolution Protocol，ARP）是在仅知道主机的IP地址时确定其物理地址的一种协议。 ARP协议使用的是广播包的形式发送 ARP的机制是信任局域网内的所有用户 ARP协议工作原理 ARP命令的使用 1.ARP命令的功能 查看、添加和删除高速缓存区中的ARP表项 2.Windows 2000 ARP高速缓冲区 (1)包含动态和静态表项 动态表项：随时间推移自动添加和删除 静态表项：一直存在，直到人为删除或重新启动 (2)动态表项的计时器：潜在生命周期10min 显示高速cache中的ARP表 添加ARP静态表项 删除ARP表项 Agenda ARP漏洞何在 ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充路由伪造来的，即IP地址为C的IP，而MAC地址是路由的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已