ARP病毒的认识及解决方案(精编2篇)
【导言】此例“ARP病毒的认识及解决方案(精编2篇)”的范文资料由阿拉题库网友为您分享整理,以供您学习参考之用,希望这篇资料对您有所帮助,喜欢就复制下载支持吧!
ARP病毒的原理与防治1
摘 要: ARP病毒是对局域网影响较大的病毒之一,给个人用户和网络管理员都带来莫大的麻烦。如何识别ARP病毒,以及采用什么样的方法来进行预防和解决,是个人用户和网管们都必须掌握的。本文介绍了ARP病毒的简单原理、ARP病毒的症状,以及解决ARP病毒的一些常用的方法。
关键词: ARP病毒 工作原理 处理方法
最近一段时间,我校局域网感染了ARP病毒,导致一部分机器无法上网,影响了正常的网络使用。ARP病毒的清理和防范都比较困难,给个人用户甚至是网管都带来很大的麻烦。下面我就简单地介绍一下ARP病毒的一些原理和简单的预防措施。
一、何为ARP病毒(攻击)
其实ARP病毒并不是某一种病毒的名称,而是对利用ARP协议的漏洞进行传播的一类病毒的总称。
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写,它是TCP/IP协议组的一个协议,是用于进行把网络地址翻译成物理地址(又称MAC地址)。
通常此类攻击的手段有两种:路由欺骗和网关欺骗。是一种入侵电脑的木马病毒。对电脑用户私密信息的威胁很大。ARP病毒主要就是冒充网关,将局域网内的信息拦截,或者拦截外网的数据,通过中了ARP病毒的机器(其冒充网关)中转一下(顺便添加木马)发送到各个终端,导致信息无法发送到要求的地方去。
二、ARP病毒的症状
1.有时候无法正常上网,有时候又好了,包括访问网上邻居也是如此。
2.当局域内的某台计算机存在ARP的病毒时,它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包,阻塞网络通道,造成网络设备的承载过重,网速时快时慢,极其不稳定,但单机进行数据测试时一切正常。
3.使用ARP查询的时候会发现不正常的MAC地址,或者是错误的MAC地址对应,还有就是一个MAC地址对应多个IP的情况也会有出现。
一些安装了杀毒软件的用户,常常会出现ARP攻击的提示,也说明你的机器正在遭受ARP的攻击。
三、ARP病毒的工作原理
局域网主机上网的一般步骤:
1.主机发送请求服务器(或网关)转发互联网
2.互联网返回信息服务器(或网关)转发主机
3.主机得到信息,完成一次信息交流
图示如下:
当局域网存在ARP攻击时,整个顺序可能会被打乱。染毒的主机会不停地向局域网中的其他机器发ARP包,告诉局域网中的主机错误的服务器(网关)地址,以后主机请求信息不会向服务器(网关)发送,而是向错误的地址发送,就会导致信息的时断时续,网速很慢,或者信息丢失,直接打不开网页。
图示如下:
四、常用的处理方法
解决ARP病毒攻击的方法有多种,下面列举几种常用的方法。
(一)受到ARP攻击的电脑,可以在DOS方式下清除ARP缓存。
一般来说,ARP欺骗都是通过发送虚假的MAC地址与IP地址的对应ARP数据包来迷惑网络设备,用虚假的或错误的MAC地址与IP地址对应关系取代正确的对应关系。若是一些初级的ARP欺骗,可以通过ARP的指令来清空本机的ARP缓存对应关系,让网络设备从网络中重新获得正确的对应关系,方法如下:
第一步:通过点击桌面上任务栏的“开始”“运行”,然后输入cmd后回车,进入cmd命令行模式;
第二步:在命令行模式下输入arp -a命令来查看当前本机储存在本地系统ARP缓存中IP和MAC对应关系的信息;
第三步:使用arp -d命令,将储存在本机系统中的ARP缓存信息清空。这样错误的ARP缓存信息就被删除了,本机将重新从网络中获得正确的ARP信息,达到局域网机器间互访和正常上网的目的。如果遇到使用ARP欺骗工具来进行攻击的情况,使用上述的方法就完全可以解决。但如果是感染ARP欺骗病毒,病毒每隔一段时间自动发送ARP欺骗数据包,这时使用清空ARP缓存的方法将无能为力了。
(二)指定ARP对应关系:其实该方法就是强制指定ARP对应关系。由于绝大部分ARP欺骗病毒都是针对网关MAC地址进行攻击的,使本机上ARP缓存中存储的网关设备的信息出现紊乱。这样当机器要上网发送数据包给网关时就会因为地址错误而失败,造成计算机无法上网。
第一步:如果网关地址的MAC信息为00-08-0F-67-02-7c,对应的IP地址为。指定ARP对应关系就是指这些地址。在感染了病毒的机器上,点击桌面任务栏的“开始”“运行”,输入cmd后回车,进入cmd命令行模式;
第二步:使用arp -s命令来添加一条ARP地址对应关系,例如arp -s 00-08-0F-67-02-7c命令。这样就将网关地址的IP与正确的MAC地址绑定好了,本机网络连接将恢复正常;
第三步:因为每次重新启动计算机的时候,ARP缓存信息都会被全部清除。所以我们应该把这个ARP静态地址添加指令写到一个批处理文件(例如:bat)中,然后将这个文件放到系统的启动项中。当程序随系统的启动而加载的话,就可以免除因为ARP静态映射信息丢失的困扰。
(三)添加路由信息应对ARP欺骗。
一般的ARP欺骗都是针对网关的,那么我们是否可以通过给本机添加路由来解决此问题呢?只要添加了路由,那么上网时都通过此路由出去即可,自然也不会被ARP欺骗数据包干扰了。
第一步:先通过点击桌面上任务栏的“开始”“运行”,然后输入cmd后回车,进入cmd(黑色背景)命令行模式;
第二步:手动添加路由,详细的命令如下:删除默认的路由: route delete ;添加路由:route add -p mask metric 1;确认修改:route change。
(四)使用杀毒软件来清除ARP病毒,同时对本机进行网关地址(MAC地址)绑定。
这里主要讲述使用“360安全卫士”进行服务器(网关地址)绑定的方法,来解决ARP攻击。
其步骤如下:
在“网关MAC”里填写:00-08-0F-67-02-7c(减号也要写上),
然后单击“确定”;
(8)最后单击“保存”,就实现了服务器MAC地址绑定,可以有效地预防ARP攻击。
通过这样的方法绑定了以后,基本上就会免受ARP病毒的攻击,而且360安全卫士是免费软件,可以从网络上下载安装,网址是省略。
ARP病毒一直是局域网中危害较大的病毒之一,但它的清除和防治相对又较专业,因此造成了它在局域网中的横行。本文讲了一些ARP病毒的普及知识,简单的防治办法,希望对大家有所帮助。
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文
ARP病毒的认识及解决方案2
摘要ARP协议由于自身的漏洞,在实际应用中给病毒和恶意软件带来了可乘之机。本文对ARP病毒进行了介绍,揭示其攻击原理和解决办法等。
关键词ARP病毒;MAC地址;局域网;网络安全
病毒介绍
ARP(AddressResolutionProtocol)协议是TCP/IP协议组中的一个协议,能够把网络地址翻译成物理地址(又称MAC地址),但是存在漏洞,对于木马病毒的入侵埋下了隐患。这一类利用ARP协议的漏洞进行传播的病毒总称为ARP病毒,对电脑用户私密信息的威胁很大。
病毒发作时的症状表现为计算机网络连接正常,能登陆成功却时常上不了网,局域网的网络情况却时好时坏,这很可能就是ARP欺骗已经发作的征兆。
协议的工作原理
在局域网中,两台主机之间要进行通信,必须知道目标主机的IP地址,但是网卡并不能直接识别IP地址,只能识别其硬件地址MAC地址,这就必须进一步通过ARP协议将数据包中的IP地址转换为MAC地址。IP地址与MAC对应的关系依靠ARP缓存表,每台主机(包括网关)都有一个ARP缓存表,在正常情况下这个缓存表能够有效保证数据传输的一对一性。假设某局域网有由三台电脑组成。电脑A代表攻击方,电脑S代表源主机,另一台电脑B代表目的主机。这三台电脑的IP地址分别为:,,,MAC地址分别为:MAC-A,MAC-S,MAC-B。
在数据传输过程中,S电脑要给B电脑发送数据,则要先查询自身的ARP缓存表,查看里面是否有这台电脑的MAC地址,如果有就将MAC-B封装在数据包的外面,直接发送出去即可。如果没有,S电脑便向全网络发送一个ARP广播包,要求返回IP地址为的主机的MAC地址。B电脑接收到该广播,就将自身的IP地址和MAC-B地址返回到S电脑。现在S电脑可以在要发送的数据包上贴上目的地址MAC-B发送出去,同时它还会动态更新自身的ARP缓存表,将这一条记录添加进去。这样,等S电脑下次再给B电脑发送数据的时候,就不用发送ARP广播包进行查询了。若数据源主机一直没有收到ARP响应数据包,表示ARP查询失败。这就是ARP工作原理下的数据包正常发送过程。
病毒的欺骗过程和欺骗原理
数据发送机制有一个致命的缺陷,即它是建立在对局域网中电脑全部信任的基础上的。比如在上述数据发送中,当S电脑向全网询问后,B电脑也回应了自己的正确MAC地址,但同时,A电脑却返回了B电脑的IP地址和和自己的硬件地址。由于A电脑不停地发送这样的应答数据包,则会导致S电脑又重新动态更新自身的ARP缓存表,这回记录成:与MAC-A对应,我们把这步叫做ARP缓存表中毒。这样,就导致以后凡是S电脑要发送给B电脑,都将会发送给A主机。也就是说,A电脑就劫持了由S电脑发送给B电脑的数据,完成了ARP欺骗过程。
如果A电脑不冒充B电脑,而是冒充网关,那后果会更加严重。A电脑将会监听整个局域网发送给互联网的数据包。
4.判断一台电脑是否受到ARP攻击的办法
(1)在正常情况下,登录网关路由器的管理界面并记录网关面向局域网接口(LAN口)的MAC地址。如查看结果:MAC地址:00-0A-EB-B9-5C-CE,IP地址:
(2)当发生异常情况的时候,在内网发生故障的电脑(或任意一台电脑)上运行ARPa命令,在回显的信息中查看对应网关IP的MAC地址,对比是不是之前记录的网关的MAC地址。如果不是,则说明局域网发生了ARP攻击。
5.针对ARP病毒的应对策略
由于ARP攻击有时不是病毒造成的,而是合法运行的程序(外挂、网页等)造成的,所以常见的杀毒软件多数时候束手无策。
要真正消除ARP病毒攻击的隐患,必须“双向绑定”:在每台电脑上绑定一些常用的ARP表项,同时设置“局域网核心”路由器。由于任何ARP包,都必须经由交换机转发,才能达到被攻击的目标,那么只要路由器拒收非法的ARP包,ARP攻击就不能造成任何影响。
第一步:电脑端进行ARP条目绑定
A.打开“记事本”程序,在里面输入命令:
命令中参数的四部分,分别是:“ARP”、“-s”、“网关IP地址”、“网关MAC地址”,中间以空格隔开。对于局域网中的所有电脑来说,它们的“网关IP地址”就是路由器的LAN口IP地址,“网关MAC地址”就是LAN口的MAC地址。
B.输入完成后另存为批处理文件。
C.将复制到“启动”文件夹中。
打开“开始”-“程序”-“启动”,右击菜单,选择“打开”命令,打开“启动”文件夹,将复制到“启动”文件夹中。
D.复制完成后,重新启动电脑,让文件自动执行一次。目的是让ARP条目成为静态不再改变,确保这台电脑不会因为受到ARP欺骗而动态修改自己的ARP表,导致不能上网。
在DOS界面运行ARPa可以看到当前ARP条目已由以前的动态(Dynamic)改为静态(Static)。实际上,局域网中的电脑不仅和路由器之间有MAC地址询问的过程,任意两台电脑之间通讯,都首先有一个询问对方MAC地址的过程。为了安全和方便,可以将文件复制到每台电脑的“启动”文件夹中。
第二步:在网关路由器端进行ARP绑定
现在,局域网内的电脑可以将数据包正常发送到路由器。然而,路由器也有一张ARP缓存表,用来记录网内主机的IP地址和MAC地址,如果网关路由器受到欺骗后,路由器就会向错误的目的主机发送数据。也就是说,现在的防范效率只有50%,在网关路由器上进行配置,将局域网网内的每台电脑的IP地址和MAC地址绑定到路由器,才真正是万事大吉。
下面就在路由器端绑定主机。
首先登录路由器,找到“IP与MAC绑定-静态ARP绑定设置”,再在“ARP绑定”部分选中启用。然后点击“增加单个条目”来新增一个绑定。要添加多个静态绑定请重复上述步骤。当然还可以快捷的来添加静态绑定,切换到“IP与MAC绑定-ARP映射表”,查看所有连接到此路由器的主机IP与MAC地址信息,要绑定某一台主机,只需要点击导入即可,如图1所示:
图1
然后切换到“IP与MAC绑定-静态ARP绑定设置”,在刚才导入的条目中间勾选“绑定”即可完成绑定。至此,在路由器端绑定ARP设置就完成了。
考括坟籍,博采群议。以上这2篇ARP病毒的认识及解决方案是来自于山草香的arp病毒的相关范文,希望能有给予您一定的启发。
下一篇:课题研究方案(优推4篇)