论文部分内容阅读
摘 要: ARP病毒是对局域网影响较大的病毒之一,给个人用户和网络管理员都带来莫大的麻烦。如何识别ARP病毒,以及采用什么样的方法来进行预防和解决,是个人用户和网管们都必须掌握的。本文介绍了ARP病毒的简单原理、ARP病毒的症状,以及解决ARP病毒的一些常用的方法。
关键词: ARP病毒 工作原理 处理方法
最近一段时间,我校局域网感染了ARP病毒,导致一部分机器无法上网,影响了正常的网络使用。ARP病毒的清理和防范都比较困难,给个人用户甚至是网管都带来很大的麻烦。下面我就简单地介绍一下ARP病毒的一些原理和简单的预防措施。
一、何为ARP病毒(攻击)
其实ARP病毒并不是某一种病毒的名称,而是对利用ARP协议的漏洞进行传播的一类病毒的总称。
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写,它是TCP/IP协议组的一个协议,是用于进行把网络地址翻译成物理地址(又称MAC地址)。
通常此类攻击的手段有两种:路由欺骗和网关欺骗。是一种入侵电脑的木马病毒。对电脑用户私密信息的威胁很大。ARP病毒主要就是冒充网关,将局域网内的信息拦截,或者拦截外网的数据,通过中了ARP病毒的机器(其冒充网关)中转一下(顺便添加木马)发送到各个终端,导致信息无法发送到要求的地方去。
二、ARP病毒的症状
1.有时候无法正常上网,有时候又好了,包括访问网上邻居也是如此。
2.当局域内的某台计算机存在ARP的病毒时,它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包,阻塞网络通道,造成网络设备的承载过重,网速时快时慢,极其不稳定,但单机进行数据测试时一切正常。
3.使用ARP查询的时候会发现不正常的MAC地址,或者是错误的MAC地址对应,还有就是一个MAC地址对应多个IP的情况也会有出现。
一些安装了杀毒软件的用户,常常会出现ARP攻击的提示,也说明你的机器正在遭受ARP的攻击。
三、ARP病毒的工作原理
局域网主机上网的一般步骤:
1.主机发送请求→服务器(或网关)转发→互联网
2.互联网返回信息→服务器(或网关)转发→主机
3.主机得到信息,完成一次信息交流
图示如下:
当局域网存在ARP攻击时,整个顺序可能会被打乱。染毒的主机会不停地向局域网中的其他机器发ARP包,告诉局域网中的主机错误的服务器(网关)地址,以后主机请求信息不会向服务器(网关)发送,而是向错误的地址发送,就会导致信息的时断时续,网速很慢,或者信息丢失,直接打不开网页。
图示如下:
四、常用的处理方法
解决ARP病毒攻击的方法有多种,下面列举几种常用的方法。
(一)受到ARP攻击的电脑,可以在DOS方式下清除ARP缓存。
一般来说,ARP欺骗都是通过发送虚假的MAC地址与IP地址的对应ARP数据包来迷惑网络设备,用虚假的或错误的MAC地址与IP地址对应关系取代正确的对应关系。若是一些初级的ARP欺骗,可以通过ARP的指令来清空本机的ARP缓存对应关系,让网络设备从网络中重新获得正确的对应关系,方法如下:
第一步:通过点击桌面上任务栏的“开始”→“运行”,然后输入cmd后回车,进入cmd命令行模式;
第二步:在命令行模式下输入arp -a命令来查看当前本机储存在本地系统ARP缓存中IP和MAC对应关系的信息;
第三步:使用arp -d命令,将储存在本机系统中的ARP缓存信息清空。这样错误的ARP缓存信息就被删除了,本机将重新从网络中获得正确的ARP信息,达到局域网机器间互访和正常上网的目的。如果遇到使用ARP欺骗工具来进行攻击的情况,使用上述的方法就完全可以解决。但如果是感染ARP欺骗病毒,病毒每隔一段时间自动发送ARP欺骗数据包,这时使用清空ARP缓存的方法将无能为力了。
(二)指定ARP对应关系:其实该方法就是强制指定ARP对应关系。由于绝大部分ARP欺骗病毒都是针对网关MAC地址进行攻击的,使本机上ARP缓存中存储的网关设备的信息出现紊乱。这样当机器要上网发送数据包给网关时就会因为地址错误而失败,造成计算机无法上网。
第一步:如果网关地址的MAC信息为00-08-0F-67-02-7c,对应的IP地址为192.168.1.1。指定ARP对应关系就是指这些地址。在感染了病毒的机器上,点击桌面→任务栏的“开始”→“运行”,输入cmd后回车,进入cmd命令行模式;
第二步:使用arp -s命令来添加一条ARP地址对应关系,例如arp -s 192.168.1.1 00-08-0F-67-02-7c命令。这样就将网关地址的IP与正确的MAC地址绑定好了,本机网络连接将恢复正常;
第三步:因为每次重新启动计算机的时候,ARP缓存信息都会被全部清除。所以我们应该把这个ARP静态地址添加指令写到一个批处理文件(例如:bat)中,然后将这个文件放到系统的启动项中。当程序随系统的启动而加载的话,就可以免除因为ARP静态映射信息丢失的困扰。
(三)添加路由信息应对ARP欺骗。
一般的ARP欺骗都是针对网关的,那么我们是否可以通过给本机添加路由来解决此问题呢?只要添加了路由,那么上网时都通过此路由出去即可,自然也不会被ARP欺骗数据包干扰了。
第一步:先通过点击桌面上任务栏的“开始”→“运行”,然后输入cmd后回车,进入cmd(黑色背景)命令行模式;
第二步:手动添加路由,详细的命令如下:删除默认的路由: route delete 0.0.0.0;添加路由:route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.99 metric 1;确认修改:route change。
(四)使用杀毒软件来清除ARP病毒,同时对本机进行网关地址(MAC地址)绑定。
这里主要讲述使用“360安全卫士”进行服务器(网关地址)绑定的方法,来解决ARP攻击。
其步骤如下:
在“网关MAC”里填写:00-08-0F-67-02-7c(减号也要写上),
然后单击“确定”;
(8)最后单击“保存”,就实现了服务器MAC地址绑定,可以有效地预防ARP攻击。
通过这样的方法绑定了以后,基本上就会免受ARP病毒的攻击,而且360安全卫士是免费软件,可以从网络上下载安装,网址是www.360.cn。
ARP病毒一直是局域网中危害较大的病毒之一,但它的清除和防治相对又较专业,因此造成了它在局域网中的横行。本文讲了一些ARP病毒的普及知识,简单的防治办法,希望对大家有所帮助。
关键词: ARP病毒 工作原理 处理方法
最近一段时间,我校局域网感染了ARP病毒,导致一部分机器无法上网,影响了正常的网络使用。ARP病毒的清理和防范都比较困难,给个人用户甚至是网管都带来很大的麻烦。下面我就简单地介绍一下ARP病毒的一些原理和简单的预防措施。
一、何为ARP病毒(攻击)
其实ARP病毒并不是某一种病毒的名称,而是对利用ARP协议的漏洞进行传播的一类病毒的总称。
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写,它是TCP/IP协议组的一个协议,是用于进行把网络地址翻译成物理地址(又称MAC地址)。
通常此类攻击的手段有两种:路由欺骗和网关欺骗。是一种入侵电脑的木马病毒。对电脑用户私密信息的威胁很大。ARP病毒主要就是冒充网关,将局域网内的信息拦截,或者拦截外网的数据,通过中了ARP病毒的机器(其冒充网关)中转一下(顺便添加木马)发送到各个终端,导致信息无法发送到要求的地方去。
二、ARP病毒的症状
1.有时候无法正常上网,有时候又好了,包括访问网上邻居也是如此。
2.当局域内的某台计算机存在ARP的病毒时,它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包,阻塞网络通道,造成网络设备的承载过重,网速时快时慢,极其不稳定,但单机进行数据测试时一切正常。
3.使用ARP查询的时候会发现不正常的MAC地址,或者是错误的MAC地址对应,还有就是一个MAC地址对应多个IP的情况也会有出现。
一些安装了杀毒软件的用户,常常会出现ARP攻击的提示,也说明你的机器正在遭受ARP的攻击。
三、ARP病毒的工作原理
局域网主机上网的一般步骤:
1.主机发送请求→服务器(或网关)转发→互联网
2.互联网返回信息→服务器(或网关)转发→主机
3.主机得到信息,完成一次信息交流
图示如下:
当局域网存在ARP攻击时,整个顺序可能会被打乱。染毒的主机会不停地向局域网中的其他机器发ARP包,告诉局域网中的主机错误的服务器(网关)地址,以后主机请求信息不会向服务器(网关)发送,而是向错误的地址发送,就会导致信息的时断时续,网速很慢,或者信息丢失,直接打不开网页。
图示如下:
四、常用的处理方法
解决ARP病毒攻击的方法有多种,下面列举几种常用的方法。
(一)受到ARP攻击的电脑,可以在DOS方式下清除ARP缓存。
一般来说,ARP欺骗都是通过发送虚假的MAC地址与IP地址的对应ARP数据包来迷惑网络设备,用虚假的或错误的MAC地址与IP地址对应关系取代正确的对应关系。若是一些初级的ARP欺骗,可以通过ARP的指令来清空本机的ARP缓存对应关系,让网络设备从网络中重新获得正确的对应关系,方法如下:
第一步:通过点击桌面上任务栏的“开始”→“运行”,然后输入cmd后回车,进入cmd命令行模式;
第二步:在命令行模式下输入arp -a命令来查看当前本机储存在本地系统ARP缓存中IP和MAC对应关系的信息;
第三步:使用arp -d命令,将储存在本机系统中的ARP缓存信息清空。这样错误的ARP缓存信息就被删除了,本机将重新从网络中获得正确的ARP信息,达到局域网机器间互访和正常上网的目的。如果遇到使用ARP欺骗工具来进行攻击的情况,使用上述的方法就完全可以解决。但如果是感染ARP欺骗病毒,病毒每隔一段时间自动发送ARP欺骗数据包,这时使用清空ARP缓存的方法将无能为力了。
(二)指定ARP对应关系:其实该方法就是强制指定ARP对应关系。由于绝大部分ARP欺骗病毒都是针对网关MAC地址进行攻击的,使本机上ARP缓存中存储的网关设备的信息出现紊乱。这样当机器要上网发送数据包给网关时就会因为地址错误而失败,造成计算机无法上网。
第一步:如果网关地址的MAC信息为00-08-0F-67-02-7c,对应的IP地址为192.168.1.1。指定ARP对应关系就是指这些地址。在感染了病毒的机器上,点击桌面→任务栏的“开始”→“运行”,输入cmd后回车,进入cmd命令行模式;
第二步:使用arp -s命令来添加一条ARP地址对应关系,例如arp -s 192.168.1.1 00-08-0F-67-02-7c命令。这样就将网关地址的IP与正确的MAC地址绑定好了,本机网络连接将恢复正常;
第三步:因为每次重新启动计算机的时候,ARP缓存信息都会被全部清除。所以我们应该把这个ARP静态地址添加指令写到一个批处理文件(例如:bat)中,然后将这个文件放到系统的启动项中。当程序随系统的启动而加载的话,就可以免除因为ARP静态映射信息丢失的困扰。
(三)添加路由信息应对ARP欺骗。
一般的ARP欺骗都是针对网关的,那么我们是否可以通过给本机添加路由来解决此问题呢?只要添加了路由,那么上网时都通过此路由出去即可,自然也不会被ARP欺骗数据包干扰了。
第一步:先通过点击桌面上任务栏的“开始”→“运行”,然后输入cmd后回车,进入cmd(黑色背景)命令行模式;
第二步:手动添加路由,详细的命令如下:删除默认的路由: route delete 0.0.0.0;添加路由:route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.99 metric 1;确认修改:route change。
(四)使用杀毒软件来清除ARP病毒,同时对本机进行网关地址(MAC地址)绑定。
这里主要讲述使用“360安全卫士”进行服务器(网关地址)绑定的方法,来解决ARP攻击。
其步骤如下:
在“网关MAC”里填写:00-08-0F-67-02-7c(减号也要写上),
然后单击“确定”;
(8)最后单击“保存”,就实现了服务器MAC地址绑定,可以有效地预防ARP攻击。
通过这样的方法绑定了以后,基本上就会免受ARP病毒的攻击,而且360安全卫士是免费软件,可以从网络上下载安装,网址是www.360.cn。
ARP病毒一直是局域网中危害较大的病毒之一,但它的清除和防治相对又较专业,因此造成了它在局域网中的横行。本文讲了一些ARP病毒的普及知识,简单的防治办法,希望对大家有所帮助。