数字图书馆网络防治ARP病毒的策略
发布时间:2015-07-06 10:46
摘要:本文介绍了目前在数字图书馆局域网内蔓延泛滥的arp病毒的协议的工作原理及欺骗过程,结合实际工作分析了防治arp病毒的思路。
关键词:arp数字图书馆病毒防治
0引言
近来,数字图书馆局域网相继出现频繁掉线的现象,访问internet时断时续,影响面积较大。通过检查,我们发现故障的发生与arp欺骗病毒有关。该病毒导致网内其他主机的arp缓存表中默认网关的mac地址错误,使其他主机掉线,达到自身主机独享线路带宽的目的。本文首先介绍arp协议和其欺骗的过程,然后对校园网中此类arp欺骗的原理进行分析,最后结合实际给出了相应的解决办法。
1arp概述
1.1arp协议简介在以太网(ethernet)中,一个网络设备要和另一个网络设备进行直接通信,除了知道目标设备的网络层逻辑地址(正地址)外,还要知道目标设备的物理地址(mac地址)。要知道目的mac地址,就需要通过地址解析。所谓地址解析就是主机在发送帧前将目的正地址转换成目的mac地址的过程。arp协议(addressresolutionprotocol)的基本功能就是通过目标设备的ip地址,查询目标设备的mac地址,以保证通信的顺利进行。
1.2arp协议工作原理在每台安装有tcp/ip协议的主机里都有一个arp高速缓存表,arp高速缓存是主机维护的一个ip地址到相应以太网地址的映射表,表里的ip地址与mac地址是——对应的。wWW.lw881.com
如图1所示:以主机a(ip:192.168.0.1,mac:aa-aa-aa-aa
-aa-aa)向主机b(ip:192.168.0.2,mac:bb-bb-bb-bb-bb-
bb)发送数据为例。
当发送数据时,主机a会在自己的arp缓存表中寻找是否有目标b的正地址。如果找到了,也就知道了b的mac地址,于是直接把b的mac地址写入帧里面发送就可以了;如果在arp缓存表中没有找到相对应的ip地址,主机a就会在网络上发送一个广播包,其目标mac地址是ff-ff-ff-ff-ff-ff,这表示向本网段内的所有主机发出这样的询问:“192.168.0.2的mac地址是?”网络上其它主机并不响应这一arp请求,只有主机b接收到这个帧时,才向主机a做出这样的响应:“192.168.0.2的mac地址是bb-bb-bb-bb-bb-bb”。这样,主机a就知道了主机b的mac地址,它就可以向主机b发送数据了。同时它还更新了自己的arp缓存表,当下次再向主机b发送信息时,就直接从arp缓存表里查找。arp缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少arp缓存表的长度,加快查询速度。
1.3arp欺骗的过程从影响网络连接通畅的角度来看,arp欺骗分为二种:一种是对网关(路由器或三层交换机)的欺骗;另一种是对内网pc的欺骗。前者是通过伪造本网段内一系列正地址及对应的错误mac地址,并按照一定的频率不断发给网关,使真实的地址信息无法通过刷新保存在网关ar卫列表中,结果网关的所有数据只能发送给错误的mac地址,造成正常的主机无法收到信息而不能上网。后者的原理是欺骗者伪造网关,让被它欺骗的pc刷新其arp缓存列表,从而截获该pc发给网关的信息。
1.3.1欺骗网关假如c要欺骗网关的话,它可以通过不断的发送伪造的应答包,如图2所示:
c不断向网关g发送伪造的arp应答“192.168.0.1的mac地址是dddddddddddd”,“192.168.0.2的mac地址是eeeeeeeeeeee”。当g接收到c伪造的arp应答时,都会更新自己本地的arp缓存,这样主机a和b将无法收到来自网关g的信息,从而导致不能上网。
1.3.2欺骗局域网中某台主机如图3所示:假如a想和b通信,且a的缓存中没有b的信息,这时候a就发送一个广播包,询问192.168.0.2主机的mac地址。
假设c是欺骗者,于是c向a发送一个自己伪造的arp应答:“192.168.0.2的mac地址是cccccccccccc”。当a接收到c伪造的arp应答,就会更新本地的arp缓存(a并不知道被伪造了)。于是a以后向b发送的信息就会被c所截获。
2.1 是windows系统的一个动态库(network packet provider tools helper)常被arp病毒利用,所以,禁止了将使此类病毒无法正常运行。具体方法是:在安全模式中,打开windows\system32\文件。删除这个文件后,用零字节的文件替换。最后将保存为只读文件。
2.2 制作ip绑定mac地址的批处理文件 编写一个批处理文件,内容如下:
@echo off
arp-d
arp-s网关ip地址 网关mac地址
保存为:。运行批处理文件。即将这个批处理文件拖到开始菜单启动中,批处理文件可以在开机后设置一个静态的mac、ip 对应表,并不让主机刷新。
2.3 对于只是感染arp的机器可以通过手动来清除而不用重新安装系统。
2.3.1 结束arp病毒进程,删除系统中存在的下列文件:%windows%\system32\。
%windows%\system32\driver\
%windows%\system32\
2.3.2 删除病毒的假驱动程序,打开注册表服务项:hkey_localmachine/system/currentcontrolset/services/npf,保存退出重新启动电脑。
2.4 经常更新杀毒软件(病毒库),安装并使用arp防火墙软件,如奇虎360arp防火墙。
2.5 mac地址与ip地址的绑定是最简单有效的arp攻击防御方法。这样在查找arp中毒电脑时很方便。利用局域网查看工具(lan see)可以很方便地收集同一网段内机器的ip地址、机器名、mac地址。需要注意的是先关闭被收集信息的机器的windows防火墙,才能收集到所需信息。
3 结束语
arp病毒的泛滥对数字化图书馆的影响很大,网络总是掉线,导致了读者不能正常使用图书馆资源,工作人员不能顺畅的工作,带来了很多障碍。本文分析了arp欺骗的原理提出了解决arp欺骗的几种方法。解决arp欺骗以及防范有关病毒的更多更好的方法,还有待于我们继续探讨。
参考文献:
[1]谢希仁.计算机网络[m].北京:电子工业出版社,2004.
[2][美]douglas e c.用tcp/ip进行网际互联(第1卷):原理、协议与结构[m].4版.北京:电子工业出版社,2003:7.
[3]王奇.以太网中arp欺骗原理与解决办法[j].网络安全,2007(2).
[4]陆余良,张永,刘克胜,等.arp协议在局域网类型探测中的应用[j].计算机工程,2004,30(1):1952197.
关键词:arp数字图书馆病毒防治
0引言
近来,数字图书馆局域网相继出现频繁掉线的现象,访问internet时断时续,影响面积较大。通过检查,我们发现故障的发生与arp欺骗病毒有关。该病毒导致网内其他主机的arp缓存表中默认网关的mac地址错误,使其他主机掉线,达到自身主机独享线路带宽的目的。本文首先介绍arp协议和其欺骗的过程,然后对校园网中此类arp欺骗的原理进行分析,最后结合实际给出了相应的解决办法。
1arp概述
1.1arp协议简介在以太网(ethernet)中,一个网络设备要和另一个网络设备进行直接通信,除了知道目标设备的网络层逻辑地址(正地址)外,还要知道目标设备的物理地址(mac地址)。要知道目的mac地址,就需要通过地址解析。所谓地址解析就是主机在发送帧前将目的正地址转换成目的mac地址的过程。arp协议(addressresolutionprotocol)的基本功能就是通过目标设备的ip地址,查询目标设备的mac地址,以保证通信的顺利进行。
1.2arp协议工作原理在每台安装有tcp/ip协议的主机里都有一个arp高速缓存表,arp高速缓存是主机维护的一个ip地址到相应以太网地址的映射表,表里的ip地址与mac地址是——对应的。wWW.lw881.com
如图1所示:以主机a(ip:192.168.0.1,mac:aa-aa-aa-aa
-aa-aa)向主机b(ip:192.168.0.2,mac:bb-bb-bb-bb-bb-
bb)发送数据为例。
当发送数据时,主机a会在自己的arp缓存表中寻找是否有目标b的正地址。如果找到了,也就知道了b的mac地址,于是直接把b的mac地址写入帧里面发送就可以了;如果在arp缓存表中没有找到相对应的ip地址,主机a就会在网络上发送一个广播包,其目标mac地址是ff-ff-ff-ff-ff-ff,这表示向本网段内的所有主机发出这样的询问:“192.168.0.2的mac地址是?”网络上其它主机并不响应这一arp请求,只有主机b接收到这个帧时,才向主机a做出这样的响应:“192.168.0.2的mac地址是bb-bb-bb-bb-bb-bb”。这样,主机a就知道了主机b的mac地址,它就可以向主机b发送数据了。同时它还更新了自己的arp缓存表,当下次再向主机b发送信息时,就直接从arp缓存表里查找。arp缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少arp缓存表的长度,加快查询速度。
1.3arp欺骗的过程从影响网络连接通畅的角度来看,arp欺骗分为二种:一种是对网关(路由器或三层交换机)的欺骗;另一种是对内网pc的欺骗。前者是通过伪造本网段内一系列正地址及对应的错误mac地址,并按照一定的频率不断发给网关,使真实的地址信息无法通过刷新保存在网关ar卫列表中,结果网关的所有数据只能发送给错误的mac地址,造成正常的主机无法收到信息而不能上网。后者的原理是欺骗者伪造网关,让被它欺骗的pc刷新其arp缓存列表,从而截获该pc发给网关的信息。
1.3.1欺骗网关假如c要欺骗网关的话,它可以通过不断的发送伪造的应答包,如图2所示:
c不断向网关g发送伪造的arp应答“192.168.0.1的mac地址是dddddddddddd”,“192.168.0.2的mac地址是eeeeeeeeeeee”。当g接收到c伪造的arp应答时,都会更新自己本地的arp缓存,这样主机a和b将无法收到来自网关g的信息,从而导致不能上网。
1.3.2欺骗局域网中某台主机如图3所示:假如a想和b通信,且a的缓存中没有b的信息,这时候a就发送一个广播包,询问192.168.0.2主机的mac地址。
假设c是欺骗者,于是c向a发送一个自己伪造的arp应答:“192.168.0.2的mac地址是cccccccccccc”。当a接收到c伪造的arp应答,就会更新本地的arp缓存(a并不知道被伪造了)。于是a以后向b发送的信息就会被c所截获。
2 arp欺骗的防治
2.1 是windows系统的一个动态库(network packet provider tools helper)常被arp病毒利用,所以,禁止了将使此类病毒无法正常运行。具体方法是:在安全模式中,打开windows\system32\文件。删除这个文件后,用零字节的文件替换。最后将保存为只读文件。
2.2 制作ip绑定mac地址的批处理文件 编写一个批处理文件,内容如下:
@echo off
arp-d
arp-s网关ip地址 网关mac地址
保存为:。运行批处理文件。即将这个批处理文件拖到开始菜单启动中,批处理文件可以在开机后设置一个静态的mac、ip 对应表,并不让主机刷新。
2.3 对于只是感染arp的机器可以通过手动来清除而不用重新安装系统。
2.3.1 结束arp病毒进程,删除系统中存在的下列文件:%windows%\system32\。
%windows%\system32\driver\
%windows%\system32\
2.3.2 删除病毒的假驱动程序,打开注册表服务项:hkey_localmachine/system/currentcontrolset/services/npf,保存退出重新启动电脑。
2.4 经常更新杀毒软件(病毒库),安装并使用arp防火墙软件,如奇虎360arp防火墙。
2.5 mac地址与ip地址的绑定是最简单有效的arp攻击防御方法。这样在查找arp中毒电脑时很方便。利用局域网查看工具(lan see)可以很方便地收集同一网段内机器的ip地址、机器名、mac地址。需要注意的是先关闭被收集信息的机器的windows防火墙,才能收集到所需信息。
3 结束语
arp病毒的泛滥对数字化图书馆的影响很大,网络总是掉线,导致了读者不能正常使用图书馆资源,工作人员不能顺畅的工作,带来了很多障碍。本文分析了arp欺骗的原理提出了解决arp欺骗的几种方法。解决arp欺骗以及防范有关病毒的更多更好的方法,还有待于我们继续探讨。
参考文献:
[1]谢希仁.计算机网络[m].北京:电子工业出版社,2004.
[2][美]douglas e c.用tcp/ip进行网际互联(第1卷):原理、协议与结构[m].4版.北京:电子工业出版社,2003:7.
[3]王奇.以太网中arp欺骗原理与解决办法[j].网络安全,2007(2).
[4]陆余良,张永,刘克胜,等.arp协议在局域网类型探测中的应用[j].计算机工程,2004,30(1):1952197.
上一篇:网络管理与维护(二)
下一篇:购物网站—农产品网上销售新平台