[摘要] 很多黑客工具甚至是病毒都是通过ARP来实现对主机进行和本机访问任何网络信息的目的,那么什么ARP病毒,它的原理和危害是什么呢?我们的IR6200+又是怎样怎样针对ARP病毒进行防治的呢?下面我就做一个比较详细的阐述。 相信很多人都曾经到网吧上网冲浪。不过在使请看如下
[摘要]
很多黑客工具甚至是病毒都是通过ARP来实现对主机进行和本机访问任何网络信息的目的,那么什么ARP病毒,它的原理和危害是什么呢?我们的IR6200+又是怎样怎样针对ARP病毒进行防治的呢?下面我就做一个比较详细的阐述。
相信很多人都曾经到网吧上网冲浪。不过在使用过程中是否出现过别人可以正常上网而自己却无法访问任何页面和网络信息的情况呢?虽然造成这种现象的情况有很多,但是目前最常见的就是ARP了,很多黑客工具甚至是病毒都是通过ARP来实现对主机进行和本机访问任何网络信息的目的,那么什么ARP病毒,它的原理和危害是什么呢?我们的IR6200+又是怎样怎样针对ARP病毒进行防治的呢?下面我就做一个比较详细的阐述。
提到ARP病毒就不能说一下ARP协议,ARP协议是“AddressResolutionProtocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以通信的顺利进行。所以说从某种意义上讲ARP协议是工作在更低于IP协议的协议层。这也是为什么ARP更能够让人在神不知鬼不觉的情况下出现网络故障,它的危害更加隐蔽。
接下来阐述下ARP的原理。首先可以肯定一点的就是发送ARP包是通过ARP病毒程序自动发送的,正常的TCP/IP网络是不会有这样的错误包发送的,而人工发送又比较麻烦。也就是说当ARP病毒程序没有运行的话,网络上通信应该是一切正常的,保留在各个连接网络计算机上的ARP缓存表也应该是正确的,只有病毒程序启动开始发送错误ARP信息以及ARP包时才会让某些计算机访问网络出现问题。
第一步:假设这样一个网络,一个Hub或交换机连接了3台机器,依次是计算机A,B,C。
A的地址为:IP:192.168.1.1MAC:AA-AA-AA-AA-AA-AAB的地址为:IP:192.168.1.2MAC:BB-BB-BB-BB-BB-BBC的地址为:IP:192.168.1.3MAC:CC-CC-CC-CC-CC-CC
第二步:正常情况下在A计算机上运行ARP-A查询ARP缓存表应该出现如下信息。
Intece:192.168.1.1onIntece0x1000003InternetAddressPhysicalAddressType192.168.1.3CC-CC-CC-CC-CC-CCdynamic
第三步:在计算机B上运行ARP程序,来发送ARP包。
B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A可不知道被伪造了)。而且A不知道其实是从B发送过来的,A这里只有192.168.10.3(C的IP地址)和无效的D的mac地址。
第四步:完毕我们在A计算机上运行ARP-A来查询ARP缓存信息。你会发现原来正确的信息现在已经出现了错误。
Intece:192.168.1.1onIntece0x1000003InternetAddressPhysicalAddressType192.168.1.3DD-DD-DD-DD-DD-DDdynamic
从的介绍我们可以清楚的明白原来网络中传输数据包最后都是要根据MAC地址信息的,也就是说虽然我们日常通讯都是通过IP地址,但是最后还是需要通过ARP协议进行地址转换,将IP地址变为MAC地址。当ARP包针对网关时,问题会变的更加严重,域网中一台机器,反复向其他机器,特别是向网关,发送这样无效假冒的ARP应答信息包时,严重的网络堵塞就会开始。由于网关MAC地址错误,所以从网络中计算机发来的数据无法正常发到网关,自然无法正常上网。这就造成了无法访问外网的问题,另外由于很多时候网关还控制着我们的局域网LAN上网,所以这时我们的LAN访问也就出现问题了,这就造成了整个网络的掉线。
在对ARP病毒的原理了解之后,如何防止ARP病毒危害就显得至关重要了。我们的新版IR6200+在对ARP病毒的防治上针对老版本软件的一些不足做了相当大的修改,无论从病毒的防止效果还是实际的操作方法上都有了很大的提高,下面我就把新版IR6200+的防ARP策略及操作做一下简单介绍:
1、在路由器上激活防止ARP病毒功能:进入路由器的配置界面,启用防火墙后,选中ARP选项中的两项,然后点应用。在启用之后对于一些常见的由于ARP导致的服务的就能起到防止作用,此外在启用之后路由器会定时向内网发送正确的ARP包,这样可以对内网一些受到ARP而被更改的ARP列表进行更正,避免了由于错误的信息而导致的掉线。
2、在路由器端进行静态IP/MAC绑定,我们新版的IR6200+针对原先老版本软件逐条添加可能导致漏添而使部分电脑无法上网现象,从根本上改变了路由器端绑定用户IP/MAC地址的方法,用户只需要将要绑定机器的IP/MAC地址添加到一个TXT文档内,然后直接导入到路由器内即可。在绑定成功完成后,如果又有新的机器需要绑定,只需将要添加的机器的IP/MAC输入到对应的,点击添加按钮即轻松完成,而不必在重新进行导入。另外,为了便于对内网机器的管理,只需将“只允许ARP绑定的电脑访问互联网”选中后,点应用就可以没有绑定的机器访问网络。
3、对每台主机上绑定网关和内网机器的IP和其MAC地址。
在每台PC机进入dos操作,输入arp–s192.168.1.1(网关IP)00-0f-3d-83-74-28(网关MAC),回车后完成每台PC机的绑定。
针对网络内的其它主机用同样的方法输入相应的主机IP以及MAC地址完成IP与MAC绑定。但是此动作,如果重起了电脑,作用就会消失,所以可以把此命令做成一个批处理文件,放在操作系统的启动里面,批处理文件可以这样写:
@echooff
arp–d
arp–s192.168.1.100-0f-3d-83-74-28
arp–s192.168.1.200-0B-2F-1B-16-3F
单靠以上的操作基本可以解决问题,但是我们可以通过下面几点来进一步控制ARP的。
1、病毒源,对病毒源头的机器进行处理,杀毒或重新装系统。此操作比较重要,解决了ARP的源头PC机的问题,可以内网免受。
2、网吧管理员检查局域网病毒,安装杀毒软件(金山毒霸/瑞星,必须要更新病毒代码),对机器进行病毒扫描。
3、给系统安装补丁程序,通过WindowsUpdate安装好系统补丁程序(关键更新、安全更新和ServicePack)。
4、给系统管理员帐户设置足够复杂的强密码,最好能是12位以上,字母+数字+符号的组合;也可以禁用/删除一些不使用的帐户。
5、经常更新杀毒软件(病毒库),设置允许的可设置为每天定时自动更新。安装并使用网络防火墙软件,网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地自来网络的和病毒的入侵。部分盗版Windows用户不能正常安装补丁,不妨通过使用网络防火墙等其它方法来做到一定的防护。
6、关闭一些不需要的服务,条件允许的可关闭一些没有必要的共享,也包括C$、D$等管理共享。完全单机的用户也可直接关闭Server服务。
7、不要随便点击打开QQ、MSN等聊天工具上发来的链接信息,不要随便打开或运行陌生、可疑文件和程序,如邮件中的陌生附件,外挂程序等。
ARP防制是一个任重而道远的过程,必须高度重视这个问题,而且不能大意马虎,随时ARP,以减少受到的危害,提高工作效率,降低经济损失。
(新闻稿2007-11-03)
·服务公益事业长城推出嘉祥I公益电脑
·一键搜歌操控简单卡尔诗U8便携音箱评测
·高频更稳定铭鑫GTX560N幻彩版震撼价促
·酷睿i3芯1G独显联想B520e一体机降促
·体验流畅游戏实惠四核独显游戏配置推荐
·Atom双核独显小巧灵动联想Q180家用PC
·由于缺乏资金夏普近期将多种挑战
·电视功能+多点触屏B960芯独显海尔Q8
·网游高清兼顾APU整合平台配置全面推荐
·入门家用首选APU双核一体机联想C325
·支持远程打印惠普新推两款打印一体机
·超薄炫彩家用PC二代i3芯戴尔灵越660s
tags:─192.168.1.2