论文部分内容阅读
摘要: 较直观地介绍ARP协议的基本定义和工作过程及ARP病毒的基本原理。并根据ARP欺骗技术提出个人电脑防范ARP病毒的几点对策。
关键词: ARP协议;ARP病毒;对策
中图分类号:TP393文献标识码:A文章编号:1671-7597(2011)0620171-01
1 ARP协议的基本定义
ARP协议即地址解析协议,全称为Address Resolution Protocol,该协议是建立IP地址与MAC地址(网卡物理地址)映射关系的协议。利用arp-a命令可以查看本机里存储的arp缓存表的内容。操作如下:
点击“开始→运行”,在运行窗口中输入cmd,点击“确定”按钮进入MS-DOS窗口;在提示符后输入arp-a,回车后可以看到类似于下面的信息:
192.168.0.500-25-90-22-c6-30dynamic
192.168.0.25400-0f-e2-6a-ba-73dynamic
这是本机里存储的关于IP地址与MAC地址的映射关系,dynamic表示是动态的,过一定时间就会被更新。
2 ARP协议的工作过程
ARP协议的基本功能是已知目标设备的IP地址,查询目标设备的MAC地址。下面我们通过实例更加直观地了解ARP协议的工作过程。
比如说,我们有两台电脑:A机的IP地址是192.168.0.1,MAC地址是00-25-90-22-c6-10;B机的IP地址是192.168.0.5,MAC地址是00-25-90-22-c6-30。当A机要和B机通信时,A机只知道B机的IP地址是192.168.0.5,
它首先会查看本机的arp缓存表中是否有对应的表项,如果有就直接以B机的MAC地址为目的地址发送数据包;如果没有,A机就会发出一个arp请求包广播,它的作用是询问IP地址为192.168.0.5的主机对应的MAC地址,当然,网络中所有电脑都会接收到这个请求包,但只有IP地址为192.168.0.5的B机才会给A机回复一个arp应答包,告诉A机它的MAC地址为00-25-90-22-c6-30,这样A机就可以给B机发送数据包。同时,A机会刷新本机的arp缓存表,将B机的IPMAC映射关系临时添入表中。
3 ARP病毒的基本原理
ARP病毒又叫ARP地址欺骗类病毒,该病毒没有传染性,也不能自我复制,是一种特殊的木马病毒。ARP病毒的基本原理是:在局域网内,当某台电脑感染ARP病毒时,该机器会将自己的MAC地址映射到网关的IP地址上,并向整个网络内发送大量虚假的arp数据包,强制用户将发送的数据包发给病毒电脑。因此,当ARP病毒发作时,通常会导致用户上网时断时续且速度越来越慢等现象,严重时将出现无法上网的现象。目前发现该病毒发作时仅对同一网段内的电脑有影响。
4 个人电脑防范ARP病毒的几点对策
4.1 绑定网关IP地址和MAC地址
Windows用户可用绑定网关地址的方法防范ARP病毒影响。操作如下:
1)获取真实的网关IP地址和MAC地址。
点击“开始→运行”,在运行窗口中输入cmd,点击“确定”按钮进入MS-DOS窗口;在提示符后先输入ipconfig/all查看网关IP地址,再输入arp-a查看网关IP地址对应的MAC地址。如果电脑已经不能正常上网,可利用arp -d命令清除arp缓存表记录,这样电脑可暂时恢复上网,再查看网关IP地址和MAC地址。
2)记录下真实的网关IP地址和MAC地址,编写一个批处理文件。
首先依次点击“开始→程序→附件→记事本”选项,在打开的记事本窗口中,输入以下命令代码:
@echo off
arp-d
arp-s 192.168.0.254 00-0f-e2-6a-ba-10
其中“arp-d”命令主要是用来清除本机中的arp缓存表记录,“arp-s”命令主要是用来绑定网关IP地址和MAC地址。
然后依次点击“文件→保存”选项,将上述命令代码保存成批处理文件,如保存为arp.bat文件。
3)运行该批处理文件。
方法一:用鼠标双击该批处理文件,即可完成网关IP地址和MAC地址的绑定。但该方法在计算机重启后会自动失效,需要重复绑定操作。
方法二:将该批处理文件保存到“C:Documents and SettingsAll Users「开始」菜单程序启动”下。这样,每当电脑重新启动时,该批处理文件都会自动运行。
绑定结束后,可用arp-a命令查看arp缓存表,网关IP-MAC类型dynamic
(动态)将变成static(静态),避免了本机受到ARP病毒的影响。
4.2 安装MS06-014和MS07-017补丁
如果操作系统存在漏洞,那么计算机系统很容易被植入木马程序,感染ARP病毒。及时下载安装微软MS06-014和MS07-017两个补丁,防范ARP病毒的感染。
4.3 安装专门软件防范ARP病毒
安装专门的防ARP病毒软件,是防范ARP病毒的强有效的解决方法。下面推荐二款软件用于防范ARP病毒,供大家参考。
1)安装360安全卫士
安装并运行360安全卫士,依次点击“保护→开启实时保护”,在选项“局域网ARP攻击拦截”中选择“开启”项,重新启动电脑后该功能生效。
2)安装Anti ARP Sniffer软件
Anti ARP Sniffer软件可以防止ARP病毒利用arp欺骗技术截取数据包或发送地址冲突数据包。下面介绍该软件使用方法。
步骤一:利用“ipconfig/all”命令获取本机MAC地址和本网段网关地址。
步骤二:运行Antiarp.exe文件。
步骤三:在“网关地址”处,填入网关IP地址,点击“获取网关MAC地址”,在“网关MAC”处将会自动显示网关的MAC地址;点击“自动保护”,这样就可以防止本机与网关间的数据包被截取。
步骤四:首先点击“恢复默认”,再点击“防护地址冲突”,这样就可以防止受到arp欺骗攻击。
除了利用上述的各种技术手段来应付ARP病毒外,最好设置静态的IP-MAC映射关系或停止使用ARP协议。
参考文献:
[1]胡道元,计算机网络(中级)[M].清华大学出版社,1999.
作者简介:
冯楠,65066部队讲师;沈鹏,65066部队政治教导员。
关键词: ARP协议;ARP病毒;对策
中图分类号:TP393文献标识码:A文章编号:1671-7597(2011)0620171-01
1 ARP协议的基本定义
ARP协议即地址解析协议,全称为Address Resolution Protocol,该协议是建立IP地址与MAC地址(网卡物理地址)映射关系的协议。利用arp-a命令可以查看本机里存储的arp缓存表的内容。操作如下:
点击“开始→运行”,在运行窗口中输入cmd,点击“确定”按钮进入MS-DOS窗口;在提示符后输入arp-a,回车后可以看到类似于下面的信息:
192.168.0.500-25-90-22-c6-30dynamic
192.168.0.25400-0f-e2-6a-ba-73dynamic
这是本机里存储的关于IP地址与MAC地址的映射关系,dynamic表示是动态的,过一定时间就会被更新。
2 ARP协议的工作过程
ARP协议的基本功能是已知目标设备的IP地址,查询目标设备的MAC地址。下面我们通过实例更加直观地了解ARP协议的工作过程。
比如说,我们有两台电脑:A机的IP地址是192.168.0.1,MAC地址是00-25-90-22-c6-10;B机的IP地址是192.168.0.5,MAC地址是00-25-90-22-c6-30。当A机要和B机通信时,A机只知道B机的IP地址是192.168.0.5,
它首先会查看本机的arp缓存表中是否有对应的表项,如果有就直接以B机的MAC地址为目的地址发送数据包;如果没有,A机就会发出一个arp请求包广播,它的作用是询问IP地址为192.168.0.5的主机对应的MAC地址,当然,网络中所有电脑都会接收到这个请求包,但只有IP地址为192.168.0.5的B机才会给A机回复一个arp应答包,告诉A机它的MAC地址为00-25-90-22-c6-30,这样A机就可以给B机发送数据包。同时,A机会刷新本机的arp缓存表,将B机的IPMAC映射关系临时添入表中。
3 ARP病毒的基本原理
ARP病毒又叫ARP地址欺骗类病毒,该病毒没有传染性,也不能自我复制,是一种特殊的木马病毒。ARP病毒的基本原理是:在局域网内,当某台电脑感染ARP病毒时,该机器会将自己的MAC地址映射到网关的IP地址上,并向整个网络内发送大量虚假的arp数据包,强制用户将发送的数据包发给病毒电脑。因此,当ARP病毒发作时,通常会导致用户上网时断时续且速度越来越慢等现象,严重时将出现无法上网的现象。目前发现该病毒发作时仅对同一网段内的电脑有影响。
4 个人电脑防范ARP病毒的几点对策
4.1 绑定网关IP地址和MAC地址
Windows用户可用绑定网关地址的方法防范ARP病毒影响。操作如下:
1)获取真实的网关IP地址和MAC地址。
点击“开始→运行”,在运行窗口中输入cmd,点击“确定”按钮进入MS-DOS窗口;在提示符后先输入ipconfig/all查看网关IP地址,再输入arp-a查看网关IP地址对应的MAC地址。如果电脑已经不能正常上网,可利用arp -d命令清除arp缓存表记录,这样电脑可暂时恢复上网,再查看网关IP地址和MAC地址。
2)记录下真实的网关IP地址和MAC地址,编写一个批处理文件。
首先依次点击“开始→程序→附件→记事本”选项,在打开的记事本窗口中,输入以下命令代码:
@echo off
arp-d
arp-s 192.168.0.254 00-0f-e2-6a-ba-10
其中“arp-d”命令主要是用来清除本机中的arp缓存表记录,“arp-s”命令主要是用来绑定网关IP地址和MAC地址。
然后依次点击“文件→保存”选项,将上述命令代码保存成批处理文件,如保存为arp.bat文件。
3)运行该批处理文件。
方法一:用鼠标双击该批处理文件,即可完成网关IP地址和MAC地址的绑定。但该方法在计算机重启后会自动失效,需要重复绑定操作。
方法二:将该批处理文件保存到“C:Documents and SettingsAll Users「开始」菜单程序启动”下。这样,每当电脑重新启动时,该批处理文件都会自动运行。
绑定结束后,可用arp-a命令查看arp缓存表,网关IP-MAC类型dynamic
(动态)将变成static(静态),避免了本机受到ARP病毒的影响。
4.2 安装MS06-014和MS07-017补丁
如果操作系统存在漏洞,那么计算机系统很容易被植入木马程序,感染ARP病毒。及时下载安装微软MS06-014和MS07-017两个补丁,防范ARP病毒的感染。
4.3 安装专门软件防范ARP病毒
安装专门的防ARP病毒软件,是防范ARP病毒的强有效的解决方法。下面推荐二款软件用于防范ARP病毒,供大家参考。
1)安装360安全卫士
安装并运行360安全卫士,依次点击“保护→开启实时保护”,在选项“局域网ARP攻击拦截”中选择“开启”项,重新启动电脑后该功能生效。
2)安装Anti ARP Sniffer软件
Anti ARP Sniffer软件可以防止ARP病毒利用arp欺骗技术截取数据包或发送地址冲突数据包。下面介绍该软件使用方法。
步骤一:利用“ipconfig/all”命令获取本机MAC地址和本网段网关地址。
步骤二:运行Antiarp.exe文件。
步骤三:在“网关地址”处,填入网关IP地址,点击“获取网关MAC地址”,在“网关MAC”处将会自动显示网关的MAC地址;点击“自动保护”,这样就可以防止本机与网关间的数据包被截取。
步骤四:首先点击“恢复默认”,再点击“防护地址冲突”,这样就可以防止受到arp欺骗攻击。
除了利用上述的各种技术手段来应付ARP病毒外,最好设置静态的IP-MAC映射关系或停止使用ARP协议。
参考文献:
[1]胡道元,计算机网络(中级)[M].清华大学出版社,1999.
作者简介:
冯楠,65066部队讲师;沈鹏,65066部队政治教导员。