论文部分内容阅读
摘要:随着计算机网络的普及,现在我们工作生活都离不开计算机网络,然而大家在使用过程中都会遇到形形色色的问题,其中ARP病毒攻击就是典型的一种,它悄无声息却严重影响着大家的工作和生活,本文主要阐述ARP病毒攻击原理和应对的一些策略,希望能够帮助到遇到问题的用户。
关键词:ARP;病毒;PING;MAC
ARP攻击是典型的一种利用IP协议规则进行网络攻击的病毒,IP协议是一个开放式的协议,正是因为开放导致一些不可避免的漏洞。在我们日常办公中经常会遇到这类问题,网络时断时续,难以找到问题的源头。严重干扰我们的日常办公生活娱乐,而且排查也相对找不到头绪。下面我就阐述一下ARP的基本工作原理和ARP攻击的应对策略。
首先ARP(Address Resolution Protocol)是地址解析协议,主要作用是根据目标IP地址获取目标物理MAC地址,从而完成设备之间的数据通讯,是一个非常重要的协议。而它的工作原理就是请求设备发出包含目标设备IP地址的ARP广播报文,相同网段设备接受到报文后,目标设备作出回应,这样请求设备就得到了ARP表项并记录在设备上,因为IP网是一个开放式的网络,灵活多变,为了适应这种时刻变化的网络,设计者在设计的时候一般ARP表项保留300秒,过时就会自动删除此表项。基于这个工作原理,就诞生了ARP欺骗的病毒,原理就是同一网段的其他设备发出伪装目标主机的ARP回应报文,导致请求主机得到错误的ARP表项,从而导致通讯异常。而且一般来说ARP病毒都是伪装成网关设备,从而导致整个网络的瘫痪。
笔者根据10多年的工作经验总结了一些ARP病毒排查和应对方法。 首先故障机不一定是自病毒机,我们通过故障机ping网关,和相同网段内的其他主机,如果网关不通,而其他主机能通则基本判定为ARP攻击。以下是具体排查步骤:
第一步:我们在故障机上使用arp –a 的命令行,来查询目前该主机的ARP表项,会得到目前和主机通讯的其他设备的ARP表项,如下图
第二步:比对网关设备MAC地址和此ARP表项里的是否一致,如果不一致就能绝对判定是ARP攻击捣的鬼。
第三步:查找ARP病毒机,根据上图中查找出来的ARP表项,得到病毒机的MAC地址,根据此MAC地址可以在交换机上查询MAC地址查找到具体的设备。然后查杀病毒,解决故障。
因为IP网络是一张开放的网络,我们不能全然避免病毒的入侵,因此我们可以采用在主机上静态绑定ARP表项的方式来绑定网关的MAC地址,等于是打了一针疫苗,ARP病毒就对他不起作用了。具体方式如下:arp -s 网关IP 网关MAC。因为ARP表项有时间寿命,或者开关机后会自动清除,所以我们加了-s的永久参数,这样ARP表项会一直保留在主机中,除非手工解除。这样我们就一劳永逸的解决了ARP病毒攻击的问题,唯一缺点是更换网关设备后需要手工解绑后重新绑定。
以上是我对ARP病毒攻击的小小阐述和一些应对策略,希望能够帮助一些网管人员,大家一起学习共同进步。为计算机网络发展提供绵薄之力。
参考文献:
[1]张小平. 基于ARP漏洞与ARP攻击防范的研究[J]. 电子技术与软件工程. 2013(18)
[2]蒋华,魏占祯,杨亚涛. 一种ARP攻击及其相关的安全策略[J]. 北京电子科技学院学报. 2005(02) [3] 杨建强. 浅谈ARP原理及ARP攻击、判断、防范技术[J]. 哈尔滨职业技术学院学报. 2011(01)
[4]郑志勇,花的神明. 不再谈ARP色变 ARP攻击原理与防御[J]. 电脑迷. 2007(12) [5] 李宁. 局域网ARP攻击的防御机制探索[J]. 电脑知识与技术. 2009(11)
[6]项宁,管群. ARP漏洞及其ARP攻击防范[J]. 软件导刊. 2009(11) [7] 周在龙. arp攻击解析[J]. 科技信息. 2008(27)
[8]姚路,马克. 一种检测ARP攻击算法[J]. 青海师范大学学报(自然科学版). 2014(01) [9] 崔宁. ARP防攻击技术的研究[J]. 电子技术与软件工程. 2015(10)
[10]陈卫军,刘跃军. 针对ARP攻击的网络防范机制研究[J]. 安阳师范学院学报. 2008(02)
关键词:ARP;病毒;PING;MAC
ARP攻击是典型的一种利用IP协议规则进行网络攻击的病毒,IP协议是一个开放式的协议,正是因为开放导致一些不可避免的漏洞。在我们日常办公中经常会遇到这类问题,网络时断时续,难以找到问题的源头。严重干扰我们的日常办公生活娱乐,而且排查也相对找不到头绪。下面我就阐述一下ARP的基本工作原理和ARP攻击的应对策略。
首先ARP(Address Resolution Protocol)是地址解析协议,主要作用是根据目标IP地址获取目标物理MAC地址,从而完成设备之间的数据通讯,是一个非常重要的协议。而它的工作原理就是请求设备发出包含目标设备IP地址的ARP广播报文,相同网段设备接受到报文后,目标设备作出回应,这样请求设备就得到了ARP表项并记录在设备上,因为IP网是一个开放式的网络,灵活多变,为了适应这种时刻变化的网络,设计者在设计的时候一般ARP表项保留300秒,过时就会自动删除此表项。基于这个工作原理,就诞生了ARP欺骗的病毒,原理就是同一网段的其他设备发出伪装目标主机的ARP回应报文,导致请求主机得到错误的ARP表项,从而导致通讯异常。而且一般来说ARP病毒都是伪装成网关设备,从而导致整个网络的瘫痪。
笔者根据10多年的工作经验总结了一些ARP病毒排查和应对方法。 首先故障机不一定是自病毒机,我们通过故障机ping网关,和相同网段内的其他主机,如果网关不通,而其他主机能通则基本判定为ARP攻击。以下是具体排查步骤:
第一步:我们在故障机上使用arp –a 的命令行,来查询目前该主机的ARP表项,会得到目前和主机通讯的其他设备的ARP表项,如下图
第二步:比对网关设备MAC地址和此ARP表项里的是否一致,如果不一致就能绝对判定是ARP攻击捣的鬼。
第三步:查找ARP病毒机,根据上图中查找出来的ARP表项,得到病毒机的MAC地址,根据此MAC地址可以在交换机上查询MAC地址查找到具体的设备。然后查杀病毒,解决故障。
因为IP网络是一张开放的网络,我们不能全然避免病毒的入侵,因此我们可以采用在主机上静态绑定ARP表项的方式来绑定网关的MAC地址,等于是打了一针疫苗,ARP病毒就对他不起作用了。具体方式如下:arp -s 网关IP 网关MAC。因为ARP表项有时间寿命,或者开关机后会自动清除,所以我们加了-s的永久参数,这样ARP表项会一直保留在主机中,除非手工解除。这样我们就一劳永逸的解决了ARP病毒攻击的问题,唯一缺点是更换网关设备后需要手工解绑后重新绑定。
以上是我对ARP病毒攻击的小小阐述和一些应对策略,希望能够帮助一些网管人员,大家一起学习共同进步。为计算机网络发展提供绵薄之力。
参考文献:
[1]张小平. 基于ARP漏洞与ARP攻击防范的研究[J]. 电子技术与软件工程. 2013(18)
[2]蒋华,魏占祯,杨亚涛. 一种ARP攻击及其相关的安全策略[J]. 北京电子科技学院学报. 2005(02) [3] 杨建强. 浅谈ARP原理及ARP攻击、判断、防范技术[J]. 哈尔滨职业技术学院学报. 2011(01)
[4]郑志勇,花的神明. 不再谈ARP色变 ARP攻击原理与防御[J]. 电脑迷. 2007(12) [5] 李宁. 局域网ARP攻击的防御机制探索[J]. 电脑知识与技术. 2009(11)
[6]项宁,管群. ARP漏洞及其ARP攻击防范[J]. 软件导刊. 2009(11) [7] 周在龙. arp攻击解析[J]. 科技信息. 2008(27)
[8]姚路,马克. 一种检测ARP攻击算法[J]. 青海师范大学学报(自然科学版). 2014(01) [9] 崔宁. ARP防攻击技术的研究[J]. 电子技术与软件工程. 2015(10)
[10]陈卫军,刘跃军. 针对ARP攻击的网络防范机制研究[J]. 安阳师范学院学报. 2008(02)