ARP病毒的防治要点.ppt

局域网络维护经验谈 导言 近期在全国范围内大规模爆发arp病毒及其各种变种，对各种行业与部门的网络管理人员是一个考验。 如果局域网中发现许多台电脑中毒，电脑中毒后会向同网段内所有计算机发ARP欺骗包。 由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞，用户会感觉上网速度越来越慢，掉线；甚至无法上网，同时造成整个局域网的不稳定，这种现象就是我们常见的ARP病毒。 ARP 病毒 一、故障原理 二、故障现象 三、故障检测 四、故障查杀 五、故障防治 【一、故障原理】 局域网内有人安装运行了使用ARP欺骗的木马程序（比如：QQ外挂、网游外挂、某些非官方网站下载的QQ之类的常用软件也被恶意加载了此类程序）。 该程序一旦被安装后，就会把自己放入系统自动启动组内，每次开机都会加载自身。 程序的目的一般是为了盗取QQ、网游、网上交易等密码，然后发送给木马作者，以获取经济利益。 【一、故障原理】 要了解ARP故障原理，我们先来了解一下ARP协议。 ARP病毒原理：arp是一种将ip转化成以ip对应的网卡的物理地址的一种协议，或者说ARP协议是一种将ip地址转化成MAC地址的一种协议。它靠维持在内存中保存的一张表来使ip得以在网络上被目标机器应答。 在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。 ARP协议对网络安全具有重要的意义。 通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。 【一、故障原理】 ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。 在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。 在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。 但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。 所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。 ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 【一、故障原理】 为什么要将ip转化成mac呢？简单的说，这是因为在tcp网络环境下，一个ip包走到哪里，要怎么走是靠路由表定义。 但是，当ip包到达该网络后，哪台机器响应这个ip包却是靠该ip包中所包含的mac地址来识别。 也就是说，只有机器的mac地址和该ip包中的mac地址相同的机器才会应答这个ip 包。 因为在网络中，每一台主机都会有发送ip包的时候。所以，在每台主机的内存中，都有一个 arp-- mac 的转换表。通常是动态的转换表（注意在路由中，该arp表可以被设置成静态）。 也就是说，该对应表会被主机在需要的时候刷新。这是由于以太网在子网层上的传输是靠48位的mac地址而决定的。 【一、故障原理】 每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下表所示。 主机 IP地址 MAC地址 A aa-aa-aa-aa-aa-aa B bb-bb-bb-bb-bb-bb C cc-cc-cc-cc-cc-cc D dd-dd-dd-dd-dd-dd 【一、故障原理】 WINDOWS的ARP表 cmd, arp –a输出结果 【一、故障原理】 华为三层交换机的ARP表 dis arp输出结果 【一、故障原理】 华为二层交换机：MAC端口对照表 dis mac 输出结果 【一、故障原理】 思科交换机MAC端口对照表 show mac address dynamic输出结果 【一、故障原理】 港湾交换机MAC端口对照表 show fdb输出结果 【一、故障原理】 我们以主机A（）向主机B（）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“的MAC地址是bb-bb-bb-bb-bb-bb”。 【一、故障原理】 这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少AR