arp病毒处理方法.doc

ARP网络病毒工作原理及处理方法 一、ARP工作原理 二、ARP病毒症状 三、如何知道网络中是否中了ARP网络病毒 四、目前解决ARP网络病毒的有效方法 五、网络故障排除基本步骤 六、实际案例分析 一、ARP工作原理 ARP（Address Resolution Protocol）用于将IP地址解析为MAC地址 1. ARP地址解析的必要性 IP地址不能直接用来进行通信，因为网络设备只能识别MAC地址。IP地址只是主机在网络层中的地址，如果要将网络层中传送的数据报交给目的主机，必须知道该主机的MAC地址。因此必须将IP地址解析为MAC地址。 2. ARP地址解析的实现过程 以太网上的两台主机需要通信时，双方必须知道对方的MAC地址。每台主机都要维护IP地址到MAC地址的转换表，称为ARP映射表。ARP映射表中存放着最近用到的一系列与本主机通信的其他主机的IP地址和MAC地址的映射。在主机启动时，ARP映射表为空；当一条动态ARP映射表项在规定时间没有使用时，主机将其从ARP映射表中删除掉，以便节省内存空间和ARP映射表的查找时间。 假设主机A和主机B在同一个网段，主机A的IP地址为IP_A，B的IP地址为IP_B，主机A要向主机B发送信息。主机A首先查看自己的ARP映射表，确定其中是否包含有IP_B对应的ARP映射表项。如果找到了对应的MAC地址，则主机A直接利用ARP映射表中的MAC地址，对IP数据包进行帧封装，并将数据发送给主机B；如果在ARP映射表中找不到对应的MAC地址，则主机A将该数据包放入ARP发送等待队列，然后创建一个ARP request，并以广播方式在以太网上发送。ARP request数据包中包含有主机B的IP地址，以及主机A的IP地址和MAC地址。由于ARP request数据包以广播方式发送，该网段上的所有主机都可以接收到该请求，但只有被请求的主机（即主机B）会对该请求进行处理。主机B首先把ARP request数据包中的请求发起者（即主机A）的IP地址和MAC地址存入自己的ARP映射表中。然后主机B组织ARP响应数据包，在数据包中填入主机B的MAC地址，发送给主机A。这个响应不再以广播形式发送，而是直接发送给主机A。主机A收到响应数据包后，提取出主机B的IP地址及其对应的MAC地址，加入到自己的ARP映射表中，并把放在发送等待队列中的发往主机B的所有数据包都发送出去。 一般情况下，ARP动态执行并自动寻求IP地址到以太网MAC地址的解析，无需管理员的介入。 二、ARP病毒症状 有时候无法正常上网，有时候包括访问网上邻居也是如此，拷贝文件无法完成，出现错误；局域网内的ARP包爆增，使用ARP –的时候会发现不正常的MAC地址，或者是的MAC地址，还有就是一个MAC地址对应多个IP的情况rp static ip-address mac-address 001B-38A6-2D42 vlan-100 interface-e0/1 3、使用2层ACL屏蔽恶意的ARP报文 4、 设置以太网端口风暴抑制 可以使用以下的命令限制端口上允许通过的广播/组播/未知单播流量的大小，当广播/组播/未知单播流量超过用户设置的阈值后，系统将对广播/组播/未知单播流量作丢弃处理，使广播/组播/未知单播所占的流量比例降低到合理的范围，从而有效地抑制广播/组播/未知单播风暴，避免网络拥塞，保证网络业务的正常运行。 设置以太网端口的广播风暴抑制比例broadcast-suppression { ratio | pps max-pps } 5、在交换机上配置端口隔离，通过端口隔离特性，用户可以将需要进行控制的端口加入到一个隔离组中，实现端口之间二层、三层数据的隔离，既增强了网络的安全性，也提供了灵活的组网方案。 使用端口隔离、supervlan等阻断VLAN内PC互相之间的通信，也就阻断了ARP欺骗的可能性。由于启用端口隔离之后只是PC之间不能互相访问，PC和网关还是可以互通的，所以带毒PC还是可以攻击网关。 使用端口隔离虽然切断了ARP欺骗的传播途径，但同时也切断了vlan内PC之间正常的通信，这个问题如何解决呢？ 使用ARP代理 所有的vlan内通信都通过网关转接。 ARP代理的启用： VLAN接口视图下 arp proxy enable 6. 园区网络中受到ARP网络攻击后，ARP病毒会不断向网络中扩散，使遭受到攻击的主机越来越多。通过网络监控工具抓包，找到攻击源主机后，将病毒主机与网络隔离，将病毒主机网卡禁用即可，然后格式化后重新安装系统，打上补丁。 安装杀毒软件查杀病毒 装完系统后,可以使用资源管理器访问驱动器，不要双击仍何盘符,双击后有可能导致计算机再次感染病毒. 安装卡巴斯基6.0杀毒软件后,升级,对整个硬盘进行