《网络安全防护项目教程》 课件 子任务4-1-1 认识ARP病毒.pptx

4.1任务概述

小明忙碌了一星期，终于完成了预期的目标任务，如释重负，开心地登陆了传奇服务器，但没一会就断线了；检查网络却发现没问题切换到病毒主机上网后，病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。上述现象到底是中了什么病毒呢？4.2情境描述

怎样防御病毒？什么是病毒？病毒有哪些特点？如何识别病毒？12344.3任务分析怎样防御恶意网页？5

了解病毒工作原理掌握病毒症状掌握中毒现象掌握病毒清除方法学习目标：知识目标技能目标态度目标会识别病毒能使用适当方法清除病毒能拦截恶意网页能修复浏览器起始页培养认真细致的工作态度和工作作风养成刻苦、勤奋、好问、独立思考和细心检查的学习习惯能与组员精诚合作，能正确面对他人的成功或失败自学能力强，分析问题、解决问题能力和创新的能力

1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在其第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”此定义具有法律性、权威性。计算机病毒一般会具备一定的破坏性，导致数据丢失或损坏、感染更多的计算机等，因此需要了解病毒的原理、感染途径然后清除，在未感染的时候需要设置一定的安全防御措施，避免感染病毒。首先应了解病毒、识别病毒4.1情境描述

1.ARP病毒工作原理子任务4-1-1认识ARP病毒任务4-1常见病毒的清楚与防御在局域网内设备间的正常通信是通过地址广播，查找彼此的IP地址和MAC地址对应关系，这就是ARP（AddressResolutionProtocol，地址解析协议）通信。ARP病毒的工作原理就是破坏网络设备（计算机、路由器、核心交换机、接入交换机等）的ARP表内容，使得设备无法查到IP对应的正确MAC地址，导致报文发送错误，从而造成网络通信瘫痪。

子任务4-1-1认识ARP病毒任务4-1常见病毒的清楚与防御2.ARP病毒症状ARP病毒的症状非常多，变种也非常多，但其基本的攻击方式主要有4种，具体如下。（1）症状1。所有计算机配置相同，处于同一个网段，唯独小王的计算机无法上网，而且网线、网络接口等都正常，计算机重启后网络恢复正常，过一段时间后，网络又瘫痪。

查看每台计算机的ARP表，发现网关的MAC地址错误。如图4-1-1所示，小王计算机的ARP表中，网关192.168.1.100的MAC地址已被修改另外一台计算机的地址，导致计算机无法再同网关通信，自然也就无法上网了。图4-1-1查看计算机ARP缓存表网关192.168.1.100的MAC地址原为00-15-AF-A3-71-4A。子任务4-1-1认识ARP病毒

（2）症状2。网络中的计算机逐台掉线，最后导致全部无法上网。管理员查看路由器ARP表项，发现各台计算机的MAC地址不正确，如图4-1-2所示。重启路由器后恢复正常，但过一段时间计算机又开始掉线。图4-1-2查看路由器ARP缓存表子任务4-1-1认识ARP病毒

（3）症状3小王在上网时突然掉线，一会又恢复了，但恢复后上网一直很慢，而且在与局域网内的其他计算机共享文件时速度也变慢。查看小王所有用计算机的ARP表，发现网关MAC地址已被修改，而且网关上该计算机的MAC地址也是伪造的。该计算机和网关之间的所有流量都中转到另外一台计算机上了。这叫做ARP“中间人（Maninthemiddle）”攻击，又称为ARP双向欺骗。恶意攻击者（主机B）想探听主机A和主机C之间的通信，于是分别给这两台主机发送伪造的ARP应答报文，使主机A和主机C用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后，主机A和主机C之间看似“直接”的通信，实际上都是通过主机B进行的，即主机B担当了“中间人”的角色，可以对信息进行窃取和篡改。子任务4-1-1认识ARP病毒

子任务4-1-1认识ARP病毒（4）症状4网络中用户上不了网或者网速很慢，但ARP表项都很正确，不过在网络中抓取报文进行分析时却发现大量ARP请求报文（正常情况时，网络中ARP报文所占比例很小）。这是因为恶意用户利用工具构造大量ARP报文发往交换机、路由器或某台计算机的某个端口，导致CPU因忙于处理ARP报文而负担过重，从而造成设备其他功能不正常甚至导致网络瘫痪。

3.判断是否中毒（1）命令查看如果想用简单的方法判断计算机是否中了ARP病毒，可使用arp–a命令。如果在ARP缓存表中发现不同主机的MAC地址一样，或者出现MAC地址错误的主机，或者出现网关的MAC地址（IP地址）与原有网关的MAC地址（IP地址）不一样，则证明中了ARP病毒。子任务4-1-1认识ARP病毒