ARP网络病毒工作原理及处理方法
一、ARP工作原理
二、ARP病毒症状
三、如何知道网络中是否中了ARP网络病毒
四、目前解决ARP网络病毒的有效方法
五、网络故障排除基本
步骤
新产品开发流程的步骤课题研究的五个步骤成本核算步骤微型课题研究步骤数控铣床操作步骤
六、实际
案例
全员育人导师制案例信息技术应用案例心得信息技术教学案例综合实践活动案例我余额宝案例
分析
一、ARP工作原理
ARP(Address Resolution Protocol)用于将IP地址解析为MAC地址
1. ARP地址解析的必要性
IP地址不能直接用来进行通信,因为网络设备只能识别MAC地址。IP地址只是主机在网络层中的地址,如果要将网络层中传送的数据报交给目的主机,必须知道该主机的MAC地址。因此必须将IP地址解析为MAC地址。
2. ARP地址解析的实现过程
以太网上的两台主机需要通信时,双方必须知道对方的MAC地址。每台主机都要维护IP地址到MAC地址的转换
表
关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf
,称为ARP映射表。ARP映射表中存放着最近用到的一系列与本主机通信的其他主机的IP地址和MAC地址的映射。在主机启动时,ARP映射表为空;当一条动态ARP映射表项在规定时间没有使用时,主机将其从ARP映射表中删除掉,以便节省内存空间和ARP映射表的查找时间。
假设主机A和主机B在同一个网段,主机A的IP地址为IP_A,B的IP地址为IP_B,主机A要向主机B发送信息。主机A首先查看自己的ARP映射表,确定其中是否包含有IP_B对应的ARP映射表项。如果找到了对应的MAC地址,则主机A直接利用ARP映射表中的MAC地址,对IP数据包进行帧封装,并将数据发送给主机B;如果在ARP映射表中找不到对应的MAC地址,则主机A将该数据包放入ARP发送等待队列,然后创建一个ARP request,并以广播方式在以太网上发送。ARP request数据包中包含有主机B的IP地址,以及主机A的IP地址和MAC地址。由于ARP request数据包以广播方式发送,该网段上的所有主机都可以接收到该请求,但只有被请求的主机(即主机B)会对该请求进行处理。主机B首先把ARP request数据包中的请求发起者(即主机A)的IP地址和MAC地址存入自己的ARP映射表中。然后主机B组织ARP响应数据包,在数据包中填入主机B的MAC地址,发送给主机A。这个响应不再以广播形式发送,而是直接发送给主机A。主机A收到响应数据包后,提取出主机B的IP地址及其对应的MAC地址,加入到自己的ARP映射表中,并把放在发送等待队列中的发往主机B的所有数据包都发送出去。
一般情况下,ARP动态执行并自动寻求IP地址到以太网MAC地址的解析,无需管理员的介入。
二、ARP病毒症状
有时候无法正常上网,有时候又正常,包括访问网上邻居也是如此,拷贝文件无法完成,出现错误;局域网内的ARP包爆增,在计算机上使用ARP –a查询的时候会发现网关对应的是不正常的MAC地址,或者对应是其它计算机的MAC地址,还有可能就是一个MAC地址对应多个IP的情况。用PING命令,PING自己的网关发现有掉包情况。
三、如何知道网络中是否中了ARP网络病毒
1.使用网络监控工具对网络数据流进行分析(Windows2003自带网络监控工具)
安装方法:开始---设置---控制面板---添加/删除程序---添加/删除windows组件---管理和监视工具---网络监视工具(安装)
2.将用来抓包的计算机接入网络,开启网络监控器,几分钟后停止网络监视,然后对数据包进行分析.(下图是网络受到ARP攻击,通过网络监控工具抓包结果)
3.观察源MAC地址到目的MAC地址,源IP地址到目的主机IP地址。发现源主机MAC到目标主机的MAC地址全是FF:FF:FF:FF:FF:FF,(MAC地址全为FF是广播包)。而且全部是ARP请求协议。说明网络中有大量的广播包发到192.168.1.1网关,网关出现网络拥塞,导致网络中的计算机PING网关有掉包情况发生。
4.可采用第三方网络抓包工具对网络数据流进行分析(IRIS)
四、目前解决ARP网络病毒的有效方法
1、多划VLAN,缩小子网,减少病毒的影响范围。
在园区级网络中,为不同部门划分VLAN,采用26位,28位子网掩码。
2、使用静态ARP,以不变应万变。
在二层交换机上配置端口+MAC绑定
在三层交换机上配置端口+MAC+IP绑定。
arp static ip-address mac-address 001B-38A6-2D42 vlan-100 interface-e0/1
3、使用2层ACL屏蔽恶意的ARP报文
4、 设置以太网端口风暴抑制
可以使用以下的命令限制端口上允许通过的广播/组播/未知单播流量的大小,当广播/组播/未知单播流量超过用户设置的阈值后,系统将对广播/组播/未知单播流量作丢弃处理,使广播/组播/未知单播所占的流量比例降低到合理的范围,从而有效地抑制广播/组播/未知单播风暴,避免网络拥塞,保证网络业务的正常运行。
设置以太网端口的广播风暴抑制比例broadcast-suppression { ratio | pps max-pps }
5、在交换机上配置端口隔离,通过端口隔离特性,用户可以将需要进行控制的端口加入到一个隔离组中,实现端口之间二层、三层数据的隔离,既增强了网络的安全性,也提供了灵活的组网方案。
使用端口隔离、supervlan等阻断VLAN内PC互相之间的通信,也就阻断了ARP欺骗的可能性。由于启用端口隔离之后只是PC之间不能互相访问,PC和网关还是可以互通的,所以带毒PC还是可以攻击网关。
使用端口隔离虽然切断了ARP欺骗的传播途径,但同时也切断了vlan内PC之间正常的通信,这个问
题
快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题
如何解决呢?
使用ARP代理
所有的vlan内通信都通过网关转接。
ARP代理的启用:
VLAN接口视图下 arp proxy enable
6. 园区网络中受到ARP网络攻击后,ARP病毒会不断向网络中扩散,使遭受到攻击的主机越来越多。通过网络监控工具抓包,找到攻击源主机后,将病毒主机与网络隔离,将病毒主机网卡禁用即可,然后格式化后重新安装系统,打上补丁。
安装杀毒软件查杀病毒
l 装完系统后,可以使用资源管理器访问驱动器,不要双击仍何盘符,双击后有可能导致计算机再次感染病毒.
l 安装卡巴斯基6.0杀毒软件后,升级,对整个硬盘进行扫描杀毒
l 为了防止ARP攻击,在计算机上安装360安全卫士
l 在保护选项中,开启局域网ARP攻击拦截
五 网络故障排除基本步骤
六 实际案例分析
校园网络拓扑图
1故障现象描述
描述故障现象 这个问题是连续出现,还是间断出现的?
哪个或哪些网段受到影响,地址是什么?
正确故障描述
每天早上十点,网络机房1和网络机房2学生机房上网一段时间之后,学生打开网页的速度就变得很慢,有时不能正常上网,学生计算机之间报IP地址冲突
2故障相关信息收集 经验判断和理论分析
信息收集途径 向受影响的用户、网络人员或其他关键人员提出问题;
根据故障描述性质,使用各种工具收集信息,如网络管理系统、协议分析仪、相关display和debug命令等;
收集到以下信息
观察设备运行状态,发现路由器E0接口和三层交换机的Fa0/1端口指示灯不闪烁,说明没有数据包发送或接收。
将路由器,防火墙,以及三层交换机进行重启后,发现路由器E0接口和三层交换机的Fa0/1端口指示灯正常闪烁,十几分钟后故障再次出现,路由器E0接口和三层交换机的Fa0/1端口指示灯不闪烁。
在应用服务器上PING外部IP 221.5.168.45或PING WWW.163.COM 时网络延迟很大。而且TIME的时间(超时时间)不稳定,TIME的时间在100-650之间跳动。
管理员告知:当下午五点关闭网络机房1教室后,PING外部IP,延迟变小了,而且比较稳定。PING 221.5.168.45TIME值等于1,说明网络故障出现在网络教室1里。
在网络教室1里找一台学生机,在学生机上PING自己的网关192.168.0.1有掉包情况
找一台报IP冲突的学生机,用ARP –A反向ARP解析,发现192.168.0.1 网关的MAC地址是一台计算机的MAC地址。
C:\Documents and Settings\Administrator>arp –a 反向ARP解析
Interface: 192.168.0.1 --- 0x2
Internet Address Physical Address Type
192.168.0.1 00-30-18-a6-f4-34 dynamic
C:\Documents and Settings\Administrator>arp –d 清除ARP缓存
在学生机上Ping 192.168.0.1 能正常PING通
C:\Documents and Settings\Administrator>arp –a 再次进行ARP反向解析
Interface: 192.168.0.1 --- 0x2
Internet Address Physical Address Type
192.168.0.1 00-0c-22-fc-45-12 dynamic 该MAC地址是192.168.0.1网关的MAC。这时可以正常上网。
连续PING 192.168.0.1 过了几分钟后,发现超时掉包
再次进行ARP反向解析
C:\Documents and Settings\Administrator>arp –a 反向ARP解析
Interface: 192.168.0.1 --- 0x2
Internet Address Physical Address Type
192.168.0.1 00-30-18-a6-f4-34 dynamic
发现网关的MAC地址被更改成一台计算机的MAC地址。因此这时无法PING通网关。无法正常上网。这个MAC 00-30-18-a6-f4-34 就是一台病毒主机的MAC地址。
需要找出这台计算机,禁用网卡,然后重新安装系统。
通过网络监控器对网络数据流进行分析
通过网络工具对网络数据流进行分析,发现….5c:ba:91:3e 192.168.1.229这个IP和MAC在网段中不断的发送ARP请求广播,而且他的目标192.168.1.1正好是自己的网关,因些在计算机上PING网关有掉包情况。通过MAC地址,找到这台计算机,然后将这台计算机的网卡禁用,然后在用网络工具抓包,就发现网络数据流中没有了该源IP192.168.1.229这个地址。PING网关一切正常。
3 解决ARP病毒后,为校园网络做优化
ARP病毒解决了,网络恢复正常后,为了避免再次中ARP病毒,导致整个校园无法正常上网,了解校园网络拓扑结构,优化网络
两个网络教室总共上网的计算机有三百台左右,平均一个教室有150台计算机都要上互联网。
每个网络教室使用一个网段, 也就是说有150台左右的计算机在一个广播域中,如果网络中有一台计算机不断向网络中发送广播包,会使这个网络的150台计算机都受接收广播包,导致网络中产生广播风暴。重新划分VLAN 子网掩码采用255.255.255.192,将每个网段的广播数量减小。
接入层交换机采用的是华为3026交换机,48口
1. 重新划分VLAN 子网掩码采用255.255.255.192
192.168.1.1-192.168.1.62
192.168.1.65-192.168.1.126
192.168.1.129-192.168.1.190
192.168.1.193-192.168.1.254
2.在核心交换机的fa0/4 ,fa0/5端口设置以太网端口的广播风暴抑制比例20%.
3.因接入层交换机是3026,可以接入层交换机上配置端口+MAC绑定。
4.因校园网中有一台应用服务器是连接在核心交换机上的,在核心交换机上配置端口镜像,然后在应服务器上安装2003操作系统自带的网络监控工具,由网管员定期对网络数据流进行分析,发现有异常情况,及时处理。
端口镜像就是将被监控端口上的数据复制到指定的监控端口,对数据进行分析和监视。以太网交换机支持多对一的镜像,即将多个端口的报文复制到一个监控端口上。
4 整理文档
完成网络故障处理后,进行文档整理。其中包括网络拓扑结构,网络设备配置,故障情况描述,故障排除经验等,以便以后参阅。