admin管理员组文章数量:1531406
2024年5月20日发(作者:)
内蒙古电力技术
20(18年第16卷第5劁
NNER M0NG0 LlA ELECTRlC P0WER 6l
ARP病毒处理方法
Treatment Methods of ARP Virus
冯普胜
(鄂尔多斯电业局,内蒙古 鄂尔多斯017000)
『摘要1介绍了ARP病毒的发生原理及其对网络所造成的危害。结合鄂尔多斯电业局ARP
病毒爆发的实际处理过程,提出了判断攻击机的IP地址、判断攻击机的MAC地址、寻找所在
端口、断网查杀病毒的解决方法,并给出预防措施。
『关键词1信息网络;ARP病毒;解决措施
『中图分类号1 TP393.08 [文献标识码]B
『文章编号]1008—6218(2008)05—0061—02
随着信息化技术在电力企业应用的进一步深
入,企业的生产、营销、办公OA等各环节在信息网
络平台上的应用日臻完善和普及,信息网络的安全
1.2.2 第2种ARP欺骗
第2种ARP欺骗的原理是伪造网关。它的原理
是建立假网关,让被它欺骗的PC向假网关发送数
与稳定运行显得尤为重要。ARP病毒是造成网络不
稳定的常见因素之一。本文介绍了ARP病毒的危害
性,结合鄂尔多斯电业局的实际给出了处理ARP病
毒的方法
据,而不是通过正常的路由器途径上网。在PC看
来,就是上不了网,“网络掉线”。
1.3 ARP病毒危害性
在局域网中,通过ARP协议来完成IP地址转
换为第2层物理地址(即MAC地址)。一般来说,如
1 ARP简介
1.1 AR上,
果局域网中有中了ARP欺骗木马的机器,就会造成
本Vlan网段的机器由于本网段网关MAC地址而被
欺骗,网关路由被指到病毒机,先是部分机器网络中
断,而后造成局域网无法正常工作,而且整个局域网
ARP(Address Resolution Protoco1.地址解析协
议)是1个位于TCP/IP协议栈中的低层协议,负责
将某个IP地址解析成对应的MAC地址。
1.2 ARP欺骗原理
的网速会越来越慢,严重的甚至可能使整个网络瘫
痪
根据影响网络连接通畅的方式,ARP欺骗分为
2种:1种是对路由器ARP表的欺骗:另1种是对内
网PC的网关欺骗
1.2.1 第1种ARP欺骗
2 ARP病毒处理办法
如果1个网段不能正常使用局域网,初步判断
是第2种ARP欺骗,是对内网PC的网关欺骗,其处
理方法如下。
2.1判断攻击机的IP地址
第1种ARP欺骗的原理是截获网关数据。它通
过路由器一系列错误的内网MAC地址,并按照一
定的频率,使真实的地址信息无法通过更新保存在
路由器中,结果路由器的所有数据只能发送错误的
MAC地址,造成正常PC无法收到信息。
【收稿日期】2007—09—02;[修改日期1 2008—05—16
某计算机所处网段的路由IP地址为XX.XX.××.1.
本机地址为××.××.××.5,在计算机上运行arp—a后输
出如下:
【作者简介]冯普胜(1969一),男,内蒙古人,毕业于内蒙古大学,工程师,现从事计算机网络管理工作。
62
Cocuments and Settings>arp-a
Interface:××.××.××.5…0x10003
内蒙古电力技术 2()()8午第26替第5期
兆端口下联,结合实际6509端口和交换机对应关
系,确定故障微机所在的交换机。登录到此交换机
上,输入命令Jg2#sh mac—address—table dy4namic
address 0001.C20F.B409,进一步确认故障机所在端
口,如f/15,再把此端口down掉,命令如下:
Jg2(conf-t)#int fO/15
Internet Address Physical Address Type
××.××.XX.1 00—01-02—03-04—05 dynamic
其中,00_01_o2—03_04 5就是路由器××.××.××.1对
应的MAC地址,类型为动态(dynamic),因此可被改
变。正常情况下,××.××.××.1和00_01.02_03-04_05始
Jg2(conf-if)#shut
终对应。被攻击后,重复使用该命令查看,就会发现该
MAC已经被替换成攻击机器的MAC(00-01一C2 F-
2.4断网查杀病毒
利用上面介绍的ARP木马检测方法在局域网
B4--09),而且攻击机器的MAC地址和真正的网关
MAC地址会出现交替现象,如:
Cocuments and Settings>arp——a
Interface:XX.××.××.5一OxlO003
的交换机上查出受感染该病毒的端口后,立即关闭
中病毒的端口,通过端口查出相应的用户并对其彻
底查杀;而后做好单机防范,在其彻底查杀病毒后再
开放相应的交换机端口,重新开通上网。局域网正
常。
如果是第1种ARP欺骗,考虑重启路由器。
Internet Address Physical Address Type
××.××.××.1 00—01-02—03-04—05 dynamic
××.××.××.8 00—01-02—03-04—05 dynamic
由此可判断,XX.xx.××.8的计算机就是攻击机。
2.2判断攻击机的MAC地址
3 预防措施
(1)不要把网络安全信任关系建立在IP基础上
某公司的核心交换机为Cisco6509,用如下命
令:
6509(r0uter)#sh arp I in××.××.××.8
InternetXX.××.XX.8 1290001.C20F.B409ARPA vlan26
或MAC基础上(arp同样存在欺骗的问题),理想的
关系应该建立在IP+MAC基础上。
(2)设置静态的MAC—IP对应表。
(3)使用ARP服务器,通过该服务器查找自己
的ARP转换表来响应其他机器的ARP广播;但要确
保这台ARP服务器不被黑。
(4)管理员要定期轮询,发现可疑情况,积极采
取果断措施。
找到攻击机对应的MAC地址为0001.C20F.B409。
2_3寻找所在端口
确定攻击机MAC地址后,接着需要寻找所在
的端口。某公司的核心交换机为Cisco6509,二级交
换机为Ciseo2950,寻找方法如下:先用命令6509
(switch)#sh cam mac(oo—O1一C2一OF—B4—09),找至0
(5)使用防火墙等网络管理软件监控网络。
编辑:王金丽
此攻击机MAC地址所在交换机通过6509上的千
内蒙古风电装机容量居全国首位
国家能源局日前发布的 ̄12008中国风电发展报告》显示,到2007年底,全国共有20个省(区、
市)开发建设了风电场。其中,内蒙古自治区总装机1 590 MW,占全国风电总装机的26%,位居国
内首位、据统计,内蒙古自治区风能资源技术可开
150 GW,占全国的50%,居首位 预计到今年底,全区
装容量将突破3 000 MW。其中,赤峰市今年底风电装
破l 000 MW.在全国率先建成地级市级百万千瓦级
地:
版权声明:本文标题:ARP病毒处理方法 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1716168192a489629.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论