论文部分内容阅读
[摘 要]针对公司办公局域网由于ARP病毒造成导致网络不正常和影响办公的问题,进行系统的分析,了解ARP病毒的原理,以快速、准确地找到中毒计算机为关键内容,查找解决预防ARP病毒的方案论述,有效的保证公司办公网络的运行稳定。
[关键词]ARP欺骗 MAC地址 网关 病毒主机
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2009)0720044-01
一、背景与目标
随着计算机办公自动化系统的普及与发展,我们日常工作办公越来越多地依靠计算机网络系统进行信息的互换与共享。可靠、高速的计算机网络环境不仅是企业内部的通信渠道,而且成为了办公自动化的基础,能够促进企业各环节间进行有效的协作和交流。
我们管理的网络是一个星型结构局域网(设计为1144个终端用户),公司内部现接入局网微机约有150台,还有两个外围单位通过光纤接入内部网络10台微机。今年我们在管理时发现,网络经常出现异常情况:使用局域网工作时时会突然掉线,过一段时间后又恢复正常;微机频繁断网,IE浏览器频繁出错,造成办公系统无法正常使用;一些常用软件出现故障;有时使用身份认证登陆一些管理界面时,出现能够通过认证,但是无法正常使用;使用命令PING网关丢包严重,内部地址PING值正常。在短短的一个月中间,公司办公局网频繁出现这类的现象,严重的影响了正常的办公网络环境。
通过我们的研究讨论后认为,出现这类现象的主要原因是网络中存在ARP病毒,如何能快速、准确地找到中毒计算机并及时解决成为了我们心中的目标。
二、ARP病毒故障原理及表现
要解决这些问题,我们首先了解一下ARP病毒。在局域网中,通过ARP协议来将IP地址解析为第二层物理地址(即MAC地址)。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中使大量数据被送到错误的MAC地址上,造成网络故障。
(一)故障原因。局域网内有计算机运行ARP欺骗的木马程序(比如:传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序),导致该计算机成了病毒源。
(二)故障原理。ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送数据帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
(三)ARP病毒攻击的典型症状。一般ARP病毒通过将病毒机的MAC地址或伪造MAC地址来替代网关MAC地址,映射到网关IP上,实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,进行ARP重定向和嗅探攻击,使内网PC机的ARP表混乱。
用伪造源MAC地址发送ARP响应包,对ARP高速缓存机制的攻击。这些情况主要出现在局网内部用户,造成网内部分机器在线但是不可以上网,对交换机或路由器进行重新启动后可以解决,但保持不了多久有会出现这样的问题,网络管理员对每台机器使用arp-命令来检查ARP表的时候发现交换机的IP和MAC被修改,这就是ARP病毒攻击的典型症状。
三、解决思路及解决方案
(一)解决思路。1.统计公司所有使用中的微机信息,包括微机使用人姓名、联系电话、IP地址、MAC地址等信息,以便查到中毒计算机后准确及时查到该计算机。2.使用软件连续监控网络。随时注意有无计算机中毒,也可使用PING命令,随时监控网络有无中断情况。3.网络管理员使用终端利用dos窗口,使用命令arpa命令查看IP地址和mac地址对应的情况。4.快速查找病毒源,及时迅速找到病毒源计算机是解决问题的关键,发现后立刻将该计算机断开网络链接,解决了ARP攻击的源头PC机的问题,便可以保证内网的网络正常使用。
(二)故障处理。1.杀毒。诺顿、卡巴斯基、瑞星等杀毒软件均可查杀此类病毒,注意:查杀病毒只能避免电脑主机成为ARP攻击方,并不能抵御ARP攻击。2.使用AntiArp软件抵御ARP攻击。运行AntiArp,点击“获取网关MAC地址”后,检查网关IP地址和MAC地址无误后,点击“自动保护”。若不能获取网关IP地址,可通过以下操作获取:点击“开始”按钮->选择“运行”->输入“cmd”点击“确定”->输入“ipconfig”按回车,“Default Gateway”后的IP地址就是网关地址。
(三)解决方案。根据计算机终端统计信息,我们可以轻松找到中毒计算机的MAC地址,根据使用情况,我们可以判断出这台计算机是否为病毒源。首先我们查看该机使用的IP地址是否为网关地址,是就改回该机分配使用的IP地址,否则该微机就是我们要找的ARP病毒源计算机了。确定病毒源微机后的方法:一是禁掉该机的网卡;二是检测网络是否恢复正常;三是维护该微机,包括微机操作系统补丁的更新和使用杀毒软件杀毒,直至该微机恢复正常,网络恢复正常。
(四)预防措施。1.加强个人防护。一是安装防病毒软件并及时升级病毒库;二是安装360安全卫士等arp防火墙;三是使用命令arps手工添加正确的网关MAC,防止arp欺骗。2.局网交换机防护。一是细分用户,划分VLAN;二是部分交换机可以将用户端口隔离,端口上实施做arp策略防护。
四、结束语
ARP病毒可以造成内部网络的混乱,由于其特性使得该病毒爆发的速度非常快、面积非常大,让某些被欺骗的计算机无法正常访问内网络,让网关无法和客户端正常通信,公司正常的网络办公环境和业务无法正常开展,快速及时的解决这类网络故障,需要我们网络管理人员不断的探索,合理利用好网络这一先进的工具为我们服务。通过我们不断的实践证明,ARP病毒爆发并不可怕,但如果不及时处理,造成的后果将是非常严重,尤其在公司的内部网络环境下,可能会影响到很多业务乃至办公网络的瘫痪,给我们带来不可弥补的损失。
在我们共同努力下,分析了ARP病毒原理和散布原理,利用各种不同的技术手段及时找到问题的所在,成功解决ARP病毒解决方案中最关键的环节:快速、准确找到中毒计算机。通过我们不断的努力,病毒爆发后在最短的时间内找到了解决方案。由于及时有效的监管,公司内部网络中没有再发生类似的现象,有效的保证了公司办公网络的运行正常。
参考文献:
[1]《局域网技术与组网》,电子工业出版社,2007.7.
[2]《网络维护基础教程》,电子工业出版社,2004.7.
作者简介:
胡风新,中国石化中原油田通信管理处副主任、工程师;丁辉,中国石化中原油田通信管理处工程师;管羽,中国石化中原油田通信管理处工程师。
[关键词]ARP欺骗 MAC地址 网关 病毒主机
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2009)0720044-01
一、背景与目标
随着计算机办公自动化系统的普及与发展,我们日常工作办公越来越多地依靠计算机网络系统进行信息的互换与共享。可靠、高速的计算机网络环境不仅是企业内部的通信渠道,而且成为了办公自动化的基础,能够促进企业各环节间进行有效的协作和交流。
我们管理的网络是一个星型结构局域网(设计为1144个终端用户),公司内部现接入局网微机约有150台,还有两个外围单位通过光纤接入内部网络10台微机。今年我们在管理时发现,网络经常出现异常情况:使用局域网工作时时会突然掉线,过一段时间后又恢复正常;微机频繁断网,IE浏览器频繁出错,造成办公系统无法正常使用;一些常用软件出现故障;有时使用身份认证登陆一些管理界面时,出现能够通过认证,但是无法正常使用;使用命令PING网关丢包严重,内部地址PING值正常。在短短的一个月中间,公司办公局网频繁出现这类的现象,严重的影响了正常的办公网络环境。
通过我们的研究讨论后认为,出现这类现象的主要原因是网络中存在ARP病毒,如何能快速、准确地找到中毒计算机并及时解决成为了我们心中的目标。
二、ARP病毒故障原理及表现
要解决这些问题,我们首先了解一下ARP病毒。在局域网中,通过ARP协议来将IP地址解析为第二层物理地址(即MAC地址)。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中使大量数据被送到错误的MAC地址上,造成网络故障。
(一)故障原因。局域网内有计算机运行ARP欺骗的木马程序(比如:传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序),导致该计算机成了病毒源。
(二)故障原理。ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送数据帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
(三)ARP病毒攻击的典型症状。一般ARP病毒通过将病毒机的MAC地址或伪造MAC地址来替代网关MAC地址,映射到网关IP上,实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,进行ARP重定向和嗅探攻击,使内网PC机的ARP表混乱。
用伪造源MAC地址发送ARP响应包,对ARP高速缓存机制的攻击。这些情况主要出现在局网内部用户,造成网内部分机器在线但是不可以上网,对交换机或路由器进行重新启动后可以解决,但保持不了多久有会出现这样的问题,网络管理员对每台机器使用arp-命令来检查ARP表的时候发现交换机的IP和MAC被修改,这就是ARP病毒攻击的典型症状。
三、解决思路及解决方案
(一)解决思路。1.统计公司所有使用中的微机信息,包括微机使用人姓名、联系电话、IP地址、MAC地址等信息,以便查到中毒计算机后准确及时查到该计算机。2.使用软件连续监控网络。随时注意有无计算机中毒,也可使用PING命令,随时监控网络有无中断情况。3.网络管理员使用终端利用dos窗口,使用命令arpa命令查看IP地址和mac地址对应的情况。4.快速查找病毒源,及时迅速找到病毒源计算机是解决问题的关键,发现后立刻将该计算机断开网络链接,解决了ARP攻击的源头PC机的问题,便可以保证内网的网络正常使用。
(二)故障处理。1.杀毒。诺顿、卡巴斯基、瑞星等杀毒软件均可查杀此类病毒,注意:查杀病毒只能避免电脑主机成为ARP攻击方,并不能抵御ARP攻击。2.使用AntiArp软件抵御ARP攻击。运行AntiArp,点击“获取网关MAC地址”后,检查网关IP地址和MAC地址无误后,点击“自动保护”。若不能获取网关IP地址,可通过以下操作获取:点击“开始”按钮->选择“运行”->输入“cmd”点击“确定”->输入“ipconfig”按回车,“Default Gateway”后的IP地址就是网关地址。
(三)解决方案。根据计算机终端统计信息,我们可以轻松找到中毒计算机的MAC地址,根据使用情况,我们可以判断出这台计算机是否为病毒源。首先我们查看该机使用的IP地址是否为网关地址,是就改回该机分配使用的IP地址,否则该微机就是我们要找的ARP病毒源计算机了。确定病毒源微机后的方法:一是禁掉该机的网卡;二是检测网络是否恢复正常;三是维护该微机,包括微机操作系统补丁的更新和使用杀毒软件杀毒,直至该微机恢复正常,网络恢复正常。
(四)预防措施。1.加强个人防护。一是安装防病毒软件并及时升级病毒库;二是安装360安全卫士等arp防火墙;三是使用命令arps手工添加正确的网关MAC,防止arp欺骗。2.局网交换机防护。一是细分用户,划分VLAN;二是部分交换机可以将用户端口隔离,端口上实施做arp策略防护。
四、结束语
ARP病毒可以造成内部网络的混乱,由于其特性使得该病毒爆发的速度非常快、面积非常大,让某些被欺骗的计算机无法正常访问内网络,让网关无法和客户端正常通信,公司正常的网络办公环境和业务无法正常开展,快速及时的解决这类网络故障,需要我们网络管理人员不断的探索,合理利用好网络这一先进的工具为我们服务。通过我们不断的实践证明,ARP病毒爆发并不可怕,但如果不及时处理,造成的后果将是非常严重,尤其在公司的内部网络环境下,可能会影响到很多业务乃至办公网络的瘫痪,给我们带来不可弥补的损失。
在我们共同努力下,分析了ARP病毒原理和散布原理,利用各种不同的技术手段及时找到问题的所在,成功解决ARP病毒解决方案中最关键的环节:快速、准确找到中毒计算机。通过我们不断的努力,病毒爆发后在最短的时间内找到了解决方案。由于及时有效的监管,公司内部网络中没有再发生类似的现象,有效的保证了公司办公网络的运行正常。
参考文献:
[1]《局域网技术与组网》,电子工业出版社,2007.7.
[2]《网络维护基础教程》,电子工业出版社,2004.7.
作者简介:
胡风新,中国石化中原油田通信管理处副主任、工程师;丁辉,中国石化中原油田通信管理处工程师;管羽,中国石化中原油田通信管理处工程师。