秋水轩娱乐社区 » 『电脑百科』 » 局域网中ARP攻击解决办法及病毒防护

12fjingke 发表于 2008-9-25 18:21

局域网中ARP攻击解决办法及病毒防护

[size=3][b][color=gray][size=10.5pt]　　一、什么是[/size][size=10.5pt][font=Times New Roman]ARP[/font][/size][size=10.5pt]？[/size][/color][/b][/size]
[size=3][b][color=gray]
[/color][/b][/size]
[color=gray][/color]
[size=3][color=gray][size=10.5pt]理论：[/size][size=10.5pt][font=Times New Roman]ARP[/font][/size][size=10.5pt]（[/size][size=10.5pt][font=Times New Roman]Address Resoluti[/font][/size][/color][/size][size=3][color=gray][size=10.5pt][font=Times New Roman]onProtocol[/font][/size][size=10.5pt]）是地址解析协议，是一种将[/size][size=10.5pt][font=Times New Roman]IP[/font][/size][size=10.5pt]地址转化成物理地址的协议。从[/size][size=10.5pt][font=Times New Roman]IP[/font][/size][size=10.5pt]地址到物理地址的映射有两种方式：表格方式和非表格方式。[/size][size=10.5pt][font=Times New Roman]ARP[/font][/size][size=10.5pt]具体说来就是将网络层（[/size][size=10.5pt][font=Times New Roman]IP[/font][/size][size=10.5pt]层）地址解析为数据连接层（[/size][size=10.5pt][font=Times New Roman]MAC[/font][/size][size=10.5pt]层）的[/size][size=10.5pt][font=Times New Roman]MAC[/font][/size][size=10.5pt]地址。[/size][size=10.5pt][font=Times New Roman] [/font][/size][/color][/size]
[size=3][font=Times New Roman][color=gray]
[/color][/font][/size]
[color=gray][/color]
[color=gray][/color]
[size=3][color=gray][b][size=10.5pt]二、什么是[/size][size=10.5pt][font=Times New Roman]ARP[/font][/size][size=10.5pt]攻击？为什么受到[/size][size=10.5pt][font=Times New Roman]ARP[/font][/size][size=10.5pt]攻击的电脑的网络会时断是好？[/size][/b][/color][/size]
[size=3][color=gray][b]
[/b][size=10.5pt][font=Times New Roman] [/font][/size][/color][/size]
[color=gray][/color]
[size=3][color=gray][size=10.5pt]局域网内，一个中了[/size][size=10.5pt][font=Times New Roman][url=http://www.07548888.com/index.php][size=10.5pt][font=Times New Roman]ARP[/font][/size][/url][/font][/size][size=10.5pt]木马的电脑，把自己伪装成路由器，告诉所有的其他电脑错误的路由器地址，其他机器无法正常和路由器连接，导致掉线，而掉线以后，攻击者无法继续发送错误的路由器地址，其他电脑便又能正常连上路由器，如此反复。所以受[/size][size=10.5pt][font=Times New Roman]ARP[/font][/size][size=10.5pt]攻击的电脑的网络会非常不稳定。而在攻击的过程中，攻击者可以随意的把改装过的网络数据发送给所有电脑，在这个数据里可以插入病毒或其他程序。[/size][/color][/size]
[size=3][color=gray]
[/color][/size]
[color=gray][/color]
[color=gray][/color]
[color=gray][/color]
[size=3][color=gray][b]　　三、如何预防[font=Times New Roman]ARP[/font]攻击，加强局域网内机器的安全性？[/b][/color][/size]
[size=3][color=gray]
[/color][/size]
[color=gray][/color]
[size=3][color=gray][size=10.5pt]安装杀毒软件、更新系统补丁、良好的上网和使用电脑的习惯，可有效防止本机中毒和抵御[/size][size=10.5pt][font=Times New Roman]ARP[/font][/size][size=10.5pt]攻击。[/size][/color][/size]
[size=3][color=gray][size=10.5pt]安全软件的选择和使用：[/size][size=10.5pt][font=Times New Roman]1[/font][/size][size=10.5pt]、建议安装校内瑞星网络版，可以及时更新病毒库，有人认为瑞星不好用，其实对于杀毒软件来说，任何一款都有它的优缺点，而单纯依靠杀毒软件是不可能做到机器绝对不中病毒的。只要是正版杀毒软件，安装任何一款的效果都差不多，关键在于使用的习惯。[/size][/color][/size]
[size=3][color=gray][size=10.5pt][font=Times New Roman]2[/font][/size][size=10.5pt]、建议安装[/size][size=10.5pt][font=Times New Roman]360[/font][/size][size=10.5pt]安全卫士，可以检测系统漏洞，在线更新补丁。开通[/size][size=10.5pt][font=Times New Roman]360[/font][/size][size=10.5pt]的[/size][size=10.5pt][font=Times New Roman]ARP[/font][/size][size=10.5pt]防火墙。[/size][size=10.5pt][font=Times New Roman]360ARP[/font][/size][size=10.5pt]防火墙通过在系统内核层拦截[/size][size=10.5pt][font=Times New Roman]ARP[/font][/size][size=10.5pt]攻击数据包，确保网关正确的[/size][size=10.5pt][font=Times New Roman]MAC[/font][/size][size=10.5pt]地址不被篡改，可以保障数据流向正确，从而保证通讯数据安全和网络畅通。[/size][/color][/size]
[size=3][color=gray]
[/color][/size]
[size=3][color=gray]
[/color][/size]
[color=gray][/color]
[color=gray][/color]
[color=gray][/color]
[size=3][color=gray][b][size=10.5pt]四、如何清除中毒机器中的[/size][size=10.5pt][font=Times New Roman]ARP[/font][/size][size=10.5pt]病毒？[/size][/b][size=10.5pt][font=Times New Roman] [/font][/size][/color][/size]
[size=3][font=Times New Roman][color=gray]
[/color][/font][/size]
[color=gray][/color]
[size=3][color=gray][size=10.5pt]局域网中，以学校的校园网为例，当您的机器中了[/size][size=10.5pt][font=Times New Roman]ARP[/font][/size][size=10.5pt]病毒后，会向本网段内的其他电脑发送错误的路由器地址，即攻击其他电脑，导致其他电脑的网络时断时好，如果其他电脑安装了[/size][size=10.5pt][font=Times New Roman]ARP[/font][/size][size=10.5pt]防火墙，就会提示攻击源的[/size][size=10.5pt][font=Times New Roman]IP[/font][/size][size=10.5pt]地址和[/size][size=10.5pt][font=Times New Roman]MAC[/font][/size][size=10.5pt]地址，[/size][size=10.5pt][font=Times New Roman]MAC[/font][/size][size=10.5pt]地址为[url=http://www.07548888.com/index.php]电脑[/url]内网卡的硬件地址，对每一个网卡都是唯一的，管理员以此作为判断，会在接到举报后封掉连接中毒机器的网络端口。[/size][/color][/size]
[size=3][color=gray][size=10.5pt][font=Times New Roman]1[/font][/size][size=10.5pt]、查找本机的[/size][size=10.5pt][font=Times New Roman]MAC[/font][/size][size=10.5pt]地址，确认本机断网是否因为管理员封掉了端口？[/size][/color][/size]
[align=left][align=left][size=10.5pt][size=3][color=gray]以作者的电脑为例，当前使用的是有线和无线上网同时上网。[/color][/size][/size][/align][/align][align=left][align=left][size=10.5pt][size=3][color=#808080][/color][/size][/size] [/align][/align][align=left][align=left][size=10.5pt][size=3][color=#808080][/color][/size][/size] [/align][/align][align=left][align=left][size=3][color=gray][size=10.5pt]（[/size][size=10.5pt][font=Times New Roman]1[/font][/size][size=10.5pt]）点开始——运行[/size][size=10.5pt][font=Times New Roman] [/font][/size][size=10.5pt]输入[/size][font=Times New Roman][size=10.5pt]cmd [/size][/font][/color][/size][/align][/align][align=left][align=left][size=3][color=gray][font=Times New Roman]
[/font][/color][/size] [/align][/align][font=Times New Roman][size=3][color=gray][size=10.5pt][img]http://hiphotos.baidu.com/seaman4444/pic/item/34c8d65cfcbe3d56faf2c01a.jpg[/img]

[/size][/color][/size][/font][align=left][align=left][color=gray][/color][/align][/align][align=left][align=left][color=gray][/color][/align][/align][align=left][align=left][color=gray][/color][/align][/align][align=left][align=left][size=3][color=gray][size=10.5pt]（[/size][size=10.5pt][font=Times New Roman]2[/font][/size][size=10.5pt]）点击上图中的确定[/size][/color][/size][/align][/align][align=left][align=left][color=gray][/color][/align][/align][align=left][align=left][size=3][color=gray][size=10.5pt]（[/size][size=10.5pt][font=Times New Roman]3[/font][/size][size=10.5pt]）在弹出的[/size][size=10.5pt][font=Times New Roman]cmd.exe[/font][/size][size=10.5pt]窗口中照下图输入[/size][size=10.5pt][font=Times New Roman] ipconfig /all[/font][/size][size=10.5pt]，回车[/size][/color][/size][/align][/align][align=left][align=left][size=3][color=gray]
[/color][/size] [/align][/align][align=left][align=left][size=3][color=gray]
[/color][/size] [/align][/align][align=left][align=left][size=10.5pt][size=3][color=gray][img]http://hiphotos.baidu.com/seaman4444/pic/item/4ea830a480a467e29152ee1b.jpg[/img][/color][/size][/size][/align][/align][align=left][align=left][size=3][color=gray][size=10.5pt]（[/size][size=10.5pt][font=Times New Roman]4[/font][/size][size=10.5pt]）显示下图[/size][/color][/size][/align][/align][align=left][align=left][size=10.5pt][size=3][color=gray][img]http://hiphotos.baidu.com/seaman4444/pic/item/b8da8b505f4bbb77843524e4.jpg[/img][/color][/size][/size][/align][/align][align=left][align=left][size=10.5pt][size=3][color=#808080][/color][/size][/size] [/align][/align][align=left][align=left][color=gray][/color][/align][/align][align=left][align=left][color=gray][/color][/align][/align][align=left][align=left][size=3][color=gray][size=10.5pt]此图中是作者的电脑有线连接和无线连接的[/size][size=10.5pt][font=Times New Roman]IP[/font][/size][size=10.5pt]、子网掩码、网关地址、[/size][size=10.5pt][font=Times New Roman]DNS[/font][/size][size=10.5pt]及网卡的[/size][size=10.5pt][font=Times New Roman]MAC[/font][/size][size=10.5pt]地址(即Physical Address)。[/size][/color][/size][/align][/align][align=left][align=left][size=3][color=gray][size=10.5pt]注意：因为作者的电脑现在是有线和无线都连接着的，所以显示的信息有“本地连接” 和“无线网络连接”，这里查到的[/size][size=10.5pt]有线网卡[/size][size=10.5pt][font=Times New Roman]MAC[/font][/size][size=10.5pt]为：[/size][size=10.5pt][font=Times New Roman]OO-OF-BO-94-1C-9B,[/font][/size][size=10.5pt]无线网卡[/size][size=10.5pt][font=Times New Roman]MAC[/font][/size][size=10.5pt]为[/size][size=10.5pt][font=Times New Roman] 00-13-CE-3C-6B-AA[/font][/size][size=10.5pt]。一般机器都是用的有线连接，那么只需要在“本地连接”中查找相关的MAC地址就可以了。[/size][/color][/size][/align][/align][align=left][align=left][size=3][color=gray][size=10.5pt]2[/size][size=10.5pt]、如果确认了本机是中毒机器，接来的工作就是清除病毒。[/size][/color][/size][/align][/align][align=left][align=left][size=3][color=gray]
[/color][/size] [/align][/align][size=3][color=gray][b][size=10.5pt][b]在该电脑上运行[/b][/size][/b][b][size=10.5pt][b][font=Times New Roman]“[url=http://www.07548888.com/forumdisplay.php?fid=51&page=1][b][size=10.5pt][b][font=Times New Roman]ARP[/font][/b][/size][/b][b][size=10.5pt][b]病毒专杀[/b][/size][/b][/url][/font][/b][/size][/b][b][size=10.5pt][b][font=Times New Roman]”[/font][/b][/size][/b][b][size=10.5pt][b]包中的[/b][/size][/b][b][size=10.5pt][b][font=Times New Roman]“TSC.EXE”[/font][/b][/size][/b][b][size=10.5pt][b]程序[/b][/size][/b][font=Times New Roman][b][size=10.5pt][b]([/b][/size][/b][size=10.5pt][b][b][url=http://it.wust.edu.cn/spkill/tsc.rar]http://it.wust.edu.cn/spkill/tsc.rar[/url][/b][/b][b][b])[/b][/b][/size][/font][b][size=10.5pt][b]，该程序运行后，自动扫描电脑中的[/b][/size][/b][b][size=10.5pt][b][font=Times New Roman]ARP[/font][/b][/size][/b][b][size=10.5pt][b]病毒，清除病毒（注，此方法清除病毒可能会较繁杂）。如果此方法不能清除病毒，建议重装系统，安装并更新杀毒软件和系统漏洞补丁，防止再次中毒。重装系统后，管理员启动被封的端口即可再次上网。[/b][/size][/b][/color][/size]
[size=3][color=gray][b]
[/b][/color][/size]
[color=gray][/color]
[color=gray][/color]
[color=gray][/color]
[color=gray][/color]
[size=10.5pt][size=3][color=gray][b]　　五、相关疑问[/b][/color][/size][/size]
[color=gray][/color]
[size=3][color=gray][size=10.5pt][font=Times New Roman]　　1[/font][/size][size=10.5pt]、为什么家里或办公室用了路由器的电脑，即使安装了[/size][size=10.5pt][font=Times New Roman]ARP[/font][/size][size=10.5pt]防火墙仍然会经常掉线而不提示攻击呢？[/size][/color][/size]
[size=3][color=gray][size=10.5pt]　　这里先讲两个概念，[/size][size=10.5pt][font=Times New Roman]WAN[/font][/size][size=10.5pt]和[/size][size=10.5pt][font=Times New Roman]LAN[/font][/size][size=10.5pt]，[/size][font=Times New Roman]WAN[/font]是英文[font=Times New Roman] Wide Area Network[/font]的首字母所写，即代表广域网；而[font=Times New Roman]LAN[/font]则是[font=Times New Roman]Local Area Network[/font]的所写，即本地网（或叫局域网）。[/color][/size]
[size=3][color=gray][size=10.5pt]当您用路由器上网的时候，您自己就组建了一个小局域网，您的[/size][size=10.5pt][font=Times New Roman]IP[/font][/size][size=10.5pt]地址是路由器分配给您的[/size][size=10.5pt][font=Times New Roman]LAN[/font][/size][size=10.5pt]地址，如[/size][size=10.5pt][font=Times New Roman]192.168.0.100,[/font][/size][size=10.5pt]而您的路由器地址则是上一级路由器或交换机分配的地址，相对于你的电脑，它就是一个[/size][size=10.5pt][font=Times New Roman]WAN[/font][/size][size=10.5pt]地址，如[/size][font=Times New Roman][size=10.5pt]10.2.12[/size][size=10.5pt].80[/size][/font][size=10.5pt]，跟您的路由器在同一网段的机器都是以[/size][size=10.5pt][font=Times New Roman]10.2.12[/font][/size][size=10.5pt]开头的[/size][size=10.5pt][font=Times New Roman]IP[/font][/size][size=10.5pt]地址，当别人中毒机器攻击您时，它攻击的是您的路由器，上文中已提到过，中毒机器只攻击本网段内的其他电脑，而你的路由器无法防御[/size][size=10.5pt][font=Times New Roman]ARP[/font][/size][size=10.5pt]攻击，所以你的网络会时断时好而不会有任何提示。[/size][/color][/size]
[size=3][color=gray][size=10.5pt][font=Times New Roman]2[/font][/size][size=10.5pt]、为什么我安装了最新的杀毒软件还会中病毒？[/size][/color][/size]
[size=3][color=gray][size=10.5pt]杀毒软件不是万能的，很多病毒在运行的时候会想办法先屏蔽杀毒软件然后再运行，而且，总是先有病毒，然后才有针对该病毒的办法。养成良好的使用习惯才能更有效地防止电脑中毒。如，当你在使用[/size][size=10.5pt][font=Times New Roman]U[/font][/size][size=10.5pt]盘、数码相机等外接设备时，不双击打开，而采用右键，点击资源管理器打开或先杀毒再打开；当网页上跳出提示窗口时，不要直接点击“是”或“否”，看清楚提示再点；当你的[/size][size=10.5pt][font=Times New Roman]QQ[/font][/size][size=10.5pt]好友给你发送不明文件或网址时，不要轻易接收或打开；养成良好的保存文件的习惯，不要将重要文件放在桌面或我的文档中，避免系统崩溃时造成文件的丢失……。[/size][/color][/size]
[size=10.5pt][size=3][color=gray]在网络的世界里，没有哪一台电脑是绝对安全的，所以当你的机器中了病毒时，不用惊慌，方法总比问题多。[/color][/size][/size]

查看完整版本: 局域网中ARP攻击解决办法及病毒防护