病毒入侵微机的途径与防治研究论文03074

《病毒入侵微机的途径与防治研究论文03074》由会员分享，可在线阅读，更多相关《病毒入侵微机的途径与防治研究论文03074（23页珍藏版）》请在装配图网上搜索。

1、ARP病毒入侵微机的途径和防治研究学生毕业论文（设计）写作申请表申 请 人： 学 号： 所学专业：计算机网络技术 年 级： 班别： 所选论文（设计）题目病毒入侵微机的途径与防治研究（ARP欺骗及防治措施）初步写作设想本论文是针对ARP自身的缺点对计算机网络所带来的危害展开的，论文主要分七个章节来进行阐述。首先在开头简单概述计算机病毒，紧接着对ARP的几个方面进行研究。第一章交待ARP研究的背景；第二章主要是对ARP知识的介绍，详细解释了ARP作为网络协议的重要作用；第三章是论述ARP的工作原理，为下面介绍入侵计算机网络作好铺垫；第四章简单分析ARP病毒的现象；第五章详细描述ARP病毒入侵计算机

2、的途径；第六章是对ARP攻击的防范措施，这是比较重要的一章；第七章则是对ARP病毒三个实例的分析，详细对“动态ARP检测测试经验案例”展开分析。拟完成论文（设计）时间 指导教师意见 （盖章）教学系意见 （盖章）其 他说明：本表可以复制，电脑填写。填表日期： 年11月1日 申请人（签名）： 学生毕业论文（设计）开题报告姓 名： 专 业： 计算机网络技术学 号： 年 级： 级班 别： 网络班 提交日期： -11-9论文（设计）选题：病毒入侵微机的途径与防治研究（ARP欺骗及防治措施）一、 关于论题（提出什么问题；提出问题的根据；论题的价值）1、问题（1）ARP研究背景；（2）ARP知识介绍；（3）

3、ARP的工作原理；（4）ARP病毒的现象；（5）ARP的主要欺骗入侵途径；（6）ARP攻击的主要防治措施；（7）ARP实例分析及解决方案；2、根据：ARP协议是TCP/IP协议中重要的一员,其功能主要是为局域网内网络设备提供IP地址向硬件地址的转化,其设计建立在局域网内网络设备之间相互信任的基础上,由此产生了许多ARP欺骗攻击方法。许多木马和病毒利用ARP协议这一设计上的漏洞在局域网内进行ARP欺骗攻击,给局域网的安全造成了严重威胁。3、价值：解决ARP欺骗给局域网带来的安全问题。二、对论题的初步认识（切入的角度和方法；拟阅读的书目和搜集资料的方向、范围；论文结构框架）1、计算机病毒的介绍1.

4、1什么是计算机病毒；1.2 计算机病毒的种类；1.3 对ARP病毒研究的背景；2、ARP知识介绍2.1 ARP协议的概述；2.2 ARP的相关理论；2.2.1 OSI参考模型与TCP/IP参考模型；2.2.2 以太网技术；2.2.3 IP地址与MAC地址3、ARP的工作原理3.1 在同一个网段内；3.2在不同网段内；4、ARP病毒现象5、ARP的主要欺骗入侵途径5.1 ARP欺骗原理；5.2几种常见的ARP攻击方式；6、ARP欺骗原理6.1 IP地址和MAC地址的静态绑定；6.2 采用VLAN技术隔离端口；6.3 采取802.1X认证；6.4 防火墙和杀毒软件；6.5 其他方法7、ARP实例分

5、析及解决方案7.1 第一种流行实例分析；7.2 第二种流行实例分析；7.3 动态ARP检测测试经验案例；结束语参考文献三、研究和撰写计划：2010-3-30前阅读和收集大量ARP病毒的相关资料。2010-4-15前整理研究问题。2010-4-20前修订初稿。2010-4-25号前整理排版。2010-4-30号前检查论文。2010-5-1号提交论文。四、个人情况介绍：（所学专业、工作领域，对论文涉及的专业领域的基本认识等） 本人所学专业是计算机网络技术，所学习过的专业课程有计算机应用基础、微机原理与接口技术、动态网页设计、Windows/Linux操作系统、计算机网络、网络管理、网络安全、综合布

6、线、程序设计关系数据库与SQL语言、photoshop、flash等。所涉及的工作领域主要有网络管理员、网络工程师，通过对这些课程的学习，我对ARP有了很深的认识，本文大胆对ARP进行研究，主要依据计算机网络、Windows/Linux操作系统、网络管理、网络安全等课程，网络的迅速发展,在给人类生活带来方便的同时,也对网络安全提出了更高要求，然而通过对ARP的研究，我对ARP病毒有了更透彻的了解，对ARP病毒带来的一些难题也能找出一些简单的解决方法。这对于我现在和将来的工作也带来了更多的好处。五、指导教师意见学生毕业论文（设计）评审表 专业：计算机网络技术 年级：07级 班别：07网络班 评审

7、日期：姓名性别年龄学号题 目病毒入侵微机的途径与防治研究（ARP欺骗及防治措施）主 要 内 容本文主要为现在局域网中普遍出现的ARP欺骗对计算机网络所带来的严重的影响所撰写的。通过描述ARP协议从而得出其在网络中的重要作用，分先后介绍了ARP的工作原理和ARP病毒的现象，描述ARP入侵计算机网络的途径、ARP欺骗的防治措施，并通过几个流行的病毒实例，让本文更加生动形象。以 上 各 项 由 学 生 本 人 填 写指导教师评语及成绩 成绩：_ 指导教师签名：_答 辩 小 组 意 见 成绩：_组长签名：_系 部 意 见 （系部盖章）备注注：1、此表一式叁份，一份和论文定稿一起装订，一份存入学生档案，

8、一份存学院。2、毕业论文成绩分优、良、中、及格和不及格五等。 3、本表可以复制，电脑填写。18术学院学生毕业论文（设计）作 者: 指 导 教 师： 所 学 专 业： 计算机网络技术班 别： 学 号： 271801007年 级： 07级完 成 日 期： 2011-5-1摘要 ARP协议作为计算机网络协议族的其中一个协议，对网络安全有重要的意义，现在计算机网络的应用中，出现ARP欺骗的现象比较普遍，造成了比较大的安全隐患，因此本论文对ARP欺骗做了恰当的分析，主要研究了ARP病毒入侵微机的途径和防治方法。 文章从七个方面去研究ARP病毒，首先是了解网络协议，主要了解目前市面上应用得比较普遍的TCP

9、/IP。在这一章节中，知道了ARP协议在网络传输过程中的作用。接着就是介绍ARP的工作原理，以便我们在后面可以从根源去解决问题。第四章主要介绍一下ARP病毒的主要特征，我们通过特征知道什么情况下就是中毒了，以便我们更好的去防治病毒。第五章主要讲的是ARP病毒入侵的途径，哪些入侵途径对电脑的伤害更严重。第六章写的是从前面的研究中找到了解决ARP病毒的主要方式。最后就是ARP欺骗的两个实例的分析。关键词：网络安全; TCP/IP协议; ARP协议; ARP欺骗目录摘要1第一章.计算机病毒的介绍31.1 什么是计算机病毒31.2 计算机病毒的种类31.3 对ARP病毒研究的背景3第二章.ARP知识介

10、绍42.1 ARP协议的概述42.2 ARP的相关理论42.2.1 OSI参考模型与TCP/ IP参考模型(图)：42.2.2 以太网技术52.2.3 IP地址与MAC地址6第三章. ARP的工作原理63.1 ARP欺骗原理的概述63.2 在同一网段内63.3 在不同网段间7第四章. ARP病毒现象8第五章. ARP的主要欺骗入侵途径95.1几种常见的ARP攻击方式9第六章. ARP攻击的主要防治措施106.1 IP地址和MAC地址的静态绑定106.2采用VLAN技术隔离端口106.3 采取802.1X认证106.4 防火墙和杀毒软件116.5其他方法11第七章. ARP实例分析及解决方案11

11、7.1 第一种流行实例分析117.2 第二种流行实例分析127.3 动态ARP检测测试经验案例12结束语18参考文献18第一章.计算机病毒的介绍1.1 什么是计算机病毒计算机病毒：首先，与医学上的“病毒”不同，它不是天然存在的，是某些人利用电脑软、硬件所固有的脆弱性，编制具有特殊功能的程序。其能通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活,它用修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中，从而感染它们，对电脑资源进行破坏的这样一组程序或指令集合。1.2 计算机病毒的种类常见的计算机病毒主要有以下这些：引导区病毒、文件型、复合型、脚本病毒、宏病毒、

12、特洛伊木马病毒、蠕虫病毒、黑客型病毒、后门病毒 。以下研究的是ARP病毒，ARP病毒并不是某一种病毒的名称，而是对利用arp协议的漏洞进行传播的一类病毒的总称。arp协议是TCP/IP协议组的一个协议，用于进行把网络地址翻译成物理地址（又称MAC地址）。通常此类攻击的手段有两种：路由欺骗和网关欺骗。是一种入侵电脑的木马病毒。对电脑用户私密信息的威胁很大。1.3 对ARP病毒研究的背景 随着科学的进步和社会的发展，网络也进入了高端的发展阶段。网络的迅速发展,在给人类生活带来方便的同时,也对网络安全提出了更高要求。网络协议安全是网络安全的重要环节,因此对网络协议的分析和利用越来越受到普遍关注。互联

13、网的发展很大程度上归功于TCP/IP协议运行的高效性和开放性,然而TCP/IP协议在实现过程中忽略了对网络安全方面的考虑,致使其存在着较多安全隐患。ARP协议是TCP/IP协议中重要的一员,其功能主要是为局域网内网络设备提供IP地址向硬件地址的转化,其设计建立在局域网内网络设备之间相互信任的基础上,由此产生了许多ARP欺骗攻击方法。许多木马和病毒利用ARP协议这一设计上的漏洞在局域网内进行ARP欺骗攻击,给局域网的安全造成了严重威胁。为解决ARP欺骗给局域网带来的安全问题,目前已有许多学者在这方面做了有意义的探索与实践,尽管某些方案在实际项目的应用中已相对成熟,但在防御能力上仍存在着一定的局限

14、性。通过对相关软件知识的学习与研究,对该模型进行了设计与实现。该系统可用于学校、企业、网吧等局域网内,提高局域网的网络安全性。第二章.ARP知识介绍2.1 ARP协议的概述ARP协议是Address Resolution Protocol地址解析协议的缩写,在局域网中以帧的方式进行传输数据,并且根据帧中目标主机的MAC地址来进行寻址。在以太网中,一台主机要和另一台主机进行直接通信,就必须要知道目的主机的MAC地址,这个目的MAC地址就是通过ARP协议获取的,地址解析就是主机在发送帧前将目的主机的IP地址转换成目的主机MAC地址的过程,这样才能保证局域网内各主机间可靠快速的通信。2.2 ARP的

15、相关理论2.2.1 OSI参考模型与TCP/ IP参考模型(图)：1.1OSI参考模型的分层结构OSI参考模型（OSI/RM）的全称是开放系统互连参考模型（Open System Interconnection Reference Model，OSI/RM），它是由国际标准化组织（International Standard Organization，ISO）提出的一个网络系统互连模型。OSI参考模型采用分层结构，如图1-1所示。 主机A 主机B应用层 表示层 会话层 传输层 网络层 数据链路层物理层应用层 表示层 会话层 传输层 网络层 数据链路层物理层应用层 表示层 会话层 传输层 网络层

16、 数据链路层物理层 应用层协议 表示层协议 会话层协议 传输层协议 网络层协议 数据链路层协议 物理层协议图1-1 OSI参考模型在这个OSI七层模型中，每一层都为其上一层提供服务、并为其上一层提供一个访问接口或界面。不同主机之间的相同层次称为对等层。如主机A中的表示层和主机B中的表示层互为对等层、主机A中的会话层和主机B中的会话层互为对等层等。对等层之间互相通信需要遵守一定的规则，如通信的内容、通信的方式，我们将其称为协议（Protocol）。我们将某个主机上运行的某种协议的集合称为协议栈。主机正是利用这个协议栈来接收和发送数据的。OSI参考模型通过将协议栈划分为不同的层次，可以简化问题的分

17、析、处理过程以及网络系统设计的复杂性。OSI参考模型的提出是为了解决不同厂商、不同结构的网络产品之间互连时遇到的不兼容性问题。但是该模型的复杂性阻碍了其在计算机网络领域的实际应用。与此对照，后面我们将要学习的TCP/IP参考模型，获得了非常广泛的应用。实际上，也是目前因特网范围内运行的唯一一种协议。1.2TCP/IP参考模型ISO制定的OSI参考模型的过于庞大、复杂招致了许多批评。与此对照，由技术人员自己开发的TCP/IP协议栈获得了更为广泛的应用。如图2-1所示，是TCP/IP参考模型和OSI参考模型的对比示意图。 OSI参考模型 TCP/IP参考模型应用层表示层会话层传输层网络层数据链路层

18、物理层应用层传输层网络互连主机到网络层 数据段 数据包 数据帧 比特图2-1 TCP/IP参考模型1.3TCP/IP参考模型的层次结构TCP/IP参考模型分为四个层次：应用层、传输层、网络互连层和主机到网络层。如图2-2所示。应用层 FTP、TELNET、HTTP SNMP、TFTP、NTP传输层 TCP UDP网络互连层 IP 以 令 802.2主机到网络 太 牌 HDLC、PPP、FRAME-RELAY层 网 环 802.3 网 EIA/TIA-232,449、V.35、V.21 图2-2 TCP/IP参考模型的层次结构2.2.2 以太网技术以太网是现在局域网采用的最通用的通信协议标准。该

19、标准定义了在局域网（LAN）中采用的电缆类型和信号处理方法。以太网在互联设备之间以10100Mbps的速率传送信息包，双绞线电缆10 Base T以太网由于其低成本、高可靠性以及10Mbps的速率而成为应用最为广泛的以太网技术。直扩的无线以太网可达11Mbps，许多制造供应商提供的产品都能采用通用的软件协议进行通信，开放性最好。2.2.3 IP地址与MAC地址MAC(Media Access Control)地址，或称为硬件位址，简称 MAC位址，用来定义网络设备的位置。在OSI模型中，第三层网络层负责 IP地址，第二层资料链结层则负责 MAC位址。因此一个主机会有一个IP地址，而每个网络位置

20、会有一个专属于它的MAC位址。无论是局域网，还是广域网中的计算机之间的通信，最终都表现为将数据包从某种形式的链路上的初始节点出发，从一个节点传递到另一个节点，最终传送到目的节点。数据包在这些节点之间的移动都是由ARP(Address Resolution Protocol：地址解析协议)负责将IP地址映射到MAC地址上来完成的。第三章. ARP的工作原理 3.1 ARP欺骗原理的概述ARP欺骗的核心思想就是向目标主机发送伪造的ARP应答,并使目标主机接收应答中伪造的IP地址与MAC地址之间的映射对,以此更新目标主机ARP缓存。以下是通过理论说明ARP欺骗的过程，设定S代表源主机,也就是将要被欺

21、骗的目标主机;D代表目的主机,源主机本来是向它发送数据;A代表攻击者,进行ARP欺骗。 进一步假设A已知的D的IP地址,于是他暂时将自己的IP地址改为D的IP地址。当S想要向D发送数据时,假设目前他的ARP缓存中没有关于D的记录,那么他首先在局域网中广播包含的D的IP地址的ARP请求。但此时A具有与D相同的IP地址,于是分别来自A与D的ARP响应报文将相继到达S。此时,A是否能够欺骗成功就取决于S的操作系统处理重复ARP响应报文的机制。不妨假设该机制总是用后到达的ARP响应中的地址刷新缓存中的内容。那么如果A控制自己的ARP响应晚于D的ARP响应到达S,S就会将如下伪造映射:D的IP地址 A的

22、MAC地址,保存在自己的ARP缓存中。在这个记录过期之前,凡是S发送给D的数据实际上都将发送给A。而S却毫不察觉。或者A在上述过程中,利用其它方法直接抑制来自D的ARP应答将是一个更有效的方法而不用依赖于不同操作系统的处理机制。进一步,A可不依赖于上述过程,直接在底层伪造ARP响应报文来达到同样的目的。3.2 在同一网段内假设主机A和B在同一个网段,主机A要向主机B发送信息。具体的地址解析过程如下。(1) 主机A首先查看自己的ARP缓存表,确定其中是否包含有主机B对应的ARP表项。如果找到了主机B对应的MAC地址,则主机A直接利用ARP表中的MAC地址,对IP数据包进行帧封装,并将数据包发送给

23、主机B。(2) 如果主机A在ARP缓存表中找不到对应的MAC地址,则将缓存该数据报文,然后以广播方式发送一个ARP请求报文。由于ARP请求报文以广播方式发送,该网段上的所有主机都可以接收到该请求,但只有被请求的主机B会对该请求进行处理。(3) 主机B比较自己的IP地址和ARP请求报文中的目标IP地址,如果相同则将ARP请求报文中的发送端主机A的IP地址和MAC地址存入自己的ARP表中。之后以单播方式发送ARP响应报文给主机A。(4) 主机A收到ARP响应报文后,将主机B的MAC地址加入到自己的ARP缓存表中以用于后续报文的转发,同时将IP数据包进行封装后发送出去。 3.3 在不同网段间 当主机

24、A和主机B不在同一网段时,主机A就会先向网关发出ARP请求报文。当主机A从收到的响应报文中获得网关的MAC地址后,将报文封装并发给网关。如果网关没有主机B的ARP表项,网关会广播ARP请求,目标IP地址为主机B的IP地址,当网关从收到的响应报文中获得主机B的MAC地址后,就可以将报文发给主机B;如果网关已经有主机B的ARP表项,网关直接把报文发给主机B。ARP欺骗的技术原理 ：ARP欺骗，也可称为ARP中间人攻击，主要适用于以交换网络环境的局域网内。举例说明如下： 局域网环境为10.1.1.*，子网掩码为255.255.255.0； 网关为10.1.1.95，10.1.1.95网卡的MAC地址

25、为01-03-04-AE-BC-06； 局域网中有三台测试主机，分别是： 局域网拓扑示意图如下： a) 正常的网络访问 当网络中不存在ARP欺骗攻击时，局域网内的主机一（10.1.1.70）要访问Internet的链路如上面的示意图所示：（图中绿色线路为主机一正常访问Internet的链路）。主机一和路由器和主机三的IP都是公开的，主机一想要访问Internet就发送出一个数据包，这时路由器就根据主机一的IP找到在自己的ARP缓存表中相主机一的对应的MAC地址，如果有00-0F-1F-B9-B3-D8这个MAC地址，就给主机一发回来一个应答，实现网络访问。b)存在ARP欺骗的网络访问当网络中存

26、在ARP欺骗攻击时，局域网内的主机二（00-02-B3-A6-80-5B）想要窃听到Internet 上的信息的链路如上面的示意图所示：（图中红色线路为主机二（10.1.1.108）欺骗Internet的链路）。我们以主机二（10.1.1.70）向主机三（10.1.1.223）发送数据为例。此时主机二为实施ARP欺骗的攻击者，其目的是截获主机一和主机三之间的通讯数据，且主机二在实施欺骗前已预知主机一和主机三的IP地址。这时主机二先发送ARP包获得主机三的MAC地址，然后向主机三发送ARP Reply数据包，其中源IP地址为主机一的IP地址，但是源MAC地址却是主机二的MAC地址。主机三收到该A

27、RP Reply后，将根据新的IP地址与MAC映射更新ARP缓存。这以后当主机三给主机一发送数据包时，目标MAC地址将使用主机二的MAC地址，因此交换机根据主机二的MAC地址就将数据包转发到攻击者主机二所在的端口。同理，攻击者主机二发送ARP Reply使主机一确信主机三的MAC地址为主机二的MAC地址。在间歇的发送虚假ARP Reply的同时，攻击者主机二打开本地主机的路由功能，将被劫持的数据包转发到正确的目的主机，这时攻击者对主机一和主机三来说是完全透明的，通信不会出现异常，但实际上数据包却被主机二非法截获。攻击者主机二成为了“中间人”第四章. ARP病毒现象1. 局域网内频繁性地区域或整

28、体掉线,重启计算机或网络设备后恢复正常。当带有 ARP欺骗程序的计算机在网内进行通讯时,就会导致频繁掉线。出现此类问题后重启计算机或禁用网卡会暂时解决问题,但掉线情况还会发生。2. 网速时快时慢,极其不稳定,但单机进行光纤数据测试时一切正常。当局域内的某台计算机被ARP的欺骗程序非法侵入后,它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包,阻塞网络通道。造成网络设备的承载过重,导致网络的通讯质量不稳定。用户会感觉上网速度越来越慢或时常断线。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。第五章. ARP的主要欺骗入侵途径5.1几种常见

29、的ARP攻击方式1. 中间人攻击： 按照ARP协议的设计,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信,但也为ARP欺骗创造了条件。如图1所示,PC-X为X主机,MAC-X为X主机的物理地址,IP-X为X主机的IP地址。PC-A和PC-C通过交换机S进行通信。此时,如果有攻击者(PC-B)想探听PC-A和PC-C之间的通信,它可以分别给这两台主机发送伪造的ARP应答报文,使PC-A中的ARP缓存表中IP-C和MAC-B所对应,PC-C中的ARP缓存表中IP-A和MAC-B所对应。此后,P

30、C-A和PC-C之间看似直接的通信,实际上都是通过攻击者所在的主机间接进行的,如图1虚箭头所示,即PC-B担当了中间人的角色,可以对信息进行窃取和篡改。这种攻击方式就称作中间人攻击。2. 拒绝服务攻击： 拒绝服务攻击就是使目标主机不能响应外界请求,从而不能对外提供服务的攻击方法。 3. 克隆攻击： 攻击者首先对目标主机实施拒绝服务攻击,使其不能对外界作出任何反应。然后攻击者就可以将自己的IP与MAC地址分别改为目标主机的IP与MAC地址,这样攻击者的主机变成了与目标主机一样的副本。4. ARP欺骗： 网络欺骗是黑客常用的攻击手段之一,网络ARP欺骗分为两种,一种是对路由器ARP表的欺骗,另一种

31、是对内网主机的网关欺骗。前一种欺骗的原理是攻击者通过截获分析网关数据,并通知路由器一系列错误的内网IP地址和MAC地址的映射,按照一定的频率不断进行使真实的地址信息映射无法通过更新保存在路由器中,结果路由器转发数据到错误的MAC地址的主机,造成正常主机无法收到信息;后一种ARP欺骗的原理是伪造网关,它的原理是把真实网关的的IP地址映射到错误的MAC地址,这样主机在向网关发送数据时,不能够到达真正的网关,如果假网关不能上网,那么真实的主机通过假网关也不能上网。5. ARP泛洪攻击： 攻击主机持续把伪造的IP地址和MAC地址的映射对发给受害主机,对于局域网内的所有主机和网关进行广播,抢占网络带宽并

32、干扰正常通信。导致网络中的主机和交换机不停地来更新自己的IP地址和MAC地址的映射表,浪费网络带宽和主机的CPU,使主机间都不能正常通信。第六章. ARP攻击的主要防治措施6.1 IP地址和MAC地址的静态绑定 使用可防御ARP攻击的三层交换机,绑定端 口MAC-IP。限制ARP流量,及时发现并自动阻断ARP攻击端口。合理划分VLAN。彻底阻止盗用IP、MAC地址,杜绝ARP的攻击。(1) 在用户端进行绑定ARP欺骗是通过ARP的动态刷新,并不进行验证的漏洞,来欺骗内网主机的,所以我们把ARP表全部设置为静态可以解决对内网的欺骗,也就是在用户端实施IP和MAC地址绑定,可以再用户主机上建立一个

33、批处理文件,此文件内容是绑定内网主机IP地址和MAC地址,并包括网关主机的IP地址和MAC地址的绑定,并把此批处理文件放到系统的启动目录下,使系统每次重启后,自动运行此文件,自动生成内网主机IP地址到MAC地址的映射表。这种方法使用于小型的网络中。(2) 在交换机上绑定在核心交换机上绑定用户主机IP地址和网卡的MAC地址,同时在边缘交换机上将用户计算机网卡的IP地址和交换机端口绑定的双重安全绑定方式。这样可以极大程度上避免非法用户使用ARP欺骗或盗用合法用户的IP地址进行流量的盗取,可以防止非法用户随意接入网络,网络用户如果擅自改动本机网卡的IP或MAC地址,该机器的网络访问将被拒绝,从而降低

34、了ARP攻击的概率。6.2采用VLAN技术隔离端口局域网的网络管理员可根据需要,将本单位网络规划出若干个VLAN,当发现有非法用户在恶意利用ARP欺骗攻击网络,或因合法用户受病毒ARP病毒感染而影响网络时,网络管理员可先找到该用户所在的交换机端口,然后将该端口划一个单独的VLAN,将该用户与其它用户进行隔离,以避免对其它用户的影响,当然也可以利用将交换机的该端口关掉来屏蔽该用户对网络造成影响。6.3 采取802.1X认证802.1X认证可以将使未通过认证的主机隔离,当发现某台主机中毒时,将禁止其认证从而达到将中毒主机隔离网络的目的。例如,在本人所在学校就是需要上网的用户要提前到网络管理中心登记

35、,也就是在网关中心申请一个用户名,并创建密码,并且把自己的MAC地址和用户名进行绑定,如果自己的换网卡后,还需要去网络管理中心进行重新绑定。用户上网前首先运行一个客户端软件,输入用户名密码后,通过认证服务器认证成功后才能上网。6.4 防火墙和杀毒软件可以安装ARP防火墙或者开启局域网ARP防护,比如360安全卫士等ARP病毒专杀工具,并且实时下载安装系统漏洞补丁,关闭不必要的服务等来减少病毒的攻击。查找病毒源,对病毒源头的机器进行处理,杀毒或重新安装系统。解决了ARP攻击的源头PC机的问题 ,可以保证内网免受攻击。经常更新杀毒软件 (病毒库 )。设置允许的可设置为每天定时自动更新,安装并使用网

36、络防火墙软件。 6.5其他方法1. 对于经常爆发病毒的网络,进行Internet访问控制,限制用户对网络的访问。此类ARP攻击程序一般都是从Internet下载到用 户终端。如果能够加强用户上网的访问控制,就能极大的减少该问题的发生。2. 关闭一些不需要的服务。条件允许的可关闭一些没有必要的共享。完全单机的用户也可直接关闭 Server服务。3. 给系统安装补丁程序 .通过Windows Update安装好系统补丁程序。第七章. ARP实例分析及解决方案7.1 第一种流行实例分析一个小型局域网里面大约有100台电脑，中了ARP病毒以后，经常发生间歇性掉线的问题，并且通过监测程序可以找到大量发包

37、的中毒电脑，但是利用逐一格式化的方法根本行不能，因为病毒源没能及时被清除掉，有什么办法能够解决这个问题，就是把这些病毒根除掉而不用把整个网络的电脑全部格式化？解决思路: 1、 不要把你的网络安全信任关系建立在IP基础上或MAC基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在IP+MAC基础上。 2、 设置静态的MAC-IP对应表，不要让主机刷新你设定好的转换表。 3、 除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。 4、 使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。 5、 使用proxy代理IP

38、的传输。 6、 使用硬件屏蔽主机。设置好你的路由，确保IP地址能到达合法的路径。（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。 7、 管理员定期用响应的IP包中获得一个rarp请求，然后检查ARP响应的真实性。 8、 管理员定期轮询，检查主机上的ARP缓存。 9、 使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢失。解决方案：采用双向绑定的方法解决并且防止ARP欺骗。在PC上绑定路由器的IP和MAC地址： 1）首先，获得路由器的内网的MAC地址（例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa

39、局域网端口MAC地址）。 2）编写一个批处理文件rarp.bat内容如下： echo off arp -d arp -s 192.168.16.254 00-22-aa-00-22-aa 将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。 将这个批处理软件拖到“windows-开始-程序-启动”中。7.2 第二种流行实例分析某公司中了ARP病毒，网络经常连接不上，频繁掉线，怎么解决这个问题？解决方案：一般都是因为系统没打补丁才会中ARP病毒,先将中了病毒的电脑断开,然后给所有的电脑打上补丁,.把所有的机器在同一时间进行杀毒处理，然后在每台机器上安装网络防火墙进行保护

40、。杀毒软件最好是同一个版本，具有网络杀毒功能，病毒库要更新到最新版。要同一时间对所有运行的计算机进行杀毒工作。对于单台机上不了网，先杀毒后装防火墙。7.3 动态ARP检测测试经验案例动态ARP监测，这个特性我们最关心的是arp数据包，它是一种验证网络中的arp包的安全特性，可以阻止，记录，非法更改ip和mac地址绑定的arp数据包。Dai是指只有合法的arp请求和回应可以传播，交换机会进行如下处理，截取所有非信任的端口的arp请求和相应，在更新arp缓存中或者数据包验证ip-mac绑定是否合法，并且丢弃非法的arp包，这样的特性可以防止arp中间人攻击，防止用户私自修改ip地址和mac地址，防

41、止用户私自制定静态ip地址，如果一个arp请求包，那样dai肯定会检查源mac地址和ip地址，看看这个地址是否和绑定地址一致，如果一致就可以放过通行，如果不一样就放弃，这样一来可以阻止用户私自修改ip地址的目的，如果用户修改了ip，并且也没有产生冲突，但是也不会通过，那是因为dhcp绑定表里面没有它的项目，所以不会被通过，通过这一点我们可以防止用户私自指定ip的问题了，可以防止用户更改静态ip地址，个人指定的ip在dhcp绑定表中不存在的，所以是不可以通信，如果你绑定的时候是用的是自动获取ip，你在一段时间内还可以上网，这是因为你还在ip的租赁期间，等到了相应的时间之后，dhcp绑定表中就相应

42、的ip条目就不存在了。静态的指定那就更上不去了，因为你的条目在dhcp绑定表中不存在，通过dai特性检测，关键是在绑定表中有没有相关的条目。以上的功能都是居于arp请求包，我们在看看回应包，我们从路的这一段看是arp请求包，但是从另外一段看的话，那就是回应包了，它到达第一个使用安全特性的端口，也会像检测请求包一样检源mac和ip地址，这样的话可以保证ip和mac地址的合法性，正是因为有了这个特性用户不能随意更改ip和mac地址，即使是修改成功了，那么也上不去网，所以就达到了避免防止中间人攻击。到现在为止，我们看到了，使用了DHCP Snooping +DAI后，我们就可以达到：避免非法DHCP

43、服务器的冒充；避免用户私自修改IP地址或者MAC地址；避免用户私自指定静态的IP地址；避免中间人攻击。其实，除了第一个DHCP服务器的冒充，后面的这3个，都是基于ARP欺骗的招数。我们都搞定了全局配置模式下：ip arp inspection vlan id定义DAI检查数据包的那些部分：ip arp inspection validate 进入端口，设置成信任的或者是非信任的，同时设置速度的限制。默认的情况下是不限速的，且是不信任的端口注：DAI的支持只有3560以上才可以组网及说明：如组网是一个非常常见的组网结构，DHCP server在核心交换机7506E上（也可以用其他的服务器），36

44、00-EI与7506E为TRUNK相连，网关在7506E上，PC1、PC2同属一个VLAN。测试中要模拟非法ARP攻击，因此需要ARP发包工具， 本次测试使用的交换机是3600-EI，软件版本为3.10-R1602P02。二、测试过程：首先需要测试在未启用动态ARP检测特性时的现象，3600-EI除启用dhcp-snooping不做任何特殊配置，PC1和PC2都通过DHCP获取地址，分别为172.17.2.1/24和172.17.2.21/24。测试前保证PC1、PC2与网关互通。在PC1上打开一个DOS窗口，可以看到172.17.2.254的MAC地址是：000f-e27b-f74e，常PI

45、NG 172.17.2.254，可以看到是通的。在PC2上打开网络执法官，做如下配置：选择当前使用的网卡，并添加监控网段。选择“设置”/“关键主机”，将网关的IP增加到关键主机列表中。此时还需要在PC2同时打开ethereal抓包工具收集证据，开始抓包。做好准备工作后就可以发动攻击了。在主页面中右击PC1对应的条目上，选择“设定权限”，如上图进行设置。此时切换到ethereal,查看刚刚抓的包：可以看到PC2伪造了2个ARP回应包，分别是172.17.2.1-172.2.254/172.17.2.254-172.17.2.1,源MAC都做了修改。切换到常PING 172.17.2.254的DO

46、S窗口，可以发现已经不通了，网关ARP已被更改。在3600-EI上查看ARP表，PC1的MAC地址同样被更改：disp arp vlan 2 Type: S-Static D-DynamicIP Address MAC Address VLAN IDInterface Aging Type172.17.2.1 00c0-9fa2-53fa2 GE2/0/3 17 D172.17.2.21 0002-3f03-192a2 GE2/0/3 20 D以上可以很明显地看到ARP攻击的表现。接下来就展现3600-EI如何有效地防范了。在3600-EI上增加如下配置：vlan 2arp detection

47、 enable#interface Ethernet1/0/4port access vlan 2ip check source ip-address mac-address#interface Ethernet1/0/5#interface Ethernet1/0/6port access vlan 2ip check source ip-address mac-address#interface GigabitEthernet1/1/4port link-type trunkport trunk permit vlan 1 to 3 10dhcp-snooping trustip sour

48、ce static binding ip-address 172.17.2.254 mac-address 000f-e27b-f74e#dhcp-snooping#此时再按上述步骤依次演示，注意同样要保证测试开始前PC1、PC2与网关互通，可以看到最后PC2发动攻击后PC1还是可以正常PING通网关，查看PC2上ethereal所抓的包，发现依然还是伪造包发出，但3600-EI和PC1的ARP表都没有被更改。结束语由于ARP协议制定时间比较早，当时对这些协议的缺陷考虑不周，使得ARP攻击的破坏性比较大，但其也有局限性，比如ARP攻击只局限在本地网络环境中。这里只介绍了一些简单的ARP原理和基

49、本的解决方案，想要做得更好，最根本的解决措施就是使用IPv6协议，因为在IPv6协议定义了邻机发现协议(NDP)，把ARP纳人NDP并运行于因特网控制报文协议(ICMP)上，使ARP更具有一般性，包括更多的内容。参考文献：1W Richard Stevens著 范建华译:TCP/IP详解(卷1)M.北京:机械工业出版社,2000; 42王 燕 张新刚:基于ARP协议的攻击及其防御方法分析J.微计算机信息2007; 23(36)3陈 英 马洪涛:局域网内ARP协议攻击及解决办法J.中国安全科学学报2007; 17 (07)经过修改,文章的总体结构可以了,自己再认真修改下,按毕业论文格式要求格式化和排版,最后就可以打印上交了.部分同学将被抽出参加毕业答辩.