返回
职业学校校园网arp攻击原理探究

职业学校校园网arp攻击原理探究

ID:32954011

大小:64.28 KB

页数:8页

时间:2019-02-18

职业学校校园网arp攻击原理探究_第1页
职业学校校园网arp攻击原理探究_第2页
职业学校校园网arp攻击原理探究_第3页
职业学校校园网arp攻击原理探究_第4页
职业学校校园网arp攻击原理探究_第5页
资源描述:

《职业学校校园网arp攻击原理探究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、职业学校校园网ARP攻击原理探究摘要:文章介绍了ARP攻击的原理以及由此引发的网络安全问题,并且结合实际解决方案情况,提出在校园网中实施多层次的防范方法,以解决因ARP攻击而引发的网络安全问题,最后介绍了一些实用性较强且操作简单的检测和抵御攻击的有效方法。关键词:ARP攻击;网络安全;防范方法学校2007年入网升级为10M光纤后,应学校要求开放机房给学生,一段时间后,经常接到报告,部份计算机频繁掉线,严的影响到了办公区的正常上网。通过重启计算机或路由器问题解决,或第二天又能正常上网,机房一开放又出现同样问题,通过网上相关资料查询,断定这是局域

2、网ARP攻击。学校网络比较简单,全部使用192.168.0.0网段,用拔线的方法来控制上网与断网。用了很多方法,如批处理软件、杀毒,但效果并不理想,一段时间后又出现。最后通过静态MAC地址绑定与ARP防火墙的使用,终于解决了掉网问题,为此有效的防范ARP形式的网络攻击已成为确保学校网络畅通必要条件。ARP的相关知识1•什么是ARPARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的,ARP协议对网络安全具有重要的意义。AR

3、P协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。更何况ARP协议是工作在更低于IP协议的协议层,因此它的危害就更加隐蔽。2.ARP欺骗的原理ARP类型的攻击内藏于软件,扰乱其他局域网用户正常的网络通信,在计算机上运行ARP欺骗程序,来发送ARP欺骗包。伪造ARP应答与无效的MAC地址。当局域网中一台机器,反复向其他机器,特别是向网关,发送这样无效假冒的ARP应答信息包时,严重的网络堵塞就会开始。由于网关MAC地址错误,所以从网络中计算机发来的数据无法正常发到网关,自然无法正常上网。这就造成了无法访问外网的问题,另

4、外由于很多时候网关还控制着我们的局域网LAN上网,所以这时我们的LAN访问也就出现问题To出现ARP攻击的原因及特征一个正常运行的局域网是不应该出现ARP攻击的,经过长时间的观测,发现ARP攻击的出现主要是由以下几个原因造成的:1.人为破坏主要是内网有人安装了P2P监控软件,如P2P终结者,网络执法官,聚生网管,QQ第六感等,恶意监控其他机器,限制流量,或者进行内网DDOS攻击。1.木马病毒传奇、跑跑卡丁车、劲舞团等游戏外挂,如:及时雨PK版,跑跑牛车,劲舞小生等,他内含一些木马程序,也会引起ARP欺骗。其实真正有人恶意捣乱的是很少的,一次两

5、次捣乱,次数多了自己也就腻了,更何况事后网管肯定会找到捣乱的主机,所以说人为破坏是比较好解决的。最麻烦的就是使用带木马的游戏外挂和浏览带有恶意代码的网页。当出现ARP攻击后最明显的特征是网络频繁掉线,速度变慢,查看进程你会发现增加了down,exe1.execmd.exe9sy.exe中的任意一个或多个,严重的还能自动下载威金病毒,logo_l.exe.rundll32.exe,感染可执行文件。解决方案及结果从网上查询相关资料,目前对于ARP攻击防护问题出现最多是绑定IP和MAC和使用ARP防护软件。1.发现ARP欺骗木马在路由器的“系统历史

6、记录”中看到大量如下的信息(440以后的路由器软件版本中才有此提示):MACChged10.128.103.124MACOld00:01:6c:36:dl:7fMACNew00:05:5d:60:c7:18这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址,即所有信息的MACNew地址都一致为病毒主机的MAC地址,同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。如果是在路由器的“系统历史记录”中看到大量MACOld地址都一致,则说明局域网内曾经出现过A

7、RP欺骗,ARP欺骗的木马程序停止运行时,主机在路由器上恢复其真实的MAC地址。1.查找病毒主机在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址,那么我们就可以使用NBTSCANX具来快速查找它。NBTSCAN可以取到PC的真实IP地址和MAC地址,如果有"ARP攻击”在做怪,可以找到装有ARP攻击的PC的IP/和MAC地址。命令:“nbtscan-rl92.168.0.0/24”,搜索整个192.168.0.0/24网段,即192.168.0.1-192.168.0.254,输出结果第一列是IP地址,最后一列是MAC地址。NBTSC

8、AN的使用范例:假设查找一台MAC地址为“000d870d585f”的病毒主机。(1)将压缩包中的nbtscan.exe和cygwinl.dll解压缩放到c:下。(

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。