返回
校园网如何用户防范ARP欺骗木马程序攻击

校园网如何用户防范ARP欺骗木马程序攻击

ID:39742795

大小:285.31 KB

页数:20页

时间:2019-07-10

校园网如何用户防范ARP欺骗木马程序攻击_第1页
校园网如何用户防范ARP欺骗木马程序攻击_第2页
校园网如何用户防范ARP欺骗木马程序攻击_第3页
校园网如何用户防范ARP欺骗木马程序攻击_第4页
校园网如何用户防范ARP欺骗木马程序攻击_第5页
资源描述:

《校园网如何用户防范ARP欺骗木马程序攻击》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、校园网如何用户防范ARP欺骗木马程序攻击前言有些校园网部分用户受到一种名为ARP欺骗木马程序(病毒)的攻击(ARP是“AddressResolutionProtocol”“地址解析协议”的缩写),病毒发作时其症状表现为计算机网络连接正常,却无法打开网页;或由于ARP欺骗的木马程序(病毒)发作时发出大量的数据包,导致校园网用户上网不稳定,极大地影响了校园网用户的正常使用,给整个校园网的安全带来严重的隐患。让我们一起来解决这个问题!ARP工作原理(举例)主机A的IP地址为192.168.1.1,MAC地址为0A-11-22-33-

2、44-01;主机B的IP地址为192.168.1.2,MAC地址为0A-11-22-33-44-02;当主机A要与主机B通信时,地址解析协议可以将主机B的IP地址(192.168.1.2)解析成主机B的MAC地址,以下为工作流程:第1步:根据主机A上的路由表内容,IP确定用于访问主机B的转发IP地址是192.168.1.2。然后A主机在自己的本地ARP缓存中检查主机B的匹配MAC地址。第2步:如果主机A在ARP缓存中没有找到映射,它将询问192.168.1.2的硬件地址,从而将ARP请求帧广播到本地网络上的所有主机。源主机A的

3、IP地址和MAC地址都包括在ARP请求中。本地网络上的每台主机都接收到ARP请求并且检查是否与自己的IP地址匹配。如果主机发现请求的IP地址与自己的IP地址不匹配,它将丢弃ARP请求。第3步:主机B确定ARP请求中的IP地址与自己的IP地址匹配,则将主机A的IP地址和MAC地址映射添加到本地ARP缓存中。第4步:主机B将包含其MAC地址的ARP回复消息直接发送回主机A。第5步:当主机A收到从主机B发来的ARP回复消息时,会用主机B的IP和MAC地址映射更新ARP缓存。本机缓存是有生存期的,生存期结束后,将再次重复上面的过程。主

4、机B的MAC地址一旦确定,主机A就能向主机B发送IP通信了。希望校园网用户采取以下措施一:提高安全意识校园网用户要增强网络安全意识,不要轻易下载、使用盗版和存在安全隐患的软件;或浏览一些缺乏可信度的网站(网页);不要随便打开不明来历的电子邮件,尤其是邮件附件;不要随便共享文件和文件夹,即使要共享,也得设置好权限,一般指定特定帐号或特定机器才能访问,另外不建议设置可写或可控制,以免个人计算机受到木马病毒的侵入给校园网的安全带来隐患。二:计算机杀毒校园网计算机用户要及时下载和更新操作系统的补丁程序,安装正版的杀毒软件,增强个人计算

5、机防御计算机病毒的能力。三:IP-MAC地址的绑定工作做好IP-MAC地址的绑定工作(即将IP地址与硬件识别地址绑定),在交换机和客户端都要绑定,这是可以使局域网免疫arp病毒侵扰的好办法。四:监视全网的ARP广播包部署网络流量检测设备,时刻监视全网的ARP广播包,查看其MAC地址是否正确。五:用户检查和处理“ARP欺骗”木马的方法检查本机的“ARP欺骗”木马染毒进程,同时按住键盘上的“CTRL”和“ALT”键再按“DEL”键,选择“任务管理器”,点选“进程”标签。察看其中是否有一个名为“MIR0.dat”之类的进程。如果有,

6、则说明已经中毒。右键点击此进程后选择“结束进程”。在受到ARP欺骗木马程序(病毒)攻击时,用户可选择下列方法的一种处理。方法一:下载AntiARPSniffer软件保护本地计算机正常运行(点击下载)。同时把此软件设为自动启动,步骤:先把Antiarp.exe生成桌面快捷方式->选"开始"->"程序"->双击"启动"->再把桌面上Antiarp.exe快捷键拷到"启动"中,以保证下次开机自动运行,起到保护的作用。方法二:在“开始”-“程序”-“附件”菜单下调出“命令提示符”。输入并执行以下命令:ipconfig记录网关IP地址,

7、即“DefaultGateway”对应的值,例如“10.10.10.1”。再输入并执行以下命令:arp–a在“InternetAddress”下找到上步记录的网关IP地址,记录其对应的物理地址,即“PhysicalAddress”值,例如“00-01-e8-1f-35-54”。在网络正常时这就是网关的正确物理地址,在网络受“ARP欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。也可以扫描本子网内的全部IP地址,然后再查ARP表。如果有一个IP对应的物理地址与网关的相同,那么这个IP地址和物理地址就是中毒计算机的I

8、P地址和网卡物理地址。本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关IP地址和网关物理地址,然后在“命令提示符”窗口中输入并执行以下命令:arp–s网关IP网关物理地址。方法三:局域网ARP攻击免疫器(点击下载)。(1)将这里面3个dl

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。