科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道资深网管浅谈ARP病毒的防治思路

资深网管浅谈ARP病毒的防治思路

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

笔者也曾经为ARP欺骗类蠕虫病毒所困饶,应对措施是需要结合ACL访问控制列表以及路由策略等多个路由交换设备功能,首先要保证路由交换设备支持这些功能,另外还不能够过滤掉正确的数据包。

作者:IT168 2007年10月29日

关键字: ARP 网络管理员 ARP欺骗 ARP病毒

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共2页)

  浏览我们IT168网站的读者中大部分都是企业的网管以及网络安全爱好者,相信最近一段时间最让我们头疼的莫过于ARP欺骗类蠕虫病毒了,这种病毒处理起来很麻烦,一台机器感染会造成网段中所有机器的上网中断或混乱。笔者也曾经为ARP欺骗类蠕虫病毒所困饶,下面笔者根据自己的经验和经历和大家一起探讨下ARP欺骗类病毒的防治思路。

  一,ARP欺骗病毒概述:

  由于篇幅关系我们不可能在这里大幅讲解ARP欺骗病毒的工作原理和扩散机理,笔者只是对ARP欺骗病毒进行一个大概介绍。所谓ARP欺骗病毒实际上就是一台感染了病毒的计算机不断的冒充网关的IP地址,不停的告诉网络中所有计算机网关地址对应的MAC信息是感染病毒机器的MAC,这样由于他的发包量大大大于网关实际发送的ARP信息数据,所以正确的ARP数据包被虚假伪装过的数据包所掩盖,从而导致到其他计算机要上网时会把对应的数据发送到网关(实际上这个网关对应的MAC已经是中毒机器的MAC地址了),接下来数据的发送与接收完全由中毒机器和正常机器进行了,正确的网关地址被彻底跳过,从而造成网络访问出现问题,虚假欺骗信息赫然网页之上,其他计算机上网缓慢或者根本无法上网,甚至访问到的地址变成了一个虚假页面等。

  二,ARP欺骗病毒防治关键:

  ARP欺骗病毒的诞生和传播与爆发关键在于他向网络中发送了大量的虚假数据包,虚假数据包的内容是告诉其他计算机网关地址的MAC是感染病毒的MAC,比如这台机器的MAC地址是1111-1111-1111,自己的IP地址是192.168.1.5,网络中真正网关地址是192.168.1.254,那么虚假数据包就是告诉其他计算机192.168.1.254对应的MAC地址是1111-1111-1111。由于TCP/IP协议传输是从低层数据链路层开始到高层网络层的,所以辨认计算机先要通过MAC地址,由于网络中其他计算机已经接收到了192.168.1.254地址对应的MAC是1111-1111-1111,那么他们将首先通过MAC和ARP缓存信息来确定定位目标网关计算机。

  因此通过上面的分析我们可以明确一点,那就是防范ARP欺骗病毒的关键就是处理这种非法数据包——IP地址是网关而MAC地址是感染病毒的计算机。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章