- 相關推薦
探析數字圖書館網絡防治ARP病毒的策略
摘要:本文介紹了目前在數字圖書館局域網內蔓延泛濫的ARP病毒的協議的工作原理及欺騙過程,結合實際工作分析了防治ARP病毒的思路。關鍵詞:ARP 數字圖書館 病毒防治
0 引言
近來,數字圖書館局域網相繼出現頻繁掉線的現象,訪問Internet時斷時續,影響面積較大。通過檢查,我們發現故障的發生與ARP欺騙病毒有關。該病毒導致網內其他主機的ARP緩存表中默認網關的MAC地址錯誤,使其他主機掉線,達到自身主機獨享線路帶寬的目的。本文首先介紹ARP協議和其欺騙的過程,然后對校園網中此類ARP欺騙的原理進行分析,最后結合實際給出了相應的解決辦法。
1 ARP概述
1.1 ARP協議簡介 在以太網(Ethernet)中,一個網絡設備要和另一個網絡設備進行直接通信,除了知道目標設備的網絡層邏輯地址(正地址)外,還要知道目標設備的物理地址(MAC地址)。要知道目的MAC地址,就需要通過地址解析。所謂地址解析就是主機在發送幀前將目的正地址轉換成目的MAC地址的過程。ARP協議(Address Resolution Protocol)的基本功能就是通過目標設備的IP地址,查詢目標設備的MAC地址,以保證通信的順利進行。
1.2 ARP協議工作原理 在每臺安裝有TCP/IP協議的主機里都有一個ARP高速緩存表,ARP高速緩存是主機維護的一個IP地址到相應以太網地址的映射表,表里的IP地址與MAC地址是——對應的。
如圖1所示:以主機A(IP:192.168.0.1,MAC:AA-AA-AA-AA
-AA-AA)向主機B(IP:192.168.0.2,MAC:BB-BB-BB-BB-BB-
BB)發送數據為例。
當發送數據時,主機A會在自己的ARP緩存表中尋找是否有目標B的正地址。如果找到了,也就知道了B的MAC地址,于是直接把B的MAC地址寫入幀里面發送就可以了;如果在ARP緩存表中沒有找到相對應的IP地址,主機A就會在網絡上發送一個廣播包,其目標MAC地址是FF-FF-FF-FF-FF-FF,這表示向本網段內的所有主機發出這樣的詢問:“192.168.0.2的MAC地址是?”網絡上其它主機并不響應這一ARP請求,只有主機B接收到這個幀時,才向主機A做出這樣的響應:“192.168.0.2的MAC地址是BB-BB-BB-BB-BB-BB”。這樣,主機A就知道了主機B的MAC地址,它就可以向主機B發送數據了。同時它還更新了自己的ARP緩存表,當下次再向主機B發送信息時,就直接從ARP緩存表里查找。ARP緩存表采用了老化機制,在一段時間內如果表中的某一行沒有使用,就會被刪除,這樣可以大大減少ARP緩存表的長度,加快查詢速度。
1.3 ARP欺騙的過程 從影響網絡連接通暢的角度來看,ARP欺騙分為二種:一種是對網關(路由器或三層交換機)的欺騙;另一種是對內網PC的欺騙。前者是通過偽造本網段內一系列正地址及對應的錯誤MAC地址,并按照一定的頻率不斷發給網關,使真實的地址信息無法通過刷新保存在網關AR衛列表中,結果網關的所有數據只能發送給錯誤的MAC地址,造成正常的主機無法收到信息而不能上網。后者的原理是欺騙者偽造網關,讓被它欺騙的PC刷新其ARP緩存列表,從而截獲該PC發給網關的信息。
1.3.1 欺騙網關 假如C要欺騙網關的話,它可以通過不斷的發送偽造的應答包,如圖2所示:
C不斷向網關G發送偽造的ARP應答“192.168.0.1的MAC地址是DDDDDDDDDDDD”,“192.168.0.2的MAC地址是EEEEEEEEEEEE”。當G接收到C偽造的ARP應答時,都會更新自己本地的ARP緩存,這樣主機A和B將無法收到來自網關G的信息,從而導致不能上網。
1.3.2 欺騙局域網中某臺主機 如圖3所示:假如A想和B通信,且A的緩存中沒有B的信息,這時候A就發送一個廣播包,詢問192.168.0.2主機的MAC地址。
假設C是欺騙者,于是C向A發送一個自己偽造的ARP應答:“192.168.0.2的MAC地址是CCCCCCCCCCCC”。當A接收到C偽造的ARP應答,就會更新本地的ARP緩存(A并不知道被偽造了)。于是A以后向B發送的信息就會被C所截獲。
2 ARP欺騙的防治
2.1 npptools.dll 是windows系統的一個動態庫(network packet provider tools helper)常被ARP病毒利用,所以,禁止了npptools.dll將使此類病毒無法正常運行。具體方法是:在安全模式中,打開WINDOWS\SYSTEM32\NPPTOOLS.DLL文件。刪除這個文件后,用零字節的文件替換。最后將nnptools.dll保存為只讀文件。
2.2 制作IP綁定MAC地址的批處理文件 編寫一個批處理文件arp.bat,內容如下:
@echo off
arp-d
arp-s網關IP地址 網關MAC地址
保存為:xxx.bat。運行批處理文件。即將這個批處理文件拖到開始菜單啟動中,批處理文件可以在開機后設置一個靜態的MAC、IP 對應表,并不讓主機刷新。
2.3 對于只是感染ARP的機器可以通過手動來清除而不用重新安裝系統。
2.3.1 結束ARP病毒進程vktserv.exe,刪除系統中存在的下列文件:%windows%\system32\LOADHW.EXE。
%windows%\system32\driver\npf.sys
%windows%\system32\msitimit.dll
2.3.2 刪除病毒的假驅動程序,打開注冊表服務項:HKEY_LOCALMACHINE/SYSTEM/CurrentControlSet/Services/Npf,保存退出重新啟動電腦。
2.4 經常更新殺毒軟件(病毒庫),安裝并使用ARP防火墻軟件,如奇虎360ARP防火墻。
2.5 MAC地址與IP地址的綁定是最簡單有效的ARP攻擊防御方法。這樣在查找ARP中毒電腦時很方便。利用局域網查看工具(Lan See)可以很方便地收集同一網段內機器的IP地址、機器名、MAC地址。需要注意的是先關閉被收集信息的機器的Windows防火墻,才能收集到所需信息。
3 結束語
ARP病毒的泛濫對數字化圖書館的影響很大,網絡總是掉線,導致了讀者不能正常使用圖書館資源,工作人員不能順暢的工作,帶來了很多障礙。本文分析了ARP欺騙的原理提出了解決ARP欺騙的幾種方法。解決ARP欺騙以及防范有關病毒的更多更好的方法,還有待于我們繼續探討。
參考文獻:
[1]謝希仁.計算機網絡[M].北京:電子工業出版社,2004.
[2][美]Douglas E C.用TCP/IP進行網際互聯(第1卷):原理、協議與結構[M].4版.北京:電子工業出版社,2003:7.
[3]王奇.
【探析數字圖書館網絡防治ARP病毒的策略】相關文章:
探析局域網信息安全與病毒防治策略03-20
校園網絡病毒的危害與防治03-05
局域網的信息安全與病毒防治策略03-18
探析網絡營銷發展及策略03-19
淺談圖書館崗位輪換策略探析03-21
探討局域網的安全控制與病毒防治策略03-20
探究局域網的安全控制與病毒防治策略03-08
探析網絡環境下的學習策略研究03-16
探析數字圖書館的知識產權問題03-19