前言：本站為你精心整理了數(shù)字圖書館網(wǎng)絡(luò)防治管理范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

摘要：本文介紹了目前在數(shù)字圖書館局域網(wǎng)內(nèi)蔓延泛濫的ARP病毒的協(xié)議的工作原理及欺騙過(guò)程，結(jié)合實(shí)際工作分析了防治ARP病毒的思路。

關(guān)鍵詞：ARP數(shù)字圖書館病毒防治

0引言

近來(lái)，數(shù)字圖書館局域網(wǎng)相繼出現(xiàn)頻繁掉線的現(xiàn)象，訪問(wèn)Internet時(shí)斷時(shí)續(xù)，影響面積較大。通過(guò)檢查，我們發(fā)現(xiàn)故障的發(fā)生與ARP欺騙病毒有關(guān)。該病毒導(dǎo)致網(wǎng)內(nèi)其他主機(jī)的ARP緩存表中默認(rèn)網(wǎng)關(guān)的MAC地址錯(cuò)誤，使其他主機(jī)掉線，達(dá)到自身主機(jī)獨(dú)享線路帶寬的目的。本文首先介紹ARP協(xié)議和其欺騙的過(guò)程，然后對(duì)校園網(wǎng)中此類ARP欺騙的原理進(jìn)行分析，最后結(jié)合實(shí)際給出了相應(yīng)的解決辦法。

1ARP概述

1.1ARP協(xié)議簡(jiǎn)介在以太網(wǎng)(Ethernet)中，一個(gè)網(wǎng)絡(luò)設(shè)備要和另一個(gè)網(wǎng)絡(luò)設(shè)備進(jìn)行直接通信，除了知道目標(biāo)設(shè)備的網(wǎng)絡(luò)層邏輯地址(正地址)外，還要知道目標(biāo)設(shè)備的物理地址(MAC地址)。要知道目的MAC地址，就需要通過(guò)地址解析。所謂地址解析就是主機(jī)在發(fā)送幀前將目的正地址轉(zhuǎn)換成目的MAC地址的過(guò)程。ARP協(xié)議(AddressResolutionProtocol)的基本功能就是通過(guò)目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。

1.2ARP協(xié)議工作原理在每臺(tái)安裝有TCP/IP協(xié)議的主機(jī)里都有一個(gè)ARP高速緩存表，ARP高速緩存是主機(jī)維護(hù)的一個(gè)IP地址到相應(yīng)以太網(wǎng)地址的映射表，表里的IP地址與MAC地址是——對(duì)應(yīng)的。

如圖1所示:以主機(jī)A(IP:192.168.0.1，MAC:AA-AA-AA-AA

-AA-AA）向主機(jī)B(IP:192.168.0.2，MAC:BB-BB-BB-BB-BB-

BB)發(fā)送數(shù)據(jù)為例。

當(dāng)發(fā)送數(shù)據(jù)時(shí)，主機(jī)A會(huì)在自己的ARP緩存表中尋找是否有目標(biāo)B的正地址。如果找到了，也就知道了B的MAC地址，于是直接把B的MAC地址寫入幀里面發(fā)送就可以了;如果在ARP緩存表中沒(méi)有找到相對(duì)應(yīng)的IP地址，主機(jī)A就會(huì)在網(wǎng)絡(luò)上發(fā)送一個(gè)廣播包，其目標(biāo)MAC地址是FF-FF-FF-FF-FF-FF，這表示向本網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的詢問(wèn):“192.168.0.2的MAC地址是?”網(wǎng)絡(luò)上其它主機(jī)并不響應(yīng)這一ARP請(qǐng)求，只有主機(jī)B接收到這個(gè)幀時(shí)，才向主機(jī)A做出這樣的響應(yīng):“192.168.0.2的MAC地址是BB-BB-BB-BB-BB-BB”。這樣，主機(jī)A就知道了主機(jī)B的MAC地址，它就可以向主機(jī)B發(fā)送數(shù)據(jù)了。同時(shí)它還更新了自己的ARP緩存表，當(dāng)下次再向主機(jī)B發(fā)送信息時(shí)，就直接從ARP緩存表里查找。ARP緩存表采用了老化機(jī)制，在一段時(shí)間內(nèi)如果表中的某一行沒(méi)有使用，就會(huì)被刪除，這樣可以大大減少ARP緩存表的長(zhǎng)度，加快查詢速度。

1.3ARP欺騙的過(guò)程從影響網(wǎng)絡(luò)連接通暢的角度來(lái)看，ARP欺騙分為二種:一種是對(duì)網(wǎng)關(guān)(路由器或三層交換機(jī))的欺騙;另一種是對(duì)內(nèi)網(wǎng)PC的欺騙。前者是通過(guò)偽造本網(wǎng)段內(nèi)一系列正地址及對(duì)應(yīng)的錯(cuò)誤MAC地址，并按照一定的頻率不斷發(fā)給網(wǎng)關(guān)，使真實(shí)的地址信息無(wú)法通過(guò)刷新保存在網(wǎng)關(guān)AR衛(wèi)列表中，結(jié)果網(wǎng)關(guān)的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址，造成正常的主機(jī)無(wú)法收到信息而不能上網(wǎng)。后者的原理是欺騙者偽造網(wǎng)關(guān)，讓被它欺騙的PC刷新其ARP緩存列表，從而截獲該P(yáng)C發(fā)給網(wǎng)關(guān)的信息。

1.3.1欺騙網(wǎng)關(guān)假如C要欺騙網(wǎng)關(guān)的話，它可以通過(guò)不斷的發(fā)送偽造的應(yīng)答包，如圖2所示:

C不斷向網(wǎng)關(guān)G發(fā)送偽造的ARP應(yīng)答“192.168.0.1的MAC地址是DDDDDDDDDDDD”，“192.168.0.2的MAC地址是EEEEEEEEEEEE”。當(dāng)G接收到C偽造的ARP應(yīng)答時(shí)，都會(huì)更新自己本地的ARP緩存，這樣主機(jī)A和B將無(wú)法收到來(lái)自網(wǎng)關(guān)G的信息，從而導(dǎo)致不能上網(wǎng)。

1.3.2欺騙局域網(wǎng)中某臺(tái)主機(jī)如圖3所示:假如A想和B通信，且A的緩存中沒(méi)有B的信息，這時(shí)候A就發(fā)送一個(gè)廣播包，詢問(wèn)192.168.0.2主機(jī)的MAC地址。

假設(shè)C是欺騙者，于是C向A發(fā)送一個(gè)自己偽造的ARP應(yīng)答:“192.168.0.2的MAC地址是CCCCCCCCCCCC”。當(dāng)A接收到C偽造的ARP應(yīng)答，就會(huì)更新本地的ARP緩存(A并不知道被偽造了)。于是A以后向B發(fā)送的信息就會(huì)被C所截獲。

2ARP欺騙的防治

2.1npptools.dll是windows系統(tǒng)的一個(gè)動(dòng)態(tài)庫(kù)(networkpacketprovidertoolshelper)常被ARP病毒利用，所以，禁止了npptools.dll將使此類病毒無(wú)法正常運(yùn)行。具體方法是：在安全模式中，打開(kāi)WINDOWS\SYSTEM32\NPPTOOLS.DLL文件。刪除這個(gè)文件后，用零字節(jié)的文件替換。最后將nnptools.dll保存為只讀文件。

2.2制作IP綁定MAC地址的批處理文件編寫一個(gè)批處理文件arp.bat，內(nèi)容如下:

@echooff

arp-d

arp-s網(wǎng)關(guān)IP地址網(wǎng)關(guān)MAC地址

保存為:xxx.bat。運(yùn)行批處理文件。即將這個(gè)批處理文件拖到開(kāi)始菜單啟動(dòng)中，批處理文件可以在開(kāi)機(jī)后設(shè)置一個(gè)靜態(tài)的MAC、IP對(duì)應(yīng)表，并不讓主機(jī)刷新。

2.3對(duì)于只是感染ARP的機(jī)器可以通過(guò)手動(dòng)來(lái)清除而不用重新安裝系統(tǒng)。

2.3.1結(jié)束ARP病毒進(jìn)程vktserv.exe，刪除系統(tǒng)中存在的下列文件:%windows%\system32\LOADHW.EXE。

%windows%\system32\driver\npf.sys

%windows%\system32\msitimit.dll

2.3.2刪除病毒的假驅(qū)動(dòng)程序,打開(kāi)注冊(cè)表服務(wù)項(xiàng):HKEY_LOCALMACHINE/SYSTEM/CurrentControlSet/Services/Npf,保存退出重新啟動(dòng)電腦。

2.4經(jīng)常更新殺毒軟件（病毒庫(kù)），安裝并使用ARP防火墻軟件，如奇虎360ARP防火墻。

2.5MAC地址與IP地址的綁定是最簡(jiǎn)單有效的ARP攻擊防御方法。這樣在查找ARP中毒電腦時(shí)很方便。利用局域網(wǎng)查看工具（LanSee）可以很方便地收集同一網(wǎng)段內(nèi)機(jī)器的IP地址、機(jī)器名、MAC地址。需要注意的是先關(guān)閉被收集信息的機(jī)器的Windows防火墻，才能收集到所需信息。

3結(jié)束語(yǔ)

ARP病毒的泛濫對(duì)數(shù)字化圖書館的影響很大，網(wǎng)絡(luò)總是掉線，導(dǎo)致了讀者不能正常使用圖書館資源，工作人員不能順暢的工作，帶來(lái)了很多障礙。本文分析了ARP欺騙的原理提出了解決ARP欺騙的幾種方法。解決ARP欺騙以及防范有關(guān)病毒的更多更好的方法，還有待于我們繼續(xù)探討。

參考文獻(xiàn):

[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].北京:電子工業(yè)出版社,2004.

[2][美]DouglasEC.用TCP/IP進(jìn)行網(wǎng)際互聯(lián)(第1卷):原理、協(xié)議與結(jié)構(gòu)[M].4版.北京:電子工業(yè)出版社,2003:7.

[3]王奇.以太網(wǎng)中ARP欺騙原理與解決辦法[J].網(wǎng)絡(luò)安全,2007(2).

[4]陸余良,張永,劉克勝,等.ARP協(xié)議在局域網(wǎng)類型探測(cè)中的應(yīng)用[J].計(jì)算機(jī)工程,2004,30(1):1952197.