第一种:分析ARP 攻击原理及解决方法 【故障原因】 局域网内有人使用ARP 欺骗的木马程序(比如:传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序)。 【故障原理】 要了解故障原理,我们先来了解一下 ARP 协议。 在局域网中,通过 ARP 协议来完成 IP 地址转换为第二层物理地址(即 MAC 地址)的。ARP 协议对网络安全具有重要的意义。通过伪造 IP 地址和 MAC 地址实现 ARP 欺骗,能够在网络中产生大量的ARP 通信量使网络阻塞。 ARP 协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC 地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC 地址。但这个目标 MAC 地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标 IP地址转换成目标 MAC 地址的过程。ARP 协议的基本功能就是通过目标设备的IP 地址,查询目标设备的MAC 地址,以保证通信的顺利进行。 每台安装有TCP/IP 协议的电脑里都有一个 ARP 缓存表,表里的IP 地址与 MAC 地址是一一对应的,如下表所示。 主机 IP 地址 MAC 地址 A 192.168.16.1 aa-aa-aa-aa-aa-aa B 192.168.16.2 bb-bb-bb-bb-bb-bb C 192.168.16.3 cc-cc-cc-cc-cc-cc D 192.168.16.4 dd-dd-dd-dd-dd-dd 我们以主机 A(192.168.16.1)向主机 B(192.168.16.2)发送数据为例。当发送数据时,主机 A 会在自己的ARP 缓存表中寻找是否有目标 IP 地址。如果找到了,也就知道了目标MAC 地址,直接把目标 MAC 地址写入帧里面发送就可以了;如果在 ARP 缓存表中没有找到相对应 的IP 地址,主 机 A 就会在网络上发送一个 广播,目 标 MAC 地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2的MAC地址是什么?” 网络上其他主机并不响应ARP 询问,只有主机B 接收到这个帧时,才向主机A 做出这样的回应:“ 192.168.16.2的MAC 地址是bb-bb-bb-bb-bb-bb” 。这样,主机A 就知道了主机B 的MAC 地址,它就可以向主机B 发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B 发送信息时,直接从 ARP 缓存表里查找就可以了。ARP 缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP 缓存...
