局域网络维护经验谈
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ARP协议的基本功能就是通过目标设备的IP地 址,查询目标设备的MAC地址,以保证通信的 顺利进行。
【一、故障原理】
为什么要将ip转化成mac呢?简单的说,这是因为在tcp网 络环境下,一个ip包走到哪里,要怎么走是靠路由表定义。
但是,当ip包到达该网络后,哪台机器响应这个ip包却是靠 该ip包中所包含的mac地址来识别。
【一、故障原理】
每台安装有TCP/IP协议的电脑里都有一 个ARP缓存表,表里的IP地址与MAC地 址是一一对应的,如下表所示。
主机 IP地址
MAC地址
A 192.168.16.1 aa-aa-aa-aa-aa-aa
B 192.168.16.2 bb-bb-bb-bb-bb-bb
C 192.168.16.3 cc-cc-cc-cc-cc-cc
程序的目的一般是为了盗取QQ、网游、 网上交易等密码,然后发送给木马作者, 以获取经济利益。
Hale Waihona Puke Baidu一、故障原理】
要了解ARP故障原理,我们先来了解一下ARP 协议。
ARP病毒原理:arp是一种将ip转化成以ip对应 的网卡的物理地址的一种协议,或者说ARP协 议是一种将ip地址转化成MAC地址的一种协议。 它靠维持在内存中保存的一张表来使ip得以在网 络上被目标机器应答。
【一、故障原理】
思科交换机MAC端口对照表 show mac address dynamic输出结果
【一、故障原理】
港湾交换机MAC端口对照表 show fdb输出结果
【一、故障原理】
我们以主机A(192.168.16.1)向主机B (192.168.16.2)发送数据为例。当发送数据时, 主机A会在自己的ARP缓存表中寻找是否有目标 IP地址。如果找到了,也就知道了目标MAC地址, 直接把目标MAC地址写入帧里面发送就可以了; 如果在ARP缓存表中没有找到相对应的IP地址, 主机A就会在网络上发送一个广播,目标MAC地 址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内 的所有主机发出这样的询问:“192.168.16.2的 MAC地址是什么?”网络上其他主机并不响应 ARP询问,只有主机B接收到这个帧时,才向主 机A做出这样的回应:“192.168.16.2的MAC地 址是bb-bb-bb-bb-bb-bb”。
ARP 病毒
一、故障原理 二、故障现象 三、故障检测 四、故障查杀 五、故障防治
【一、故障原理】
局域网内有人安装运行了使用ARP欺骗 的木马程序(比如:QQ外挂、网游外挂、 某些非官方网站下载的QQ之类的常用软 件也被恶意加载了此类程序)。
该程序一旦被安装后,就会把自己放入系 统自动启动组内,每次开机都会加载自身。
在局域网中,网络中实际传输的是“帧”,帧 里面是有目标主机的MAC地址的。
在以太网中,一个主机要和另一个主机进行直 接通信,必须要知道目标主机的MAC地址。
但这个目标MAC地址是如何获得的呢?它就是 通过地址解析协议获得的。
所谓“地址解析”就是主机在发送帧前将目标 IP地址转换成目标MAC地址的过程。
也就是说,只有机器的mac地址和该ip包中的mac地址相同 的机器才会应答这个ip 包。
因为在网络中,每一台主机都会有发送ip包的时候。所以, 在每台主机的内存中,都有一个 arp--> mac 的转换表。通 常是动态的转换表(注意在路由中,该arp表可以被设置成 静态)。
也就是说,该对应表会被主机在需要的时候刷新。这是由 于以太网在子网层上的传输是靠48位的mac地址而决定的。
在局域网中,通过ARP协议来完成IP地址转换 为第二层物理地址(即MAC地址)的。
ARP协议对网络安全具有重要的意义。 通过伪造IP地址和MAC地址实现ARP欺骗,能
够在网络中产生大量的ARP通信量使网络阻塞。
【一、故障原理】
ARP协议是“Address Resolution Protocol” (地址解析协议)的缩写。
局域网络维护经验谈
导言
近期在全国范围内大规模爆发arp病毒及其各种 变种,对各种行业与部门的网络管理人员是一 个考验。
如果局域网中发现许多台电脑中毒,电脑中毒 后会向同网段内所有计算机发ARP欺骗包。
由于ARP欺骗的木马程序发作的时候会发出大 量的数据包导致局域网通讯拥塞,用户会感觉 上网速度越来越慢,掉线;甚至无法上网,同 时造成整个局域网的不稳定,这种现象就是我 们常见的ARP病毒。
【一、故障原理】
这样,主机A就知道了主机B的MAC地址, 它就可以向主机B发送信息了。同时它还 更新了自己的ARP缓存表,下次再向主 机B发送信息时,直接从ARP缓存表里查 找就可以了。ARP缓存表采用了老化机 制,在一段时间内如果表中的某一行没有 使用,就会被删除,这样可以大大减少 ARP缓存表的长度,加快查询速度。
【一、故障原理】
A对这个变化一点都没有意识到,但是接下来的 事情就让A产生了怀疑。因为A和C连接不上了。 D对接收到A发送给C的数据包可没有转交给C。
做“man in the middle”(中间人攻击),进行 ARP重定向。打开D的IP转发功能,A发送过来 的数据包,转发给C,好比一个路由器一样。不 过,假如D发送ICMP重定向的话就中断了整个 计划。
D 192.168.16.4 dd-dd-dd-dd-dd-dd
【一、故障原理】
WINDOWS的ARP表 cmd, arp –a输出结果
【一、故障原理】
华为三层交换机的ARP表 dis arp输出结果
【一、故障原理】
华为二层交换机:MAC端口对照表 dis mac 输出结果
【一、故障原理】
从上面可以看出,ARP协议的基础就是 信任局域网内所有的人,那么就很容易实 现在以太网上的ARP欺骗。对目标A进行 欺骗,A去Ping主机C却发送到了DD-DDDD-DD-DD-DD这个地址上。如果进行欺 骗的时候,把C的MAC地址骗为DD-DDDD-DD-DD-DD,于是A发送到C上的数 据包都变成发送给D的了。这不正好是D 能够接收到A发送的数据包了么,嗅探成 功。
【一、故障原理】
为什么要将ip转化成mac呢?简单的说,这是因为在tcp网 络环境下,一个ip包走到哪里,要怎么走是靠路由表定义。
但是,当ip包到达该网络后,哪台机器响应这个ip包却是靠 该ip包中所包含的mac地址来识别。
【一、故障原理】
每台安装有TCP/IP协议的电脑里都有一 个ARP缓存表,表里的IP地址与MAC地 址是一一对应的,如下表所示。
主机 IP地址
MAC地址
A 192.168.16.1 aa-aa-aa-aa-aa-aa
B 192.168.16.2 bb-bb-bb-bb-bb-bb
C 192.168.16.3 cc-cc-cc-cc-cc-cc
程序的目的一般是为了盗取QQ、网游、 网上交易等密码,然后发送给木马作者, 以获取经济利益。
Hale Waihona Puke Baidu一、故障原理】
要了解ARP故障原理,我们先来了解一下ARP 协议。
ARP病毒原理:arp是一种将ip转化成以ip对应 的网卡的物理地址的一种协议,或者说ARP协 议是一种将ip地址转化成MAC地址的一种协议。 它靠维持在内存中保存的一张表来使ip得以在网 络上被目标机器应答。
【一、故障原理】
思科交换机MAC端口对照表 show mac address dynamic输出结果
【一、故障原理】
港湾交换机MAC端口对照表 show fdb输出结果
【一、故障原理】
我们以主机A(192.168.16.1)向主机B (192.168.16.2)发送数据为例。当发送数据时, 主机A会在自己的ARP缓存表中寻找是否有目标 IP地址。如果找到了,也就知道了目标MAC地址, 直接把目标MAC地址写入帧里面发送就可以了; 如果在ARP缓存表中没有找到相对应的IP地址, 主机A就会在网络上发送一个广播,目标MAC地 址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内 的所有主机发出这样的询问:“192.168.16.2的 MAC地址是什么?”网络上其他主机并不响应 ARP询问,只有主机B接收到这个帧时,才向主 机A做出这样的回应:“192.168.16.2的MAC地 址是bb-bb-bb-bb-bb-bb”。
ARP 病毒
一、故障原理 二、故障现象 三、故障检测 四、故障查杀 五、故障防治
【一、故障原理】
局域网内有人安装运行了使用ARP欺骗 的木马程序(比如:QQ外挂、网游外挂、 某些非官方网站下载的QQ之类的常用软 件也被恶意加载了此类程序)。
该程序一旦被安装后,就会把自己放入系 统自动启动组内,每次开机都会加载自身。
在局域网中,网络中实际传输的是“帧”,帧 里面是有目标主机的MAC地址的。
在以太网中,一个主机要和另一个主机进行直 接通信,必须要知道目标主机的MAC地址。
但这个目标MAC地址是如何获得的呢?它就是 通过地址解析协议获得的。
所谓“地址解析”就是主机在发送帧前将目标 IP地址转换成目标MAC地址的过程。
也就是说,只有机器的mac地址和该ip包中的mac地址相同 的机器才会应答这个ip 包。
因为在网络中,每一台主机都会有发送ip包的时候。所以, 在每台主机的内存中,都有一个 arp--> mac 的转换表。通 常是动态的转换表(注意在路由中,该arp表可以被设置成 静态)。
也就是说,该对应表会被主机在需要的时候刷新。这是由 于以太网在子网层上的传输是靠48位的mac地址而决定的。
在局域网中,通过ARP协议来完成IP地址转换 为第二层物理地址(即MAC地址)的。
ARP协议对网络安全具有重要的意义。 通过伪造IP地址和MAC地址实现ARP欺骗,能
够在网络中产生大量的ARP通信量使网络阻塞。
【一、故障原理】
ARP协议是“Address Resolution Protocol” (地址解析协议)的缩写。
局域网络维护经验谈
导言
近期在全国范围内大规模爆发arp病毒及其各种 变种,对各种行业与部门的网络管理人员是一 个考验。
如果局域网中发现许多台电脑中毒,电脑中毒 后会向同网段内所有计算机发ARP欺骗包。
由于ARP欺骗的木马程序发作的时候会发出大 量的数据包导致局域网通讯拥塞,用户会感觉 上网速度越来越慢,掉线;甚至无法上网,同 时造成整个局域网的不稳定,这种现象就是我 们常见的ARP病毒。
【一、故障原理】
这样,主机A就知道了主机B的MAC地址, 它就可以向主机B发送信息了。同时它还 更新了自己的ARP缓存表,下次再向主 机B发送信息时,直接从ARP缓存表里查 找就可以了。ARP缓存表采用了老化机 制,在一段时间内如果表中的某一行没有 使用,就会被删除,这样可以大大减少 ARP缓存表的长度,加快查询速度。
【一、故障原理】
A对这个变化一点都没有意识到,但是接下来的 事情就让A产生了怀疑。因为A和C连接不上了。 D对接收到A发送给C的数据包可没有转交给C。
做“man in the middle”(中间人攻击),进行 ARP重定向。打开D的IP转发功能,A发送过来 的数据包,转发给C,好比一个路由器一样。不 过,假如D发送ICMP重定向的话就中断了整个 计划。
D 192.168.16.4 dd-dd-dd-dd-dd-dd
【一、故障原理】
WINDOWS的ARP表 cmd, arp –a输出结果
【一、故障原理】
华为三层交换机的ARP表 dis arp输出结果
【一、故障原理】
华为二层交换机:MAC端口对照表 dis mac 输出结果
【一、故障原理】
从上面可以看出,ARP协议的基础就是 信任局域网内所有的人,那么就很容易实 现在以太网上的ARP欺骗。对目标A进行 欺骗,A去Ping主机C却发送到了DD-DDDD-DD-DD-DD这个地址上。如果进行欺 骗的时候,把C的MAC地址骗为DD-DDDD-DD-DD-DD,于是A发送到C上的数 据包都变成发送给D的了。这不正好是D 能够接收到A发送的数据包了么,嗅探成 功。