ARP(Address Resolution Protocol)地址解析协议
1.在OSI模型的数据链路层.
2.主机间通信时用来将目标IP地址转换成目标MAC地址(链路层只认MAC地址),
使"包"转换成"帧"后在链路层传输.
使"包"转换成"帧"后在链路层传输.
3.每台电脑里都有一个ARP缓存表,表里IP地址与MAC地址对应.
4.主机A(192.168.1.5)向B(192.168.1.1)发送数据。A在自己的ARP缓存表中
寻找目标IP地址。如果找到,把目标MAC地址写入帧里发送.没找到,A在网络上发送
目标MAC地址是“FF.FF.FF.FF.FF.FF”(表示同一网段内的所有主机)的广播,询问
:“192.168.1.1的MAC地址是什么?”网络上其他主机不响应,只有主机B接收到
帧时回应:“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。主机A知道了B的
MAC,就可以给B发送信息。同时它还更新了ARP缓存表,下次给B发信息时,从缓存
表里可直接查到。缓存表某一行在一段时间内没有使用,会被删除.减少表的长度
加快查询。
寻找目标IP地址。如果找到,把目标MAC地址写入帧里发送.没找到,A在网络上发送
目标MAC地址是“FF.FF.FF.FF.FF.FF”(表示同一网段内的所有主机)的广播,询问
:“192.168.1.1的MAC地址是什么?”网络上其他主机不响应,只有主机B接收到
帧时回应:“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。主机A知道了B的
MAC,就可以给B发送信息。同时它还更新了ARP缓存表,下次给B发信息时,从缓存
表里可直接查到。缓存表某一行在一段时间内没有使用,会被删除.减少表的长度
加快查询。
5.MS_DOS下
命令“arp -a”可查看ARP缓存表中内容
“arp -d”可删除ARP表中某一行内容
“arp -s”可手动绑定ARP表中指定IP地址与MAC地址的对应
“arp -d”可删除ARP表中某一行内容
“arp -s”可手动绑定ARP表中指定IP地址与MAC地址的对应
ARP攻击的表现
1.使用校园网时突然掉线,过一段时间后恢复正常。IE浏览器频繁出错,以及一些常用软件出现故障等。
2.如果校园网是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关)
ARP攻击的原理
ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是——截获网关数据。它不断向路由器发送一系列错误的内网MAC地址,使真实信息无法通过更新保存在路由器中,造成正常PC无法收到信息。
第二种ARP欺骗的原理是——伪造网关。它是建立假网关,让被它欺骗的PC向假网关发数据,使PC无法上网.
ARP攻击的解决办法
1.“ CTRL ”+“ ALT ”+“ DEL ”键,“任务管理器”,“进程”
察看有没“ MIR0.dat ”的进程。有,已经中毒。“结束进程”.
察看有没“ MIR0.dat ”的进程。有,已经中毒。“结束进程”.
2."开始","运行","cmd","ipconfig/all"记录网关IP地址; "ARP -a"记录网关对应MAC地址
正常上网时,次MAC正确. 无法上网时,该MAC为毒源计算机MAC.
正常上网时,次MAC正确. 无法上网时,该MAC为毒源计算机MAC.
3."arp –s 网关 IP 网关物理地址"命令绑定ARP对应关系.
4."tracert -d [url]www.163.com[/url](任意网址)"命令,返回的第一行的IP地址为毒源IP.
5.使用Anti Arp Sniffer 软件
女朋友宿舍整天出现上面问题,学校的网管垃圾到只会说"自己回去杀毒去"(严重鄙视!)上面所说的ARP攻击通常是LAN内发起的,因为是广播,所以很难禁止. 按照上面的方法应该可以解决. 顺便说一句,查到那个发病毒的,可不要便宜他个丫挺的! :)
