数字图书馆网络防治ARP病毒的策略

1、数字图书馆网络防治ARP病毒的策略摘要：本文介绍了目前在数字图书馆局域网内蔓延泛滥的arp病毒的协议的工作原理及欺骗过程，结合实际工作分析了防治arp病毒的思路。关键词：arp数字图书馆病毒防治0引言近来，数字图书馆局域网相继出现频繁掉线的现象，访问internet时断时续，影响面积较大。通过检查，我们发现故障的发生与arp欺骗病毒有关。该病毒导致网内其他主机的arp缓存表中默认网关的a地址错误，使其他主机掉线，到达自身主机独享线路带宽的目的。本文首先介绍arp协议和其欺骗的过程，然后对校园网中此类arp欺骗的原理进展分析，最后结合实际给出了相应的解决方法。1arp概述1.1arp协议简介在以

2、太网(ethernet)中，一个网络设备要和另一个网络设备进展直接通信，除了知道目的设备的网络层逻辑地址(正地址)外，还要知道目的设备的物理地址(a地址)。要知道目的a地址，就需要通过地址解析。所谓地址解析就是主机在发送帧前将目的正地址转换成目的a地址的过程。arp协议(addressreslutinprtl)的根本功能就是通过目的设备的ip地址，查询目的设备的a地址，以保证通信的顺利进展。1.2arp协议工作原理在每台安装有tp/ip协议的主机里都有一个arp高速缓存表，arp高速缓存是主机维护的一个ip地址到相应以太网地址的映射表，表里的ip地址与a地址是对应的。如图1所示:以主机a(ip

3、:192.168.0.1，a:aa-aa-aa-aa-aa-aa向主机b(ip:192.168.0.2，a:bb-bb-bb-bb-bb-bb)发送数据为例。当发送数据时，主机a会在自己的arp缓存表中寻找是否有目的b的正地址。假如找到了，也就知道了b的a地址，于是直接把b的a地址写入帧里面发送就可以了;假如在arp缓存表中没有找到相对应的ip地址，主机a就会在网络上发送一个播送包，其目的a地址是ff-ff-ff-ff-ff-ff，这表示向本网段内的所有主机发出这样的询问:“192.168.0.2的a地址是?网络上其它主机并不响应这一arp恳求，只有主机b接收到这个帧时，才向主机a做出这样的响

4、应:“192.168.0.2的a地址是bb-bb-bb-bb-bb-bb。这样，主机a就知道了主机b的a地址，它就可以向主机b发送数据了。同时它还更新了自己的arp缓存表，当下次再向主机b发送信息时，就直接从arp缓存表里查找。arp缓存表采用了老化机制，在一段时间内假如表中的某一行没有使用，就会被删除，这样可以大大减少arp缓存表的长度，加快查询速度。1.3arp欺骗的过程从影响网络连接通畅的角度来看，arp欺骗分为二种:一种是对网关(路由器或三层交换机)的欺骗;另一种是对内网p的欺骗。前者是通过伪造本网段内一系列正地址及对应的错误a地址，并按照一定的频率不断发给网关，使真实的地址信息无法通

5、过刷新保存在网关ar卫列表中，结果网关的所有数据只能发送给错误的a地址，造成正常的主机无法收到信息而不能上网。后者的原理是欺骗者伪造网关，让被它欺骗的p刷新其arp缓存列表，从而截获该p发给网关的信息。1.3.1欺骗网关假设要欺骗网关的话，它可以通过不断的发送伪造的应答包，如图2所示:不断向网关g发送伪造的arp应答“192.168.0.1的a地址是dddddddddddd，“192.168.0.2的a地址是eeeeeeeeeeee。当g接收到伪造的arp应答时，都会更新自己本地的arp缓存，这样主机a和b将无法收到来自网关g的信息，从而导致不能上网。1.3.2欺骗局域网中某台主机如图3所示:

6、假设a想和b通信，且a的缓存中没有b的信息，这时候a就发送一个播送包，询问192.168.0.2主机的a地址。假设是欺骗者，于是向a发送一个自己伪造的arp应答:“192.168.0.2的a地址是。当a接收到伪造的arp应答，就会更新本地的arp缓存(a并不知道被伪造了)。于是a以后向b发送的信息就会被所截获。2arp欺骗的防治2.1npptls.dll是inds系统的一个动态库(netrkpaketprvidertlshelper)常被arp病毒利用，所以，制止了npptls.dll将使此类病毒无法正常运行。详细方法是：在平安形式中，翻开indssyste32npptls.dll文件。删除这

7、个文件后，用零字节的文件交换。最后将nnptls.dll保存为只读文件。2.2制作ip绑定a地址的批处理文件编写一个批处理文件arp.bat，内容如下:ehffarp-darp-s网关ip地址网关a地址保存为:xxx.bat。运行批处理文件。即将这个批处理文件拖到开场菜单启动中，批处理文件可以在开机后设置一个静态的a、ip对应表，并不让主机刷新。2.3对于只是感染arp的机器可以通过手动来去除而不用重新安装系统。2.3.1完毕arp病毒进程vktserv.exe，删除系统中存在的以下文件:%inds%syste32ladh.exe。%inds%syste32drivernpf.sys%inds

8、%syste32sitiit.dll2.3.2删除病毒的假驱动程序,翻开注册表效劳项:hkey_lalahine/syste/urrentntrlset/servies/npf,保存退出重新启动电脑。2.4经常更新杀毒软件病毒库，安装并使用arp防火墙软件，如奇虎360arp防火墙。2.5a地址与ip地址的绑定是最简单有效的arp攻击防御方法。这样在查找arp中毒电脑时很方便。利用局域网查看工具lansee可以很方便地搜集同一网段内机器的ip地址、机器名、a地址。需要注意的是先关闭被搜集信息的机器的inds防火墙，才能搜集到所需信息。3完毕语arp病毒的泛滥对数字化图书馆的影响很大，网络总是掉线，导致了读者不能正常使用图书馆资源，工作人员不能顺畅的工作，带来了很多障碍。本文分析了arp欺骗的原理提出理解决arp欺骗的几种方法。解决arp欺骗以及防范有关病毒的更多更好的方法，还有待于我们继续讨论。参考文献:1谢希仁.计算机网络.北京:电子工业出版社,2022.2美duglase.用tp/ip进