校园网如何用户防范ARP欺骗木马程序攻击

会计学1校园网如何用户防范ARP欺骗木马程序攻击让我们一起来解决这个问题！第1页/共19页ARP工作原理（举例）主机A的IP地址为192.168.1.1，MAC地址为0A-11-22-33-44-01；主机B的IP地址为192.168.1.2，MAC地址为0A-11-22-33-44-02；第2页/共19页当主机A要与主机B通信时，地址解析协议可以将主机B的IP地址（192.168.1.2）解析成主机B的MAC地址，以下为工作流程：第1步：根据主机A上的路由表内容，IP确定用于访问主机B的转发IP地址是192.168.1.2。然后A主机在自己的本地ARP缓存中检查主机B的匹配MAC地址。第3页/共19页第2步：如果主机A在ARP缓存中没有找到映射，它将询问192.168.1.2的硬件地址，从而将ARP请求帧广播到本地网络上的所有主机。源主机A的IP地址和MAC地址都包括在ARP请求中。本地网络上的每台主机都接收到ARP请求并且检查是否与自己的IP地址匹配。如果主机发现请求的IP地址与自己的IP地址不匹配，它将丢弃ARP请求。第4页/共19页第3步：主机B确定ARP请求中的IP地址与自己的IP地址匹配，则将主机A的IP地址和MAC地址映射添加到本地ARP缓存中。第4步：主机B将包含其MAC地址的ARP回复消息直接发送回主机A。第5步：当主机A收到从主机B发来的ARP回复消息时，会用主机B的IP和MAC地址映射更新ARP缓存。本机缓存是有生存期的，生存期结束后，将再次重复上面的过程。主机B的MAC地址一旦确定，主机A就能向主机B发送IP通信了。第5页/共19页第6页/共19页希望校园网用户采取以下措施第7页/共19页一：提高安全意识校园网用户要增强网络安全意识，不要轻易下载、使用盗版和存在安全隐患的软件；或浏览一些缺乏可信度的网站（网页）；不要随便打开不明来历的电子邮件，尤其是邮件附件；不要随便共享文件和文件夹，即使要共享，也得设置好权限，一般指定特定帐号或特定机器才能访问，另外不建议设置可写或可控制，以免个人计算机受到木马病毒的侵入给校园网的安全带来隐患。第8页/共19页二：计算机杀毒校园网计算机用户要及时下载和更新操作系统的补丁程序，安装正版的杀毒软件，增强个人计算机防御计算机病毒的能力。第9页/共19页三：IP-MAC地址的绑定工作做好IP-MAC地址的绑定工作(即将IP地址与硬件识别地址绑定)，在交换机和客户端都要绑定，这是可以使局域网免疫arp病毒侵扰的好办法。第10页/共19页四：监视全网的ARP广播包部署网络流量检测设备，时刻监视全网的ARP广播包，查看其MAC地址是否正确。第11页/共19页五：用户检查和处理“ARP欺骗”木马的方法

检查本机的“ARP欺骗”木马染毒进程，同时按住键盘上的“CTRL”和“ALT”键再按“DEL”键，选择“任务管理器”，点选“进程”标签。察看其中是否有一个名为“MIR0.dat”之类的进程。如果有，则说明已经中毒。右键点击此进程后选择“结束进程”。在受到ARP欺骗木马程序（病毒）攻击时，用户可选择下列方法的一种处理。第12页/共19页方法一：下载AntiARPSniffer软件保护本地计算机正常运行（点击下载）。同时把此软件设为自动启动,步骤:先把Antiarp.exe生成桌面快捷方式->选"开始"->"程序"->双击"启动"->再把桌面上Antiarp.exe快捷键拷到"启动"中，以保证下次开机自动运行，起到保护的作用。第13页/共19页方法二：在“开始”-“程序”-“附件”菜单下调出“命令提示符”。输入并执行以下命令：ipconfig记录网关IP地址，即“DefaultGateway”对应的值，例如“10.10.10.1”。再输入并执行以下命令：arp–a在“InternetAddress”下找到上步记录的网关IP地址，记录其对应的物理地址，即“PhysicalAddress”值，例如“00-01-e8-1f-35-54”。在网络正常时这就是网关的正确物理地址，在网络受“ARP欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。第14页/共19页也可以扫描本子网内的全部IP地址，然后再查ARP表。如果有一个IP对应的物理地址与网关的相同，那么这个IP地址和物理地址就是中毒计算机的IP地址和网卡物理地址。本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关IP地址和网关物理地址，然后在“命令提示符”窗口中输入并执行以下命令：

arp–s网关IP网关物理地址。第15页/共19页方法三：局域网ARP攻击免疫器(点击下载)。（1）将这里面3个dll文件复制到windowssystem32里面，将npf这个文件复制到windowssystem32drivers里面。（2）将这4个文件在安全属性里改成只读。也就是不允许任何人修改。第16页/共19页六：以下程序