第一篇：ARP攻擊自查協(xié)議書[小編推薦]

ARP攻擊自查協(xié)議書

茲于四號宿管站C19一單元ARP攻擊較為嚴重，為便于較早的制止攻擊且最大程度的減小消極影響，單元成員決定采取自查。

自查條件：

1.QQ管家、360等殺毒軟件，彩影等反ARP軟件截得ARP攻擊每分鐘50次以上。

2.出現(xiàn)客戶端在1小時內(nèi)登錄不上，或客戶端登錄上立刻就自行掉線的情況。

3.學校內(nèi)網(wǎng)無法登陸

除學校硬件設施損壞導致網(wǎng)絡故障，或暫停校園網(wǎng)除外。滿足以上三個條件方可實行。

自查人員：單元內(nèi)每個專業(yè)（或班級）至少派出一名代表參與自查。

單元人員簽字：公證人簽字：

第二篇：中小學局域網(wǎng)應對ARP病毒攻擊的措施

網(wǎng)絡安全工作總結

付正林

隨著社會的發(fā)展，信息技術對教育教學的影響越來越廣，越來越多的學校與教師對網(wǎng)絡依賴也越來越大；而對中小學校園內(nèi)局域要求也是一天比一天高。但現(xiàn)在ARP病毒攻擊成為局域網(wǎng)殺手，造成校園網(wǎng)絡無法正常使用。ARP病毒攻擊，以成各中小學校網(wǎng)絡管理員公認為最頭痛的事。而各中小學網(wǎng)絡管理員如何面對ARP病毒攻擊呢？

ARP與ARP病毒簡介

ARP全稱：Address Resolution Protocol 地址解析協(xié)議。ARP的作用：實現(xiàn)通過IP地址得知其物理地址。在TCP/IP網(wǎng)絡環(huán)境下，每個主機都分配了一個32位的IP地址，這種互聯(lián)網(wǎng)地址是在網(wǎng)際范圍標識主機的一種邏輯地址。為了讓報文在物理網(wǎng)路上傳送，必須知道對方目的主機的物理地址。這樣就存在把IP地址變換成物理地址的地址轉換問題。以以太網(wǎng)環(huán)境為例，為了正確地向目的主機傳送報文，必須把目的主機的32位IP地址轉換成為48位以太網(wǎng)的地址。這就需要在互連層有一組服務將IP地址轉換為相應物理地址，這組協(xié)議就是ARP協(xié)議。（物理地址即網(wǎng)絡中的MAC地址，也就是全世界所有網(wǎng)卡中的唯一標識代碼）

ARP病毒：就是通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網(wǎng)絡中產(chǎn)生大量的ARP通信量使網(wǎng)絡阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，造成網(wǎng)絡中斷或中間人攻擊。ARP病毒攻擊主要是存在于局域網(wǎng)網(wǎng)絡中，局域網(wǎng)中若有一個人感染ARP木馬病毒，則感染該ARP木馬病毒的系統(tǒng)將會試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡內(nèi)其它計算機的通信信息，并因此造成網(wǎng)內(nèi)其它計算機的通信故障。

遭受ARP攻擊后現(xiàn)象：ARP欺騙木馬的中毒現(xiàn)象表現(xiàn)為：使用局域網(wǎng)時會突然掉線，過一段時間后又會恢復正常。用戶頻繁斷網(wǎng)，IE瀏覽器頻繁出錯，以及一些常用軟件出現(xiàn)故障等，不能上網(wǎng)的現(xiàn)象（無法ping通網(wǎng)關），重啟機器或在MS-DOS窗口下運行命令arp-d后，又可恢復上網(wǎng)，嚴重者跟本無法正常連接網(wǎng)絡。

應對中小學校園網(wǎng)內(nèi)ARP病毒攻擊的思考

現(xiàn)在各中小學普遍存在ARP病毒攻擊的原因有如下幾個方面：第一網(wǎng)絡安全設備配置不齊全，使校園內(nèi)網(wǎng)絡結構比較簡單；第二中小學的網(wǎng)絡管理員絕大部分是電腦教師兼職，專業(yè)水平與發(fā)展方向出現(xiàn)偏差；第三使用者——教師使用電腦與網(wǎng)絡的不正確或者說不規(guī)范，比如在不在安全的網(wǎng)站下載文件、使用U盤或者移動硬盤傳輸文件與在網(wǎng)上瀏覽不正規(guī)的網(wǎng)站等；第四忽視對應該服務系統(tǒng)的有效管理與建設，這與學校經(jīng)費或者上經(jīng)領導重視或管理者水平有關。第五網(wǎng)絡技術與病毒更新太快，管理員的學習跟不上發(fā)展速度，加強網(wǎng)絡管理員的相關業(yè)務學習很重要。

現(xiàn)在流行的維護方法：靜態(tài)綁定、Antiarp和具有ARP防護功能的路由器。但這只是針對網(wǎng)絡與使用設置的一種應對措施，相對中小學小而全的校園網(wǎng)而言，還遠遠不夠。我們應全面考慮各種因素，多管齊下來應對ARP病毒攻擊問題。第一：從病毒來原入手，第二從病毒攻擊方式考慮，第三對使用者——教師的電腦與網(wǎng)絡使用的相關培訓，第四網(wǎng)絡管理者專業(yè)水平的提高，第五學校的重視。

應對ARP病毒攻擊的具體措施

從全局角度來思考：教育信息化實現(xiàn)的基礎是網(wǎng)絡正常運行，各種信息化的教育教學活動沒有網(wǎng)絡的正常運行再好的東西也無法使用。如無紙化辦公（OA系統(tǒng)）、教學資源庫、家校通、廣港校際在線交流（視像中國）、遠程集體備課、學生電子書包、電子課堂等。各種現(xiàn)代化信息教育教學都運行在良好的網(wǎng)絡環(huán)境之上，網(wǎng)絡與現(xiàn)代信息化教育教學活動的基礎。所以學校必需重視才行，不然何談教育信息化。學校的重視也有利于網(wǎng)絡管理員的工作，如加大網(wǎng)絡基礎的投入、與部門的工作配合、參加各種有利于業(yè)務水平提高的培訓與交流活動等。爭取學校的重視，是網(wǎng)絡工作是有力保證。爭取學校的重視，首先要把自己的本職工作做好，做好了本職工作是領導重視的前提。其次是做好網(wǎng)絡工作計劃，一個合理的計劃能更有利于我們開展工作，也能更好地獲得所有管理者與參與者支持。然后整理好工作中遇到的問題和教師的使用意見，是向?qū)W校提供決策的重要參考意見。

從網(wǎng)絡技術角度來解決：技術方面首先是病毒來源著手，ARP病毒一般都與木馬病毒共存，病毒來源有三個方面，第一是因特網(wǎng)，第二是U盤或移動硬盤等移動式存儲器，第三是網(wǎng)內(nèi)原有電腦上本身就存有。應對因特網(wǎng)上的木馬或者病毒，我們一定要加裝防火墻，做好相關策略。設置防火墻的技術策略這里不詳講，因為各種不同的防火墻有不能的命令與解決方法。應該對內(nèi)部病毒，我們應該先組織一次全面的清理活動，在最大可能減少內(nèi)部病毒的出現(xiàn)，然后加裝相關的殺毒軟件與單機防火墻。應該移動存儲器內(nèi)的病毒主要是加強使用者的防范意識，經(jīng)常查殺自己移動存儲器，每天使用時都必須檢查病毒后再使用。

然后從ARP病毒攻擊原理來處理，第一靜態(tài)綁定：最常用的方法就是做IP和MAC靜態(tài)綁定，在網(wǎng)內(nèi)把主機和網(wǎng)關都做IP和MAC綁定，使ARP無法欺騙。第二內(nèi)網(wǎng)分段，根據(jù)各區(qū)域與功能相關不同使用者，劃分不同的VLin。這樣就算網(wǎng)內(nèi)有機器感染了ARP病毒，也不會迅速傳播到整個局域網(wǎng)，讓管理員有足夠的時間與空間來處理。第三，有條件的學?？梢宰龅浇K端交換機端口劃分與綁定，在這不多言。第四，核心交換機上，利用交換機的統(tǒng)計功能，對某一MAC地址一定時間內(nèi)對網(wǎng)關請求數(shù)過大（如每分鐘大于90次），即斷開這臺電腦的網(wǎng)絡。這是因為現(xiàn)在絕大部分中小學網(wǎng)絡管理員都是兼職，不可能經(jīng)常在監(jiān)視網(wǎng)絡運行情況；這樣在網(wǎng)絡管理員不在的情況下，可以在一定程度上保證網(wǎng)絡正常運行。第五，每天定時認真查看路由器、防火墻、上網(wǎng)行為管理設備、核心交換機等關鍵網(wǎng)絡設置記錄，了解網(wǎng)絡運行情況。第六，使用Sniffer等網(wǎng)絡工具定時掃描網(wǎng)絡內(nèi)部情況，并認真分析異常情況，提前發(fā)現(xiàn)問題并解決問題。

最后從應用角度來防范，第一，使用并有效管理好公共服務器系統(tǒng)，特別是文件服務器、資源庫服務器、BBS服務器等流量比較大，利用率比較高的服務器。這些公共服務系統(tǒng)可以減少老師對移動存儲器的使用，更能相對較少地減少老師在使用外網(wǎng)時中毒的機率。這些重要服務器應該劃分單獨的VLin,并做好相關的安全策略，能安全服務器殺毒軟件是最好的。專業(yè)的網(wǎng)絡管理員提出的服務器不應該裝殺毒，也是有道理的，但現(xiàn)在中小學里的網(wǎng)絡管理員并不是非常專業(yè)的網(wǎng)絡技術管理員，也不能時刻監(jiān)視網(wǎng)絡情況與服務器系統(tǒng)情況，我們都是業(yè)余級的。第二，當發(fā)現(xiàn)網(wǎng)內(nèi)有機器感染了ARP病毒，最簡單的方法是：先斷該機器的網(wǎng)絡連接，最好是物理中斷；然后保存好該機器內(nèi)重要數(shù)據(jù)，然后在干凈的網(wǎng)絡環(huán)境下清理所有數(shù)據(jù)，并重裝系統(tǒng)等相關工作；同時對機器使用者進行解釋說明與相關宣傳工作。在干凈的網(wǎng)絡環(huán)境這點很重要，可以避免機器二次感染。

從自身角度來提高：時代是發(fā)展的。網(wǎng)絡信息技術的發(fā)展更是以超出人們想象的速度在發(fā)展。培訓與學習更是應對各種網(wǎng)絡問題的重中之重。技術培訓分二部分，第一是網(wǎng)絡管理員的業(yè)務水平技術培訓與學習。第二是網(wǎng)絡使用者的電腦與網(wǎng)絡應用技巧的校本培訓。對于學校來說，應該創(chuàng)造條件，讓網(wǎng)絡管理員不斷參加各種網(wǎng)絡技術相關的培訓學習班或者研討會；網(wǎng)絡管理員也要通過各種途徑來學習各種新技術，了解技術的展情況。比如網(wǎng)上的技術論壇上參與討論與學習：中國網(wǎng)管論壇（http://bbs.bitscn.com/）、網(wǎng)絡管理員（http://bbs.krshadow.com/forum-20-1.html）、51TCO技術論壇（http://bbs.51cto.com/forum-143-1.html）等。網(wǎng)絡管理員也應該經(jīng)常在學校內(nèi)部進行電腦與網(wǎng)絡應用的相關校本培訓，提高使用者的應該水平與防病毒能力；同時經(jīng)常與不同應用能力的使用者之間進行小范圍的研討工作，深入一線使用者中，去了解各種使用者的應用情況。把學校校園網(wǎng)比做一個人的話，提高網(wǎng)絡管理者與應用都自身水平，就是像是提高人的身體素質(zhì)一樣，是應對病毒攻擊最好的辦法。

應對ARP病毒攻擊，從學校指導思想層、校園網(wǎng)絡管理層、網(wǎng)絡應用層來發(fā)展問題并解決問題，才是應對ARP病毒攻擊基本。做好這三者之間的工作，應對ARP病毒攻擊就能輕松自如。

2012-1-7

第三篇：校園網(wǎng)ARP欺騙攻擊分析及解決辦法(0)

校園網(wǎng)ARP欺騙攻擊分析及解決辦法

張志剛

（作者單位：浙江省開化縣實驗小學 郵編：324300）

摘要：ARP攻擊是當前校園網(wǎng)遇到的一個非常典型的安全威脅，受到ARP攻擊后輕者校園網(wǎng)會出現(xiàn)大面積掉線，重者會竊取用戶密碼。目前，網(wǎng)上有關ARP資料較多，但作者發(fā)現(xiàn)：網(wǎng)上資料雖多但大多邏輯性和指導性均不強，甚至有一些還自相矛盾，不能自圓其說。該文來自于一線網(wǎng)管員的工作實踐，具有較強的針對性和操作性。

關鍵詞：校園網(wǎng)、ARP、原理、方法 正文：

ARP攻擊是當前校園網(wǎng)遇到的一個非常典型的安全威脅，受到ARP攻擊后校園網(wǎng)內(nèi)各終端電腦會出現(xiàn)大面積掉線、ARP包爆增、拷貝文件無法完成，出現(xiàn)錯誤、無法ping通網(wǎng)關，但重啟機器后又可恢復上網(wǎng)等情況。欺騙木馬發(fā)作時還會竊取用戶密碼，如盜取QQ密碼、盜取各種網(wǎng)絡游戲密碼和賬號，盜竊網(wǎng)上銀行賬號來做非法交易活動等。在08年的暑期,我縣的教育城域網(wǎng)就爆發(fā)了一次較大的ARP攻擊事件，前后持續(xù)時間近一個月，給全縣教育系統(tǒng)的暑期辦公培訓及新學期的準備工作帶來了較大的影響，攻擊源來自于鄉(xiāng)下某學校的一臺老師忘記關機并感染了ARP病毒的的辦公電腦。

作為一名學校的網(wǎng)管員，在與多起ARP欺騙攻擊的的斗爭過程中，對ARP病毒相關基礎知識、危害認識也越來越深刻，對如何在校園網(wǎng)內(nèi)及時發(fā)現(xiàn)、有效防范查殺攻擊源的具體處理上也有了一定的心得，現(xiàn)作一整理，供兄弟學校的各網(wǎng)管員們參考借鑒。

1.要了解APR病毒需先掌握的幾個概念 1.1：IP地址

IP地址是出現(xiàn)頻率非常高的詞。它類似于電話通迅中的電話號碼，在我們的校園網(wǎng)中，為了區(qū)別每一臺不同的計算機，我們需要給每一臺計算機都配臵一個號碼，這個號碼我們就將它叫做IP地址，有了這個IP地址我們在利用網(wǎng)絡進行上網(wǎng)、傳遞文件，進行局域網(wǎng)聊天時才不會將發(fā)送給A計算機的信息錯發(fā)到其

它的計算機上。一般情況下，在校園網(wǎng)內(nèi)一臺計算機只分配一個IP地址，IP地址采用十進制數(shù)字表示,如192.168.0.25。1.2、MAC地址：

在現(xiàn)實生活中，我們每個人由于工作等原因會經(jīng)常的搬家，每臺計算機的IP地址在使用中就會發(fā)生變化。IP地址發(fā)生變化了，為什么不會影響我們在網(wǎng)上收發(fā)信息呢？這主要是因為我們計算機的網(wǎng)卡MAC地址是不發(fā)生變化的。MAC地址也叫物理地址，它類似于我們每個人的身份證，是全球唯一的，只要MAC地址這個計算機的身份證存在，我們在全球龐大的計算機網(wǎng)絡中就總能找到自已的這臺計算機。MAC地址的長度為48位（6個字節(jié)），通常表示為12個16進制數(shù)，每2個16進制數(shù)之間用冒號隔開，如：00:0F:E2:70:70:BC。XP系統(tǒng)環(huán)境下本機的IP與MAC地址信息我們可以執(zhí)行IPCONFIG –ALL命令進行查詢。1.3、ARP（Address Resolution Protocol：地址解析協(xié)議）

不管是在校園局域網(wǎng)中還是在廣域網(wǎng)中，數(shù)據(jù)信息要從某種形式的鏈路上的初始節(jié)點出發(fā)，從一個節(jié)點傳遞到另一個節(jié)點，最終傳送到目的節(jié)點。如果僅僅依靠IP地址去傳遞信息是要發(fā)生錯誤的，因為IP地址是要發(fā)生變化的，在某些時候我們就需要將IP地址與MAC地址進行捆定，保證網(wǎng)絡中信息傳遞的準確性，完成這個功能的就是ARP地址解析協(xié)議。網(wǎng)絡中的每臺電腦，它都會收集網(wǎng)絡上的各臺計算機的IP地址與MAC地址信息，將它儲存在一個叫“ARP緩存表”的地方，當機器A要向主機B發(fā)送報文，會查詢本地的ARP緩存表，找到B的IP地址對應的MAC地址后就會進行數(shù)據(jù)傳輸。如果未找到，則廣播A一個ARP請求報文（攜帶主機A的IP地址Ia——物理地址Pa），請求IP地址為Ib的主機B回答物理地址Pb。網(wǎng)上所有主機包括B都收到ARP請求，但只有主機B識別自己的IP地址，于是向A主機發(fā)回一個ARP響應報文。其中就包含有B的MAC地址，A接收到B的應答后，就會更新本地的ARP緩存。接著使用這個MAC地址發(fā)送數(shù)據(jù)。

2.ARP欺騙的原理分析

為便于闡述，在這我們假設有一個有三臺計算機甲、乙、丙組成的局域網(wǎng)，其中甲感染了ARP木馬病毒。正常情況下，甲的地址為：IP：192.168.1.1 MAC: AA-AA-AA-AA-AA-AA，乙的地址為：IP：192.168.1.2 MAC: BB-BB-BB-BB-BB-BB，丙的地址為：IP：192.168.1.3 MAC: CC-CC-CC-CC-CC-CC。當計算機甲上運行了

ARP欺騙程序，向乙或丙發(fā)送了ARP欺騙包后，基于乙、丙對甲的完全信任關系，乙或丙計算機會自動更新本地的ARP緩存，將錯誤的IP與MAC地址信息替代了正確的信息對應表，這樣當然也就不能保證乙、丙兩臺計算機能順暢地對外通訊了。在校園網(wǎng)中，問題會隨著ARP欺騙包針對網(wǎng)關而變本加厲，當局域網(wǎng)中一臺機器，反復向其他機器，特別是向網(wǎng)關，發(fā)送這樣無效假冒的ARP應答信息包時，嚴重的網(wǎng)絡堵塞就會開始。由于網(wǎng)關MAC地址錯誤，所以從網(wǎng)絡中計算機發(fā)來的數(shù)據(jù)無法正常發(fā)到網(wǎng)關，自然無法正常上網(wǎng)。這就造成了無法訪問外網(wǎng)的問題，另外由于很多時候網(wǎng)關還控制著我們的局域網(wǎng)LAN上網(wǎng)，所以這時我們的LAN訪問也就出現(xiàn)問題了

3.校園網(wǎng)ARP病毒的預防措施及感染后的分析及處理 3.1、校園網(wǎng)ARP病毒的五條預防措施：

措施

1、及時升級客戶端的操作系統(tǒng)和應用程序補丁。措施

2、安裝和更新殺毒軟件及ARP專用防火墻。

措施

3、如果網(wǎng)絡規(guī)模較小，盡量使用手動指定IP設臵，而不是使用DHCP來分配IP地址。

措施

4、如果交換機或路由器支持，在交換機或路由器上綁定MAC地址與IP地址。

措施

5、在校園網(wǎng)正常運行時，備份一份網(wǎng)關與知終端的IP地址與MAC地址正常對應表，最好包含計算機名信息?，F(xiàn)今學校一般都通過路由器上網(wǎng)，兩地址信息均可在路由器的WEB設臵頁面中找到，也可以使用網(wǎng)上常見的一些專業(yè)MAC地址掃描工具得到正確的地址信息。3.2、ARP病毒感染后的分析及處理

校園網(wǎng)如果還是不幸中招，出現(xiàn)本文第一段所說的那些癥狀時，我們首先應該判斷是否為ARP病毒的原因，點擊“開始”按鈕->選擇“運行”->輸入“arp–d”->點擊“確定”按鈕，然后重新嘗試上網(wǎng)，如果能恢復正常，則說明此次掉線可能是受ARP欺騙所致。arp-d命令用于清除并重建本機arp表。arp–d命令并不能抵御ARP欺騙，執(zhí)行后仍有可能再次遭受ARP攻擊。如果計算機安裝有ARP防火墻的話，也會在屏幕的右下角跳出報警信息，當確診為ARP病毒是時，我們可以采取以下方法進行校園網(wǎng)的修復處理。

第一步：首先保證網(wǎng)絡正常運行。在桌面上新建一個名為ARP文本文件，用

記事本寫下：

@echo off arp-d

arp-s 網(wǎng)關IP MAC地址

保存后將記事本后綴名改名BAT（批處理文件）。將這個批處理文件發(fā)送給各計算機端，當遭受ARP攻擊時，將它執(zhí)行一遍，重新綁定網(wǎng)關的IP-MAC地址信息后就OK了。

第二步：找到感染ARP病毒的機器。

第一種判斷方法:如果在你的周圍有多臺電腦均不能正常上網(wǎng)，出現(xiàn)時常掉線的情況，而你的電腦卻安然無恙，數(shù)據(jù)通信正常，請不要沾沾自喜，這說明你的機器已經(jīng)中了arp病毒，需要及時斷網(wǎng)殺毒。

第二種判斷方法:使用arp-a命令任意選兩臺不能上網(wǎng)的主機，在DOS命令窗口下運行arp-a命令。如圖1，兩臺電腦除了網(wǎng)關的IP，MAC地址對應項，都包含了192.168.0.54的這個IP，則可以斷定192.168.0.54這臺主機就是病毒源。一般情況下，網(wǎng)內(nèi)的主機只和網(wǎng)關通信。正常情況下，一臺主機的ARP緩存中應該只有網(wǎng)關的MAC地址。如果有其他主機的MAC地址，說明本地主機和這臺主機最后有過數(shù)據(jù)通信發(fā)生。如果某臺主機（例如上面的192.168.0.54）既不是網(wǎng)關也不是服務器，但和網(wǎng)內(nèi)的其他主機都有通信活動，且此時又是ARP病毒發(fā)作時期，那么，病毒源也就是它了。

第三種判斷方法:在故障機上使用ARP －a的命令看得到的網(wǎng)關對應的MAC地址是否與網(wǎng)關真實地址相符，如不符，可去查找與該MAC地址對應的電腦。

第四種判斷方法:使用ARP防火墻(例如360ARP防火墻)軟件，360ARP防火墻攔截到外部ARP攻擊后，可通過攔截界面“追蹤攻擊源IP”來精準定位局域網(wǎng)內(nèi)攻擊源，方便網(wǎng)管及時查詢局域網(wǎng)內(nèi)攻擊源，及時解決問題。

第三步：在學校路由器的WEB頁面上網(wǎng)過濾功能設臵中暫時停止病毒源主機的上網(wǎng)行為?？紤]到校園網(wǎng)的各終端主機來源比較復雜，有一些來自于老師的筆記本電腦，有時根據(jù)MAC地址很難確定是某位老師的電腦，我們可以利用路由器 的MAC地址過濾功能暫停該機的上網(wǎng)功能，待確定計算機主人后再通知其使用ARP專殺工具查殺病毒。這樣就保證了校園網(wǎng)的健康運行。目前的路由器一般都有“上網(wǎng)黑白名單”的功能設臵，操作也較簡單。

以上的分析查殺過程，在配備簡陋的學校校園網(wǎng)內(nèi)均可實現(xiàn)，基本上可以將ARP病毒的危害降至最低。目前市場上很多的路由器廠商專門推出一些具有ARP病毒防護功能的路由器，它可以在路由器端綁定IP與MAC地址正確信息并按一定頻率向網(wǎng)絡廣播，該種路由器再配合客戶端的雙向綁定，在ARP的防治上效果非常不錯，能還你一個波瀾不驚、風平浪靜的校園網(wǎng)環(huán)境，值得一試！但有些ARP防火墻會將路由器的廣播視作是ARP攻擊。配備一個功能強大的路由器不僅對ARP的防治有較好的效果，網(wǎng)管員們?nèi)缱屑毞治隼煤寐酚善鞯南到y(tǒng)運行信息，對其它網(wǎng)絡病毒的防治診斷也有很好的幫助作用。

臺上一分鐘，臺下十年功，校園網(wǎng)網(wǎng)管員平時的工作默默無聞，網(wǎng)絡病毒將我們推上了表演的前臺，我們網(wǎng)管員們要想立于不敗之地，實現(xiàn)自身價值，一個重要的前提就是平時要做好校園網(wǎng)基本信息知識的積累整理工作，練好內(nèi)功，加強軟實力，這樣才能在校園網(wǎng)的一些突發(fā)事件面前，做到從容不迫、大將風度。

第四篇：ARP解決方案

ARP攻擊原理：調(diào)用系統(tǒng)里的npptools.dll文件。

網(wǎng)絡執(zhí)法官、彩影arp防火墻等ARP攻防軟件也用這個，如果你把這個DLL文件刪除了，之后隨便弄個DLL改名為npptools.dll即可。

如果C盤是NTFS分區(qū)格式就把權限都去掉，如果是FAT格式弄個只讀就可以了。防攻擊文件：C:WINDOWSsystem32 npptools.dll

處理方法：新建一個空文本文檔，改名為npptools.dll然后把它復制到system32文件夾里，覆蓋原有的npptools.dll，如果沒關閉文件保護，先關閉。再把system32dllcache里的npptools.dll也覆蓋了，然后把它們的屬性改為只讀、隱藏，最后再把它們的everyone權限都去掉，即可！

npptools.dll文件的屬性改為只讀、隱藏后，再把它們的everyone的權限去掉，病毒就不能替換也不能使用它了，arp就不會起作用，從而達到防范ARP的目的。

第五篇：計算機網(wǎng)絡應用ARP協(xié)議

計算機網(wǎng)絡應用ARP協(xié)議

地址解析協(xié)議（Address Resolution Protocol，ARP）是一種能夠?qū)崿F(xiàn)IP地址到物理地址轉化的協(xié)議。在計算機網(wǎng)絡中，通過物理地址來識別網(wǎng)絡上的各個主機，IP地址只是以符號地址的形式對目的主機進行編址。通過ARP協(xié)議將網(wǎng)絡傳輸?shù)臄?shù)據(jù)報目的IP地址進行解析，將其轉化為目的主機的物理地址，數(shù)據(jù)報才能夠被目的主機正確接收。

實現(xiàn)IP地址到物理地址的映射在網(wǎng)絡數(shù)據(jù)傳輸中是非常重要的，任何一次從互聯(lián)網(wǎng)層及互聯(lián)網(wǎng)層以上層發(fā)起的數(shù)據(jù)傳輸都使用IP地址，一旦使用IP地址，必須涉及IP地址到物理地址的映射，否則網(wǎng)絡將不能識別地址信息，無法進行數(shù)據(jù)傳輸。

IP地址到物理地址的映射包括表格方式和非表格方式兩種。其中，表格方式是事先在各主機中建立一張IP地址、物理地址映射表。這種方式很簡單，但是映射表需要人工建立及人工維護，由于人工建立維護比較麻煩，并且速度較慢，因此該方式不適應大規(guī)模和長距離網(wǎng)絡或映射關系變化頻繁的網(wǎng)絡。而非表格方式采用全自動技術，地址映射完全由設備自動完成。根據(jù)物理地址類型的不同，非表格方式有分為直接映射和動態(tài)聯(lián)編兩種方式。

1．直接映射

物理地址分為固定物理地址和可自由配置的物理地址兩類，對于可自由配置的物理地址，經(jīng)過配置后，可以將其編入IP地址碼中，這樣物理地址的解析就變的非常簡單，即將它從IP地址的主機號部分取出來便是，這種方式就是直接映射。直接映射方式比較簡單，但適用范圍有限，當IP地址中主機號部分不能容納物理地址時，這種方式將失去作用。另外，以太網(wǎng)的物理地址都是固定的，一旦網(wǎng)絡接口更改，物理地址也隨之改變，采用直接映射將會出現(xiàn)問題。

2．動態(tài)聯(lián)編

由于以太網(wǎng)具有廣播能力和物理地址是固定的特點，通常使用動態(tài)聯(lián)編方式來進行IP地址到物理地址的解析。動態(tài)聯(lián)編ARP方式的原理是，在廣播型網(wǎng)絡中，一臺計算機A欲解析另一臺計算機B的IP地址，計算機A首先廣播一個ARP請求報文，請求計算機B回答其物理地址。網(wǎng)絡上所有主機都將接收到該ARP請求，但只有計算機B識別出自己的IP地址，并做出應答，向計算機A發(fā)回一個ARP響應，回答自己的物理地址。

為提高地址解析效率，ARP使用了高速緩存技術，即在每臺使用ARP的主機中，都保留一個專用的高速緩存，存放最近獲得的IP地址-物理地址聯(lián)編信息。當收到ARP應答報文時，主機就將信宿機的IP地址和物理地址存入緩存。在發(fā)送報文時，首先在緩存中查找相應的地址聯(lián)編信息，若不存在相應的地址聯(lián)編信息，再利用ARP進行地址解析。這樣不必每發(fā)一個報文都進行動態(tài)聯(lián)編，提高地址解析效率，從而使網(wǎng)絡性能得到提高。

另外，還有一種在無盤工作站中常用的反向地址解析協(xié)議（RARP），它可以實現(xiàn)物理地址到IP地址的轉換。在無盤工作站啟動時，首先以廣播方式發(fā)出RARP請求，網(wǎng)絡上的RARP服務器會根據(jù)RARP請求中的物理地址為該工作站分配一個IP地址，生成一個RARP響應報文發(fā)送回去。然后，無盤工作站接收到RARP響應報文，便獲得自己的IP地址，就能夠和服務器進行通信。