1、數(shù)字圖書館網(wǎng)絡(luò)防治ARP病毒的策略摘要：本文介紹了目前在數(shù)字圖書館局域網(wǎng)內(nèi)蔓延泛濫的arp病毒的協(xié)議的工作原理及欺騙過程，結(jié)合實際工作分析了防治arp病毒的思路。關(guān)鍵詞：arp數(shù)字圖書館病毒防治0引言近來，數(shù)字圖書館局域網(wǎng)相繼出現(xiàn)頻繁掉線的現(xiàn)象，訪問internet時斷時續(xù)，影響面積較大。通過檢查，我們發(fā)現(xiàn)故障的發(fā)生與arp欺騙病毒有關(guān)。該病毒導致網(wǎng)內(nèi)其他主機的arp緩存表中默認網(wǎng)關(guān)的a地址錯誤，使其他主機掉線，到達自身主機獨享線路帶寬的目的。本文首先介紹arp協(xié)議和其欺騙的過程，然后對校園網(wǎng)中此類arp欺騙的原理進展分析，最后結(jié)合實際給出了相應(yīng)的解決方法。1arp概述1.1arp協(xié)議簡介在以

2、太網(wǎng)(ethernet)中，一個網(wǎng)絡(luò)設(shè)備要和另一個網(wǎng)絡(luò)設(shè)備進展直接通信，除了知道目的設(shè)備的網(wǎng)絡(luò)層邏輯地址(正地址)外，還要知道目的設(shè)備的物理地址(a地址)。要知道目的a地址，就需要通過地址解析。所謂地址解析就是主機在發(fā)送幀前將目的正地址轉(zhuǎn)換成目的a地址的過程。arp協(xié)議(addressreslutinprtl)的根本功能就是通過目的設(shè)備的ip地址，查詢目的設(shè)備的a地址，以保證通信的順利進展。1.2arp協(xié)議工作原理在每臺安裝有tp/ip協(xié)議的主機里都有一個arp高速緩存表，arp高速緩存是主機維護的一個ip地址到相應(yīng)以太網(wǎng)地址的映射表，表里的ip地址與a地址是對應(yīng)的。如圖1所示:以主機a(ip

3、:192.168.0.1，a:aa-aa-aa-aa-aa-aa向主機b(ip:192.168.0.2，a:bb-bb-bb-bb-bb-bb)發(fā)送數(shù)據(jù)為例。當發(fā)送數(shù)據(jù)時，主機a會在自己的arp緩存表中尋找是否有目的b的正地址。假如找到了，也就知道了b的a地址，于是直接把b的a地址寫入幀里面發(fā)送就可以了;假如在arp緩存表中沒有找到相對應(yīng)的ip地址，主機a就會在網(wǎng)絡(luò)上發(fā)送一個播送包，其目的a地址是ff-ff-ff-ff-ff-ff，這表示向本網(wǎng)段內(nèi)的所有主機發(fā)出這樣的詢問:“192.168.0.2的a地址是?網(wǎng)絡(luò)上其它主機并不響應(yīng)這一arp懇求，只有主機b接收到這個幀時，才向主機a做出這樣的響

4、應(yīng):“192.168.0.2的a地址是bb-bb-bb-bb-bb-bb。這樣，主機a就知道了主機b的a地址，它就可以向主機b發(fā)送數(shù)據(jù)了。同時它還更新了自己的arp緩存表，當下次再向主機b發(fā)送信息時，就直接從arp緩存表里查找。arp緩存表采用了老化機制，在一段時間內(nèi)假如表中的某一行沒有使用，就會被刪除，這樣可以大大減少arp緩存表的長度，加快查詢速度。1.3arp欺騙的過程從影響網(wǎng)絡(luò)連接通暢的角度來看，arp欺騙分為二種:一種是對網(wǎng)關(guān)(路由器或三層交換機)的欺騙;另一種是對內(nèi)網(wǎng)p的欺騙。前者是通過偽造本網(wǎng)段內(nèi)一系列正地址及對應(yīng)的錯誤a地址，并按照一定的頻率不斷發(fā)給網(wǎng)關(guān)，使真實的地址信息無法通

5、過刷新保存在網(wǎng)關(guān)ar衛(wèi)列表中，結(jié)果網(wǎng)關(guān)的所有數(shù)據(jù)只能發(fā)送給錯誤的a地址，造成正常的主機無法收到信息而不能上網(wǎng)。后者的原理是欺騙者偽造網(wǎng)關(guān)，讓被它欺騙的p刷新其arp緩存列表，從而截獲該p發(fā)給網(wǎng)關(guān)的信息。1.3.1欺騙網(wǎng)關(guān)假設(shè)要欺騙網(wǎng)關(guān)的話，它可以通過不斷的發(fā)送偽造的應(yīng)答包，如圖2所示:不斷向網(wǎng)關(guān)g發(fā)送偽造的arp應(yīng)答“192.168.0.1的a地址是dddddddddddd，“192.168.0.2的a地址是eeeeeeeeeeee。當g接收到偽造的arp應(yīng)答時，都會更新自己本地的arp緩存，這樣主機a和b將無法收到來自網(wǎng)關(guān)g的信息，從而導致不能上網(wǎng)。1.3.2欺騙局域網(wǎng)中某臺主機如圖3所示:

6、假設(shè)a想和b通信，且a的緩存中沒有b的信息，這時候a就發(fā)送一個播送包，詢問192.168.0.2主機的a地址。假設(shè)是欺騙者，于是向a發(fā)送一個自己偽造的arp應(yīng)答:“192.168.0.2的a地址是。當a接收到偽造的arp應(yīng)答，就會更新本地的arp緩存(a并不知道被偽造了)。于是a以后向b發(fā)送的信息就會被所截獲。2arp欺騙的防治2.1npptls.dll是inds系統(tǒng)的一個動態(tài)庫(netrkpaketprvidertlshelper)常被arp病毒利用，所以，制止了npptls.dll將使此類病毒無法正常運行。詳細方法是：在平安形式中，翻開indssyste32npptls.dll文件。刪除這

7、個文件后，用零字節(jié)的文件交換。最后將nnptls.dll保存為只讀文件。2.2制作ip綁定a地址的批處理文件編寫一個批處理文件arp.bat，內(nèi)容如下:ehffarp-darp-s網(wǎng)關(guān)ip地址網(wǎng)關(guān)a地址保存為:xxx.bat。運行批處理文件。即將這個批處理文件拖到開場菜單啟動中，批處理文件可以在開機后設(shè)置一個靜態(tài)的a、ip對應(yīng)表，并不讓主機刷新。2.3對于只是感染arp的機器可以通過手動來去除而不用重新安裝系統(tǒng)。2.3.1完畢arp病毒進程vktserv.exe，刪除系統(tǒng)中存在的以下文件:%inds%syste32ladh.exe。%inds%syste32drivernpf.sys%inds

8、%syste32sitiit.dll2.3.2刪除病毒的假驅(qū)動程序,翻開注冊表效勞項:hkey_lalahine/syste/urrentntrlset/servies/npf,保存退出重新啟動電腦。2.4經(jīng)常更新殺毒軟件病毒庫，安裝并使用arp防火墻軟件，如奇虎360arp防火墻。2.5a地址與ip地址的綁定是最簡單有效的arp攻擊防御方法。這樣在查找arp中毒電腦時很方便。利用局域網(wǎng)查看工具lansee可以很方便地搜集同一網(wǎng)段內(nèi)機器的ip地址、機器名、a地址。需要注意的是先關(guān)閉被搜集信息的機器的inds防火墻，才能搜集到所需信息。3完畢語arp病毒的泛濫對數(shù)字化圖書館的影響很大，網(wǎng)絡(luò)總是掉線，導致了讀者不能正常使用圖書館資源，工作人員不能順暢的工作，帶來了很多障礙。本文分析了arp欺騙的原理提出理解決arp欺騙的幾種方法。解決arp欺騙以及防范有關(guān)病毒的更多更好的方法，還有待于我們繼續(xù)討論。參考文獻:1謝希仁.計算機網(wǎng)絡(luò).北京:電子工業(yè)出版社,2022.2美duglase.用tp/ip進