求arp病毒分析与防御毕业论文

首先说明，以下内容是我一个字一个字打出来的，不是在网上复制的，纯属原创： 这个问题我觉得你应该仔细分析一下，从你的描述看来，我得出以下假设： 1、你路由器的MAC地址表有部分客户机的静态绑定； 2、你每台客户机都作了“arp -s 网关ip 网关mac”的静态绑定； 3、某台机器掉线时它的arp表里的网关的IP-MAC是正确的，而路由器里对应该客户机IP的MAC地址不正确。 基于以上三点假设，为什么有的客户机还是会掉线呢？如果你理解了ARP协议，这就很好解释了。比如你某台客户机中了ARP欺病毒，那么该机会每隔一段时间对该网段内所有IP进行一次扫描，比如你的IP是，那么中病毒的电脑会对这254个IP地址分别发送一个ARP Response消息（也可能是多个指向广播地址的ARP Response消息），这个消息可以更新所有这254台电脑的ARP表，更改的结果是所有电脑的ARP表内IP是网关的IP，而MAC地址却是中病毒的电脑的MAC地址。这个病毒之所以设计成这样是因为这样可使这个网段内所有的流量通过中病毒的那台主机，然后再通过路由器，专业术语叫做“man in the middle”，也就是中间人攻击，此举可以盗取该网段所有密码信息（因为所有流量都通过了中病毒主机，所以它可以任意监听感兴趣的信息并加以记录）。 现在再说你的情况，你的每台客户机都作了静态绑定，所以它们不受这个ARP Response消息的影响。（前提是你的客户机都是WinXP及以上的操作系统，WinXP以下的系统不能创建永久的静态绑定，也就是说就算你绑定了，隔一段时间后绑定信息会超时）。但是据你所说你在路由器上只绑定了部分客户机的IP-MAC，那么问题就出来了。比如说你在路由器上绑定了的客户机的IP和MAC，那么在路由器接收到刚才所说的ARP Response消息时，会把之内的所有IP所对应的MAC绑定为中病毒电脑的MAC。这时，这54个IP地址所对应的客户机可以正常的找到路由器，但是路由器却不能正确地找到该客户机，也就是说通信只能从客户机到路由器，不能从路由器到客户机。所以你的部分客户机无法上网。 解决办法是： 1、所有客户机静态绑定网关，网关路由器绑定所有客户机的IP-MAC。 2、在局域网内的某台电脑上安装Sniffer_Pro或者OmniPeek等协议分析软件（也就是俗称的抓包软件），然后在连接这台电脑的交换机端口上配置port mirror，如果是傻瓜交换机，那么你就在这个端口上接一个集线器（一定要是集线器，物理层设备），然后把装OmniPeek的电脑接到这个集线器上，然后抓包分析。当你看到某台机器没有发出ARP Request却收到了ARP Response，那么发送ARP Response的主机的MAC地址就是种病毒的电脑的MAC地址。有了MAC地址就可以找到种病毒的电脑了。

倒~~题目好大。arp技术百度一下有很多的~比如DAI，TAC等等，或者你给个细分的题目，看看大家能不能帮你回答一下

针对你 de 问题急需毕业论文一篇:局域网**故障的分析与解决方面！！计算...，提供 1 份 de 适用于初学者 de 代码对你来说是有必要 de ,请与我们联系进 1 步需求,给我留 1 个你 de 问题和Email,有机会可以帮你，绝对救急,请用BaiduHi为我留言,此回复针对所有来访者和需求者有效,ES:\\EE236DDF4C4F7F71E568BE1997F890B5

近来，数字图书馆局域网相继出现频繁掉线的现象，访问Internet时断时续，影响面积较大。通过检查，我们发现故障的发生与ARP欺病毒有关。该病毒导致网内其他主机的ARP缓存表中默认网关的MAC地址错误，使其他主机掉线，达到自身主机独享线路带宽的目的。本文首先介绍ARP协议和其欺的过程，然后对校园网中此类ARP欺的原理进行分析，最后结合实际给出了相应的解决办法。 1 ARP概述 ARP协议简介 在以太网(Ethernet)中，一个网络设备要和另一个网络设备进行直接通信，除了知道目标设备的网络层逻辑地址(正地址)外，还要知道目标设备的物理地址(MAC地址)。要知道目的MAC地址，就需要通过地址解析。所谓地址解析就是主机在发送帧前将目的正地址转换成目的MAC地址的过程。ARP协议(Address Resolution Protocol)的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 ARP协议工作原理 在每台安装有TCP/IP协议的主机里都有一个ARP高速缓存表，ARP高速缓存是主机维护的一个IP地址到相应以太网地址的映射表，表里的IP地址与MAC地址是——对应的。 如图1所示:以主机A(IP:，MAC:AA-AA-AA-AA -AA-AA）向主机B(IP:，MAC:BB-BB-BB-BB-BB- BB)发送数据为例。 当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标B的正地址。如果找到了，也就知道了B的MAC地址，于是直接把B的MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播包，其目标MAC地址是FF-FF-FF-FF-FF-FF，这表示向本网段内的所有主机发出这样的询问:“的MAC地址是?”网络上其它主机并不响应这一ARP请求，只有主机B接收到这个帧时，才向主机A做出这样的响应:“的MAC地址是BB-BB-BB-BB-BB-BB”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送数据了。同时它还更新了自己的ARP缓存表，当下次再向主机B发送信息时，就直接从ARP缓存表里查找。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。 ARP欺的过程 从影响网络连接通畅的角度来看，ARP欺分为二种:一种是对网关(路由器或三层交换机)的欺;另一种是对内网PC的欺。前者是通过伪造本网段内一系列正地址及对应的错误MAC地址，并按照一定的频率不断发给网关，使真实的地址信息无法通过刷新保存在网关AR卫列表中，结果网关的所有数据只能发送给错误的MAC地址，造成正常的主机无法收到信息而不能上网。后者的原理是欺者伪造网关，让被它欺的PC刷新其ARP缓存列表，从而截获该PC发给网关的信息。 欺网关 假如C要欺网关的话，它可以通过不断的发送伪造的应答包，如图2所示: C不断向网关G发送伪造的ARP应答“的MAC地址是DDDDDDDDDDDD”，“的MAC地址是EEEEEEEEEEEE”。当G接收到C伪造的ARP应答时，都会更新自己本地的ARP缓存，这样主机A和B将无法收到来自网关G的信息，从而导致不能上网。 欺域网中某台主机 如图3所示:假如A想和B通信，且A的缓存中没有B的信息，这时候A就发送一个广播包，询问主机的MAC地址。 假设C是欺者，于是C向A发送一个自己伪造的ARP应答:“的MAC地址是CCCCCCCCCCCC”。当A接收到C伪造的ARP应答，就会更新本地的ARP缓存(A并不知道被伪造了)。于是A以后向B发送的信息就会被C所截获。 2 ARP欺的防治 是windows系统的一个动态库(network packet provider tools helper)常被ARP病毒利用，所以，禁止了将使此类病毒无法正常运行。具体方法是：在安全模式中，打开WINDOWS\SYSTEM32\文件。删除这个文件后，用零字节的文件替换。最后将保存为只读文件。 制作IP绑定MAC地址的批处理文件 编写一个批处理文件，内容如下: @echo off arp-d arp-s网关IP地址 网关MAC地址 保存为:。运行批处理文件。即将这个批处理文件拖到开始菜单启动中，批处理文件可以在开机后设置一个静态的MAC、IP 对应表，并不让主机刷新。 对于只是感染ARP的机器可以通过手动来清除而不用重新安装系统。 结束ARP病毒进程，删除系统中存在的下列文件:%windows%\system32\。 %windows%\system32\driver\ %windows%\system32\ 删除病毒的假驱动程序,打开注册表服务项:HKEY_LOCALMACHINE/SYSTEM/CurrentControlSet/Services/Npf,保存退出重新启动电脑。 经常更新杀毒软件（病毒库），安装并使用ARP防火墙软件，如奇虎360ARP防火墙。 MAC地址与IP地址的绑定是最简单有效的ARP攻击防御方法。这样在查找ARP中毒电脑时很方便。利用局域网查看工具（Lan See）可以很方便地收集同一网段内机器的IP地址、机器名、MAC地址。需要注意的是先关闭被收集信息的机器的Windows防火墙，才能收集到所需信息。 3 结束语 ARP病毒的泛滥对数字化图书馆的影响很大，网络总是掉线，导致了读者不能正常使用图书馆资源，工作人员不能顺畅的工作，带来了很多障碍。本文分析了ARP欺的原理提出了解决ARP欺的几种方法。解决ARP欺以及防范有关病毒的更多更好的方法，还有待于我们继续探讨。