arp协议

近期网络中 ARP 病毒流行，我校校园网内也发现许多电脑中毒，对同一局域网内的其他用户造成了较大的影响。此病毒为木马病毒附带的一种欺骗病毒，这些计算机病毒一般都是利用 ARP 协议的漏洞进行危害活动。 被攻击的电脑现象 被欺骗电脑的典型症状是刚开机能上网，几分钟之后断网，过一会又能上网，或者重启一遍电脑就可以上网，一会又不好了，如此不断重复，造成校园网的不稳定，影响正常使用。重启机器或在 MSDOS 窗口下运行命令 ARP -d 后，又可恢复上网一段时间。 ARP 病毒原理 电脑中毒后会向同网段内所有计算机发 ARP 欺骗包，从而致使同一网段地址内的其它机器误将其作为网关，导致网络内其它电脑因网关物理地址被更改而无法上网，这就是为什么掉线时内网是互通的，计算机却不能上网的原因。 ARP 病毒手动处理方法 步骤一在网关地址栏内输入您的网关 IP 地址。获取网关地址的方法：打开一个 DOS 窗口， 输入命令 ipconfig/all 后回车，得到如图结果： 图中 “Default Gateway” 行显示的就是您的网关地址（ 注：各网段的网关地址是不一样的，切记：请不要照搬 ）。 步骤二 . 如果已经有网关的正确 MAC 地址，手工将网关 IP 和正确 MAC 绑定，可确保计算机不再被攻击影响。手工绑定可在 MS-DOS 窗口下运行以下命令： arp –s 网关 IP 网关 MAC

一;前言 学习过TCP/IP协议的人多有一种感觉，这东西太抽象了，没有什么数据实例，看完不久就忘了。本文将介绍一种直观的学习方法，利用协议分析工具学习TCP/IP，在学习的过程中能直观的看到数据的具体传输过程。 　　为了初学者更容易理解，本文将搭建一个最简单的网络环境，不包含子网。 二、试验环境 1、网络环境 如图1所示 图1 　　为了表述方便，下文中208号机即指地址为192.168.113.208的计算机，1号机指地址为192.168.113.1的计算机。 2、操作系统 两台机器都为Windows 2000 ，1号机机器作为服务器，安装FTP服务 3、协议分析工具 　　Windows环境下常用的工具有：Sniffer Pro、 Natxray 、Iris以及windows 2000自带的网络监视器 等。本文选用Iris作为协议分析工具。 在客户机208号机安装IRIS软件。 三、测试过程 1、测试例子：将1号机计算机中的一个文件通过FTP下载到208号机中。 2、IRIS的设置。 　　由于IRIS具有网络监听的功能，如果网络环境中还有其它的机器将抓很多别的数据包，这样为学习带来诸多不便，为了清楚地看清楚上述例子的传输过程首先将IRIS设置为只抓208号机和1号机之间的数据包。设置过程如下： 　　1)用热键CTRL+B弹出如图所示的地址表，在表中填写机器的IP地址

1.1 TCP SYN拒绝服务攻击 一般情况下，一个TCP连接的建立需要经过三次握手的过程，即： 1、 建立发起者向目标计算机发送一个TCP SYN报文； 2、目标计算机收到这个SYN报文后，在内存中创建TCP连接控制块（TCB），然后向发起者回送一个TCP ACK报文，等待发起者的回应； 3、 发起者收到TCP ACK报文后，再回应一个ACK报文，这样TCP连接就建立起来了。 利用这个过程，一些恶意的攻击者可以进行所谓的TCP SYN拒绝服务攻击： 1、 攻击者向目标计算机发送一个TCP SYN报文； 2、目标计算机收到这个报文后，建立TCP连接控制结构（TCB），并回应一个ACK，等待发起者的回应； 3、而发起者则不向目标计算机回应ACK报文，这样导致目标计算机一致处于等待状态。 可以看出，目标计算机如果接收到大量的TCP SYN报文，而没有收到发起者的第三次ACK回应，会一直等待，处于这样尴尬状态的半连接如果很多，则会把目标计算机的资源（TCB控制结构，TCB，一般情况下是有限的）耗尽，而不能响应正常的TCP连接请求。 1.2 ICMP洪水 正常情况下，为了对网络进行诊断，一些诊断程序，比如PING等，会发出ICMP响应请求报文（ICMP ECHO），接收计算机接收到ICMP ECHO后，会回应一个ICMP ECHO Reply报文。而这个过程是需要CPU处理的

ARP***介绍 ARP简介 ARP（Addre***esolutionProtocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（ IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。 ARP***仅能在以太网（局域网如：机房、内网、公司网络等）进行。 无法对外网（互联网、非本区域内的局域网）进行***。 ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行 ARP***介绍 ARP***就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，***者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存表中的IP-MAC条目，造成网络中断或中间人***。 ARP***主要是存在于局域网网络中，局域网中若有一台计算机感染ARP***，则感染该ARP***的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。 某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则A广播一个ARP请求报文（携带主机A的IP地址Ia—