第一篇：arp病毒欺騙查找與預(yù)防方法

arp病毒欺騙查找與預(yù)防方法

ARP地址欺騙類病毒（以下簡(jiǎn)稱ARP病毒）是一類特殊的病毒，該病毒一般屬于木馬(Trojan)病毒，不具備主動(dòng)傳播的特性，不會(huì)自我復(fù)制。但是由于其發(fā)作的時(shí)候會(huì)向全網(wǎng)發(fā)送偽造的ARP數(shù)據(jù)包，干擾全網(wǎng)的運(yùn)行，因此它的危害比一些蠕蟲還要嚴(yán)重得多。

二、ARP病毒發(fā)作時(shí)的現(xiàn)象

網(wǎng)絡(luò)掉線，但網(wǎng)絡(luò)連接正常，內(nèi)網(wǎng)的部分PC機(jī)不能上網(wǎng)，或者所有電腦不能上網(wǎng)，無(wú)法打開網(wǎng)頁(yè)或打開網(wǎng)頁(yè)慢，局域網(wǎng)時(shí)斷時(shí)續(xù)并且網(wǎng)速較慢等。

三、ARP病毒原理 3.1 網(wǎng)絡(luò)模型簡(jiǎn)介

眾所周知，按照OSI(Open Systems Interconnection Reference Model 開放系統(tǒng)互聯(lián)參考模型)的觀點(diǎn)，可將網(wǎng)絡(luò)系統(tǒng)劃分為7層結(jié)構(gòu)，每一個(gè)層次上運(yùn)行著不同的協(xié)議和服務(wù)，并且上下層之間互相配合，完成網(wǎng)絡(luò)數(shù)據(jù)交換的功能，如圖1：

圖1 OSI網(wǎng)絡(luò)體系模型

然而，OSI的模型僅僅是一個(gè)參考模型，并不是實(shí)際網(wǎng)絡(luò)中應(yīng)用的模型。實(shí)際上應(yīng)用最廣泛的商用網(wǎng)絡(luò)模型即TCP/IP體系模型，將網(wǎng)絡(luò)劃分為四層，每一個(gè)層次上也運(yùn)行著不同的協(xié)議和服務(wù)，如圖2。

圖2 TCP/IP四層體系模型及其配套協(xié)議

上圖中，藍(lán)色字體表示該層的名稱，綠色字表示運(yùn)行在該層上的協(xié)議。由圖2可見，我們即將要討論的ARP協(xié)議，就是工作在網(wǎng)際層上的協(xié)議。3.2 ARP協(xié)議簡(jiǎn)介

我們大家都知道，在局域網(wǎng)中，一臺(tái)主機(jī)要和另一臺(tái)主機(jī)進(jìn)行通信，必須要知道目標(biāo)主機(jī) 的IP地址，但是最終負(fù)責(zé)在局域網(wǎng)中傳送數(shù)據(jù)的網(wǎng)卡等物理設(shè)備是不識(shí)別IP地址的，只能識(shí)別其硬件地址即MAC地址。MAC地址是48位的，通常表示為 12個(gè)16進(jìn)制數(shù)，每2個(gè)16進(jìn)制數(shù)之間用―-‖或者冒號(hào)隔開，如：00-0B-2F-13-1A-11就是一個(gè)MAC地址。每一塊網(wǎng)卡都有其全球唯一的 MAC地址，網(wǎng)卡之間發(fā)送數(shù)據(jù)，只能根據(jù)對(duì)方網(wǎng)卡的MAC地址進(jìn)行發(fā)送，這時(shí)就需要一個(gè)將高層數(shù)據(jù)包中的IP地址轉(zhuǎn)換成低層MAC地址的協(xié)議，而這個(gè)重要 的任務(wù)將由ARP協(xié)議完成。

ARP全稱為Address Resolution Protocol，地址解析協(xié)議。所謂―地址解析‖就是主機(jī)在發(fā)送數(shù)據(jù)包前將目標(biāo)主機(jī)IP地址轉(zhuǎn)換成目標(biāo)主機(jī)MAC地址的過程。ARP協(xié)議的基本功能就是 通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。這時(shí)就涉及到一個(gè)問題，一個(gè)局域網(wǎng)中的電腦少則幾臺(tái)，多則上百臺(tái)，這么多的電腦之間，如何能準(zhǔn)確的記住對(duì)方電腦網(wǎng)卡的MAC地址，以便數(shù)據(jù)的發(fā)送呢？這就 涉及到了另外一個(gè)概念，ARP緩存表。在局域網(wǎng)的任何一臺(tái)主機(jī)中，都有一個(gè)ARP緩存表，該表中保存這網(wǎng)絡(luò)中各個(gè)電腦的IP地址和MAC地址的對(duì)照關(guān)系。當(dāng)這臺(tái)主機(jī)向同局域網(wǎng)中另外的主機(jī)發(fā)送數(shù)據(jù)的時(shí)候，會(huì)根據(jù)ARP緩存表里的對(duì)應(yīng)關(guān)系進(jìn)行發(fā)送。下面，我們用一個(gè)模擬的局域網(wǎng)環(huán)境，來(lái)說(shuō)明ARP欺騙的過程。3.3 ARP欺騙過程

假設(shè)一個(gè)只有三臺(tái)電腦組成的局域網(wǎng)，該局域網(wǎng)由交換機(jī)(Switch)連接。其中一 個(gè)電腦名叫A，代表攻擊方；一臺(tái)電腦叫S，代表源主機(jī)，即發(fā)送數(shù)據(jù)的電腦；令一臺(tái)電腦名叫D，代表目的主機(jī)，即接收數(shù)據(jù)的電腦。這三臺(tái)電腦的IP地址分別 為192.168.0.2，192.168.0.3，192.168.0.4。MAC地址分別為MAC_A，MAC_S，MAC_D。其網(wǎng)絡(luò)拓?fù)洵h(huán)境如圖 3。

圖3 網(wǎng)絡(luò)拓?fù)?/p>

現(xiàn)在，S電腦要給D電腦發(fā)送數(shù)據(jù)了，在S電腦內(nèi)部，上層的TCP和UDP的數(shù)據(jù)包已經(jīng)傳送到 了最底層的網(wǎng)絡(luò)接口層，數(shù)據(jù)包即將要發(fā)送出去，但這時(shí)還不知道目的主機(jī)D電腦的MAC地址MAC_D。這時(shí)候，S電腦要先查詢自身的ARP緩存表，查看里 面是否有192.168.0.4這臺(tái)電腦的MAC地址，如果有，那很好辦，就將 封裝在數(shù)據(jù)包的外面。直接發(fā)送出去即可。如果沒有，這時(shí)S電腦要向全網(wǎng)絡(luò)發(fā)送一個(gè)ARP廣播包，大聲詢問：―我的IP是192.168.0.3，硬件地址 是MAC_S，我想知道IP地址為192.168.0.4的主機(jī)的硬件地址是多少？‖ 這時(shí)，全網(wǎng)絡(luò)的電腦都收到該ARP廣播包了，包括A電腦和D電腦。A電腦一看其要查詢的IP地址不是自己的，就將該數(shù)據(jù)包丟棄不予理會(huì)。而D電腦一看IP 地址是自己的，則回答S電腦：―我的IP地址是192.168.0.4，我的硬件地址是MAC_D‖需要注意的是，這條信息是單獨(dú)回答的，即D電腦單獨(dú)向 S電腦發(fā)送的，并非剛才的廣播。現(xiàn)在S電腦已經(jīng)知道目的電腦D的MAC地址了，它可以將要發(fā)送的數(shù)據(jù)包上貼上目的地址MAC_D，發(fā)送出去了。同時(shí)它還會(huì) 動(dòng)態(tài)更新自身的ARP緩存表，將192.168.0.4－MAC_D這一條記錄添加進(jìn)去，這樣，等S電腦下次再給D電腦發(fā)送數(shù)據(jù)的時(shí)候，就不用大聲詢問發(fā) 送ARP廣播包了。這就是正常情況下的數(shù)據(jù)包發(fā)送過程。

這樣的機(jī)制看上去很完美，似乎整個(gè)局域網(wǎng)也天下太平，相安無(wú)事。但是，上述數(shù)據(jù)發(fā) 送機(jī)制有一個(gè)致命的缺陷，即它是建立在對(duì)局域網(wǎng)中電腦全部信任的基礎(chǔ)上的，也就是說(shuō)它的假設(shè)前提是：無(wú)論局域網(wǎng)中那臺(tái)電腦，其發(fā)送的ARP數(shù)據(jù)包都是正確 的。那么這樣就很危險(xiǎn)了！因?yàn)榫钟蚓W(wǎng)中并非所有的電腦都安分守己，往往有非法者的存在。比如在上述數(shù)據(jù)發(fā)送中，當(dāng)S電腦向全網(wǎng)詢問―我想知道IP地址為 192.168.0.4的主機(jī)的硬件地址是多少？‖后，D電腦也回應(yīng)了自己的正確MAC地址。但是當(dāng)此時(shí)，一向沉默寡言的A電腦也回話了：―我的IP地址 是192.168.0.4，我的硬件地址是MAC_A‖，注意，此時(shí)它竟然冒充自己是D電腦的IP地址，而MAC地址竟然寫成自己的！由于A電腦不停地發(fā)送這樣的應(yīng)答數(shù)據(jù)包，本來(lái)S電腦的ARP緩存表中已經(jīng)保 存了正確的記錄：192.168.0.4－MAC_D，但是由于A電腦的不停應(yīng)答，這時(shí)S電腦并不知道A電腦發(fā)送的數(shù)據(jù)包是偽造的，導(dǎo)致S電腦又重新動(dòng)態(tài) 更新自身的ARP緩存表，這回記錄成：192.168.0.4－MAC_A，很顯然，這是一個(gè)錯(cuò)誤的記錄（這步也叫ARP緩存表中毒），這樣就導(dǎo)致以后凡 是S電腦要發(fā)送給D電腦，也就是IP地址為192.168.0.4這臺(tái)主機(jī)的數(shù)據(jù)，都將會(huì)發(fā)送給MAC地址為MAC_A的主機(jī)，這樣，在光天化日之下，A 電腦竟然劫持了由S電腦發(fā)送給D電腦的數(shù)據(jù)！這就是ARP欺騙的過程。

如果A這臺(tái)電腦再做的―過分‖一些，它不冒充D電腦，而是冒充網(wǎng)關(guān)，那后果會(huì)怎么 樣呢？我們大家都知道，如果一個(gè)局域網(wǎng)中的電腦要連接外網(wǎng)，也就是登陸互聯(lián)網(wǎng)的時(shí)候，都要經(jīng)過局域網(wǎng)中的網(wǎng)關(guān)轉(zhuǎn)發(fā)一下，所有收發(fā)的數(shù)據(jù)都要先經(jīng)過網(wǎng)關(guān)，再 由網(wǎng)關(guān)發(fā)向互聯(lián)網(wǎng)。在局域網(wǎng)中，網(wǎng)關(guān)的IP地址一般為192.168.0.1。如果A這臺(tái)電腦向全網(wǎng)不停的發(fā)送ARP欺騙廣播，大聲說(shuō)：―我的IP地址是 192.168.0.1，我的硬件地址是MAC_A‖這時(shí)局域網(wǎng)中的其它電腦并沒有察覺到什么，因?yàn)榫钟蚓W(wǎng)通信的前提條件是信任任何電腦發(fā)送的ARP廣播 包。這樣局域網(wǎng)中的其它電腦都會(huì)更新自身的ARP緩存表，記錄下192.168.0.1－MAC_A這樣的記錄，這樣，當(dāng)它們發(fā)送給網(wǎng)關(guān)，也就是IP地址 為192.168.0.1這臺(tái)電腦的數(shù)據(jù)，結(jié)果都會(huì)發(fā)送到MAC_A這臺(tái)電腦中！這樣，A電腦就將會(huì)監(jiān)聽整個(gè)局域網(wǎng)發(fā)送給互聯(lián)網(wǎng)的數(shù)據(jù)包！

實(shí)際上，這種病毒早就出現(xiàn)過，這就是ARP地址欺騙類病毒。一些傳奇木馬

（Trojan/PSW.LMir）具有這樣的特性，該木馬一般通過傳奇外掛、網(wǎng)頁(yè)木馬等方式使局域網(wǎng)中的某臺(tái)電腦中毒，這樣中毒電腦便可嗅探到整個(gè)局域 網(wǎng)發(fā)送的所有數(shù)據(jù)包，該木馬破解了《傳奇》游戲的數(shù)據(jù)包加密算法，通過截獲局域網(wǎng)中的數(shù)據(jù)包，分析數(shù)據(jù)包中的用戶隱私信息，盜取用戶的游戲帳號(hào)和密碼。在 解析這些封包之后，再將它們發(fā)送到真正的網(wǎng)關(guān)。這樣的病毒有一個(gè)令網(wǎng)吧游戲玩家聞之色變的名字：―傳奇網(wǎng)吧殺手‖！

四、ARP病毒新的表現(xiàn)形式

由于現(xiàn)在的網(wǎng)絡(luò)游戲數(shù)據(jù)包在發(fā)送過程中，均已采用了強(qiáng)悍的加密算法，因此這類ARP 病毒在解密數(shù)據(jù)包的時(shí)候遇到了很大的難度。現(xiàn)在又新出現(xiàn)了一種ARP病毒，與以前的一樣的是，該類ARP病毒也是向全網(wǎng)發(fā)送偽造的ARP欺騙廣播，自身偽 裝成網(wǎng)關(guān)。但區(qū)別是，它著重的不是對(duì)網(wǎng)絡(luò)游戲數(shù)據(jù)包的解密，而是對(duì)于HTTP請(qǐng)求訪問的修改。

HTTP是應(yīng)用層的協(xié)議，主要是用于WEB網(wǎng)頁(yè)訪問。還是以上面的局域網(wǎng)環(huán)境舉 例，如果局域網(wǎng)中一臺(tái)電腦S要請(qǐng)求某個(gè)網(wǎng)站頁(yè)面，如想請(qǐng)求www.tmdps.cn這個(gè)網(wǎng)頁(yè)，這臺(tái)電腦會(huì)先向網(wǎng)關(guān)發(fā)送HTTP請(qǐng)求，說(shuō)：―我想登陸 www.tmdps.cn網(wǎng)頁(yè)，請(qǐng)你將這個(gè)網(wǎng)頁(yè)下載下來(lái)，并發(fā)送給我。‖這樣，網(wǎng)關(guān)就會(huì)將www.tmdps.cn頁(yè)面下載下來(lái)，并發(fā)送給S 電腦。這時(shí)，如果A這臺(tái)電腦通過向全網(wǎng)發(fā)送偽造的ARP欺騙廣播，自身偽裝成網(wǎng)關(guān)，成為一臺(tái)ARP中毒電腦的話，這樣當(dāng)S電腦請(qǐng)求WEB網(wǎng)頁(yè)時(shí)，A電腦先 是―好心好意‖地將這個(gè)頁(yè)面下載下來(lái)，然后發(fā)送給S電腦，但是它在返回給S電腦時(shí)，會(huì)向其中插入惡意網(wǎng)址連接！該惡意網(wǎng)址連接會(huì)利用MS06-014和 MS07-017等多種系統(tǒng)漏洞，向S電腦種植木馬病毒！同樣，如果D電腦也是請(qǐng)求WEB頁(yè)面訪問，A電腦同樣也會(huì)給D電腦返回帶毒的網(wǎng)頁(yè)，這樣，如果一 個(gè)局域網(wǎng)中存在這樣的ARP病毒電腦的話，頃刻間，整個(gè)網(wǎng)段的電腦將會(huì)全部中毒！淪為黑客手中的僵尸電腦！案例：

某企業(yè)用戶反映，其內(nèi)部局域網(wǎng)用戶無(wú)論訪問那個(gè)網(wǎng)站，KV殺毒軟件均報(bào)病毒：Exploit.ANIfile.o。

在經(jīng)過對(duì)該局域網(wǎng)分析之后，發(fā)現(xiàn)該局域網(wǎng)中有ARP病毒電腦導(dǎo)致其它電腦訪問網(wǎng)頁(yè) 時(shí)，返回的網(wǎng)頁(yè)帶毒，并且該帶毒網(wǎng)頁(yè)通過MS06-014和MS07-017漏洞給電腦植入一個(gè)木馬下載器，而該木馬下載器又會(huì)下載10多個(gè)惡性網(wǎng)游木 馬，可以盜取包括魔獸世界，傳奇世界，征途，夢(mèng)幻西游，邊鋒游戲在內(nèi)的多款網(wǎng)絡(luò)游戲的帳號(hào)和密碼，對(duì)網(wǎng)絡(luò)游戲玩家的游戲裝備造成了極大的損失。被ARP病 毒電腦篡改的網(wǎng)頁(yè)如圖4。

圖4 被ARP病毒插入的惡意網(wǎng)址連接

從圖4中可以看出，局域網(wǎng)中存在這樣的ARP病毒電腦之后，其它客戶機(jī)無(wú)論訪問什么網(wǎng)頁(yè)，當(dāng)返回該網(wǎng)頁(yè)時(shí)，都會(huì)被插入一條惡意網(wǎng)址連接，如果用戶沒有打過相應(yīng)的系統(tǒng)補(bǔ)丁，就會(huì)感染木馬病毒。

五、ARP病毒電腦的定位方法

下面，又有了一個(gè)新的課題擺在我們面前：如何能夠快速檢測(cè)定位出局域網(wǎng)中的ARP病毒電腦？

面對(duì)著局域網(wǎng)中成百臺(tái)電腦，一個(gè)一個(gè)地檢測(cè)顯然不是好辦法。其實(shí)我們只要利用ARP 病毒的基本原理：發(fā)送偽造的ARP欺騙廣播，中毒電腦自身偽裝成網(wǎng)關(guān)的特性，就可以快速鎖定中毒電腦。可以設(shè)想用程序來(lái)實(shí)現(xiàn)以下功能：在網(wǎng)絡(luò)正常的時(shí)候，牢牢記住正確網(wǎng)關(guān)的IP地址和MAC地址，并且實(shí)時(shí)監(jiān)控著來(lái)自全網(wǎng)的ARP數(shù)據(jù)包，當(dāng)發(fā)現(xiàn)有某個(gè)ARP數(shù)據(jù)包廣播，其IP地址是正確網(wǎng)關(guān)的IP地址，但是 其MAC地址竟然是其它電腦的MAC地址的時(shí)候，這時(shí)，無(wú)疑是發(fā)生了ARP欺騙。對(duì)此可疑MAC地址報(bào)警，在根據(jù)網(wǎng)絡(luò)正常時(shí)候的IP－MAC地址對(duì)照表查 詢?cè)撾娔X，定位出其IP地址，這樣就定位出中毒電腦了。下面詳細(xì)說(shuō)一下幾種不同的檢測(cè)ARP中毒電腦的方法。5.1 命令行法

這種方法比較簡(jiǎn)便，不利用第三方工具，利用系統(tǒng)自帶的ARP命令即可完成。上文已經(jīng) 說(shuō)過，當(dāng)局域網(wǎng)中發(fā)生ARP欺騙的時(shí)候，ARP病毒電腦會(huì)向全網(wǎng)不停地發(fā)送ARP欺騙廣播，這時(shí)局域網(wǎng)中的其它電腦就會(huì)動(dòng)態(tài)更新自身的ARP緩存表，將網(wǎng) 關(guān)的MAC地址記錄成ARP病毒電腦的MAC地址，這時(shí)候我們只要在其它受影響的電腦中查詢一下當(dāng)前網(wǎng)關(guān)的MAC地址，就知道中毒電腦的MAC地址了，查 詢命令為 ARP －a，需要在cmd命令提示行下輸入。輸入后的返回信息如下：

Internet Address Physical Address Type192.168.0.1 00-50-56-e6-49-56 dynamic 這時(shí)，由于這個(gè)電腦的ARP表是錯(cuò)誤的記錄，因此，該MAC地址不是真正網(wǎng)關(guān)的MAC地址，而是中毒電腦的MAC地址！這時(shí)，再根據(jù)網(wǎng)絡(luò)正常時(shí)，全網(wǎng)的IP—MAC地址對(duì)照表，查找中毒電腦的IP地址就可以了。由此可見，在網(wǎng)絡(luò)正常的時(shí)候，保存 一個(gè)全網(wǎng)電腦的IP—MAC地址對(duì)照表是多么的重要。可以使用nbtscan 工具掃描全網(wǎng)段的IP地址和MAC地址，保存下來(lái)，以備后用。5.2 工具軟件法

現(xiàn)在網(wǎng)上有很多ARP病毒定位工具，其中做得較好的是Anti ARP Sniffer（現(xiàn)在已更名為ARP防火墻），下面我就演示一下使用Anti ARP Sniffer這個(gè)工具軟件來(lái)定位ARP中毒電腦。

首先打開Anti ARP Sniffer 軟件，輸入網(wǎng)關(guān)的IP地址之后，再點(diǎn)擊紅色框內(nèi)的―枚舉MAC‖按鈕，即可獲得正確網(wǎng)關(guān)的MAC地址，如圖5。

圖5 輸入網(wǎng)關(guān)IP地址后，枚舉MAC 接著點(diǎn)擊―自動(dòng)保護(hù)‖按鈕，即可保護(hù)當(dāng)前網(wǎng)卡與網(wǎng)關(guān)的正常通信。如圖6。

圖6 點(diǎn)擊自動(dòng)保護(hù)按鈕

當(dāng)局域網(wǎng)中存在ARP欺騙時(shí)，該數(shù)據(jù)包會(huì)被Anti ARP Sniffer記錄，該軟件會(huì)以氣泡的形式報(bào)警。如圖7。

圖7 Anti ARP Sniffer 的攔截記錄

這時(shí)，我們?cè)俑鶕?jù)欺騙機(jī)的MAC地址，對(duì)比查找全網(wǎng)的IP－MAC地址對(duì)照表，即可快速定位出中毒電腦。5.3 Sniffer 抓包嗅探法

當(dāng)局域網(wǎng)中有ARP病毒欺騙時(shí)，往往伴隨著大量的ARP欺騙廣播數(shù)據(jù)包，這時(shí)，流量檢測(cè)機(jī)制應(yīng)該能夠很好的檢測(cè)出網(wǎng)絡(luò)的異常舉動(dòng)，此時(shí)Ethereal 這樣的抓包工具就能派上用場(chǎng)。如圖8。

圖8 用Ethereal抓包工具定位出ARP中毒電腦

從圖8中的紅色框內(nèi)的信息可以看出，192.168.0.109 這臺(tái)電腦正向全網(wǎng)發(fā)送大量的ARP廣播包，一般的講，局域網(wǎng)中有電腦發(fā)送ARP廣播包的情況是存在的，但是如果不停的大量發(fā)送，就很可疑了。而這臺(tái)192.168.0.109 電腦正是一個(gè)ARP中毒電腦。

以上三種方法有時(shí)需要結(jié)合使用，互相印證，這樣可以快速準(zhǔn)確的將ARP中毒電腦定位出來(lái)。

七、ARP病毒的網(wǎng)絡(luò)免疫措施

由于ARP病毒的種種網(wǎng)絡(luò)特性，可以采用一些技術(shù)手段進(jìn)行網(wǎng)絡(luò)中ARP病毒欺騙數(shù)據(jù)包免疫。即便網(wǎng)絡(luò)中有ARP中毒電腦，在發(fā)送欺騙的ARP數(shù)據(jù)包，其它電腦也不會(huì)修改自身的ARP緩存表，數(shù)據(jù)包始終發(fā)送給正確的網(wǎng)關(guān)，用的比較多的辦法是―雙向綁定法‖。雙向綁定法，顧名思義，就是要在兩端綁定IP－MAC地址，其中一端是在路由器中，把所有PC的IP-MAC輸入到一個(gè)靜態(tài)表中，這叫路由器IP-MAC綁定。令一端是局域網(wǎng)中的每個(gè)客戶機(jī)，在客戶端設(shè)置網(wǎng)關(guān)的靜態(tài)ARP信息，這叫PC 機(jī)IP-MAC綁定。客戶機(jī)中的設(shè)置方法如下：

新建記事本，輸入如下命令：

arp-darp-s 192.168.0.1 00-e0-4c-8c-9a-47 其中，―arp –d‖ 命令是清空當(dāng)前的ARP緩存表，而―arp-s 192.168.0.1 00-e0-4c-8c-9a-47 ‖命令則是將正確網(wǎng)關(guān)的IP地址和MAC地址綁定起來(lái)，將這個(gè)批處理文件放到系統(tǒng)的啟動(dòng)目錄中，可以實(shí)現(xiàn)每次開機(jī)自運(yùn)行，這一步叫做―固化arp表‖。―雙向綁定法‖一般在網(wǎng)吧里面應(yīng)用的居多。

除此之外，很多交換機(jī)和路由器廠商也推出了各自的防御ARP病毒的軟硬產(chǎn)品，如：華 為的H3C AR 18-6X 系列全千兆以太網(wǎng)路由器就可以實(shí)現(xiàn)局域網(wǎng)中的ARP病毒免疫，該路由器提供MAC和IP地址綁定功能，可以根據(jù)用戶的配置，在特定的IP地址和MAC地址 之間形成關(guān)聯(lián)關(guān)系。對(duì)于聲稱從這個(gè)IP地址發(fā)送的報(bào)文，如果其MAC地址不是指定關(guān)系對(duì)中的地址，路由器將予以丟棄，是避免IP地址假冒攻擊的一種方式。

第二篇：校園網(wǎng)ARP欺騙攻擊分析及解決辦法(0)

校園網(wǎng)ARP欺騙攻擊分析及解決辦法

張志剛

（作者單位：浙江省開化縣實(shí)驗(yàn)小學(xué) 郵編：324300）

摘要：ARP攻擊是當(dāng)前校園網(wǎng)遇到的一個(gè)非常典型的安全威脅，受到ARP攻擊后輕者校園網(wǎng)會(huì)出現(xiàn)大面積掉線，重者會(huì)竊取用戶密碼。目前，網(wǎng)上有關(guān)ARP資料較多，但作者發(fā)現(xiàn)：網(wǎng)上資料雖多但大多邏輯性和指導(dǎo)性均不強(qiáng)，甚至有一些還自相矛盾，不能自圓其說(shuō)。該文來(lái)自于一線網(wǎng)管員的工作實(shí)踐，具有較強(qiáng)的針對(duì)性和操作性。

關(guān)鍵詞：校園網(wǎng)、ARP、原理、方法 正文：

ARP攻擊是當(dāng)前校園網(wǎng)遇到的一個(gè)非常典型的安全威脅，受到ARP攻擊后校園網(wǎng)內(nèi)各終端電腦會(huì)出現(xiàn)大面積掉線、ARP包爆增、拷貝文件無(wú)法完成，出現(xiàn)錯(cuò)誤、無(wú)法ping通網(wǎng)關(guān)，但重啟機(jī)器后又可恢復(fù)上網(wǎng)等情況。欺騙木馬發(fā)作時(shí)還會(huì)竊取用戶密碼，如盜取QQ密碼、盜取各種網(wǎng)絡(luò)游戲密碼和賬號(hào)，盜竊網(wǎng)上銀行賬號(hào)來(lái)做非法交易活動(dòng)等。在08年的暑期,我縣的教育城域網(wǎng)就爆發(fā)了一次較大的ARP攻擊事件，前后持續(xù)時(shí)間近一個(gè)月，給全縣教育系統(tǒng)的暑期辦公培訓(xùn)及新學(xué)期的準(zhǔn)備工作帶來(lái)了較大的影響，攻擊源來(lái)自于鄉(xiāng)下某學(xué)校的一臺(tái)老師忘記關(guān)機(jī)并感染了ARP病毒的的辦公電腦。

作為一名學(xué)校的網(wǎng)管員，在與多起ARP欺騙攻擊的的斗爭(zhēng)過程中，對(duì)ARP病毒相關(guān)基礎(chǔ)知識(shí)、危害認(rèn)識(shí)也越來(lái)越深刻，對(duì)如何在校園網(wǎng)內(nèi)及時(shí)發(fā)現(xiàn)、有效防范查殺攻擊源的具體處理上也有了一定的心得，現(xiàn)作一整理，供兄弟學(xué)校的各網(wǎng)管員們參考借鑒。

1.要了解APR病毒需先掌握的幾個(gè)概念 1.1：IP地址

IP地址是出現(xiàn)頻率非常高的詞。它類似于電話通迅中的電話號(hào)碼，在我們的校園網(wǎng)中，為了區(qū)別每一臺(tái)不同的計(jì)算機(jī)，我們需要給每一臺(tái)計(jì)算機(jī)都配臵一個(gè)號(hào)碼，這個(gè)號(hào)碼我們就將它叫做IP地址，有了這個(gè)IP地址我們?cè)诶镁W(wǎng)絡(luò)進(jìn)行上網(wǎng)、傳遞文件，進(jìn)行局域網(wǎng)聊天時(shí)才不會(huì)將發(fā)送給A計(jì)算機(jī)的信息錯(cuò)發(fā)到其

它的計(jì)算機(jī)上。一般情況下，在校園網(wǎng)內(nèi)一臺(tái)計(jì)算機(jī)只分配一個(gè)IP地址，IP地址采用十進(jìn)制數(shù)字表示,如192.168.0.25。1.2、MAC地址：

在現(xiàn)實(shí)生活中，我們每個(gè)人由于工作等原因會(huì)經(jīng)常的搬家，每臺(tái)計(jì)算機(jī)的IP地址在使用中就會(huì)發(fā)生變化。IP地址發(fā)生變化了，為什么不會(huì)影響我們?cè)诰W(wǎng)上收發(fā)信息呢？這主要是因?yàn)槲覀冇?jì)算機(jī)的網(wǎng)卡MAC地址是不發(fā)生變化的。MAC地址也叫物理地址，它類似于我們每個(gè)人的身份證，是全球唯一的，只要MAC地址這個(gè)計(jì)算機(jī)的身份證存在，我們?cè)谌螨嫶蟮挠?jì)算機(jī)網(wǎng)絡(luò)中就總能找到自已的這臺(tái)計(jì)算機(jī)。MAC地址的長(zhǎng)度為48位（6個(gè)字節(jié)），通常表示為12個(gè)16進(jìn)制數(shù)，每2個(gè)16進(jìn)制數(shù)之間用冒號(hào)隔開，如：00:0F:E2:70:70:BC。XP系統(tǒng)環(huán)境下本機(jī)的IP與MAC地址信息我們可以執(zhí)行IPCONFIG –ALL命令進(jìn)行查詢。1.3、ARP（Address Resolution Protocol：地址解析協(xié)議）

不管是在校園局域網(wǎng)中還是在廣域網(wǎng)中，數(shù)據(jù)信息要從某種形式的鏈路上的初始節(jié)點(diǎn)出發(fā)，從一個(gè)節(jié)點(diǎn)傳遞到另一個(gè)節(jié)點(diǎn)，最終傳送到目的節(jié)點(diǎn)。如果僅僅依靠IP地址去傳遞信息是要發(fā)生錯(cuò)誤的，因?yàn)镮P地址是要發(fā)生變化的，在某些時(shí)候我們就需要將IP地址與MAC地址進(jìn)行捆定，保證網(wǎng)絡(luò)中信息傳遞的準(zhǔn)確性，完成這個(gè)功能的就是ARP地址解析協(xié)議。網(wǎng)絡(luò)中的每臺(tái)電腦，它都會(huì)收集網(wǎng)絡(luò)上的各臺(tái)計(jì)算機(jī)的IP地址與MAC地址信息，將它儲(chǔ)存在一個(gè)叫“ARP緩存表”的地方，當(dāng)機(jī)器A要向主機(jī)B發(fā)送報(bào)文，會(huì)查詢本地的ARP緩存表，找到B的IP地址對(duì)應(yīng)的MAC地址后就會(huì)進(jìn)行數(shù)據(jù)傳輸。如果未找到，則廣播A一個(gè)ARP請(qǐng)求報(bào)文（攜帶主機(jī)A的IP地址Ia——物理地址Pa），請(qǐng)求IP地址為Ib的主機(jī)B回答物理地址Pb。網(wǎng)上所有主機(jī)包括B都收到ARP請(qǐng)求，但只有主機(jī)B識(shí)別自己的IP地址，于是向A主機(jī)發(fā)回一個(gè)ARP響應(yīng)報(bào)文。其中就包含有B的MAC地址，A接收到B的應(yīng)答后，就會(huì)更新本地的ARP緩存。接著使用這個(gè)MAC地址發(fā)送數(shù)據(jù)。

2.ARP欺騙的原理分析

為便于闡述，在這我們假設(shè)有一個(gè)有三臺(tái)計(jì)算機(jī)甲、乙、丙組成的局域網(wǎng)，其中甲感染了ARP木馬病毒。正常情況下，甲的地址為：IP：192.168.1.1 MAC: AA-AA-AA-AA-AA-AA，乙的地址為：IP：192.168.1.2 MAC: BB-BB-BB-BB-BB-BB，丙的地址為：IP：192.168.1.3 MAC: CC-CC-CC-CC-CC-CC。當(dāng)計(jì)算機(jī)甲上運(yùn)行了

ARP欺騙程序，向乙或丙發(fā)送了ARP欺騙包后，基于乙、丙對(duì)甲的完全信任關(guān)系，乙或丙計(jì)算機(jī)會(huì)自動(dòng)更新本地的ARP緩存，將錯(cuò)誤的IP與MAC地址信息替代了正確的信息對(duì)應(yīng)表，這樣當(dāng)然也就不能保證乙、丙兩臺(tái)計(jì)算機(jī)能順暢地對(duì)外通訊了。在校園網(wǎng)中，問題會(huì)隨著ARP欺騙包針對(duì)網(wǎng)關(guān)而變本加厲，當(dāng)局域網(wǎng)中一臺(tái)機(jī)器，反復(fù)向其他機(jī)器，特別是向網(wǎng)關(guān)，發(fā)送這樣無(wú)效假冒的ARP應(yīng)答信息包時(shí)，嚴(yán)重的網(wǎng)絡(luò)堵塞就會(huì)開始。由于網(wǎng)關(guān)MAC地址錯(cuò)誤，所以從網(wǎng)絡(luò)中計(jì)算機(jī)發(fā)來(lái)的數(shù)據(jù)無(wú)法正常發(fā)到網(wǎng)關(guān)，自然無(wú)法正常上網(wǎng)。這就造成了無(wú)法訪問外網(wǎng)的問題，另外由于很多時(shí)候網(wǎng)關(guān)還控制著我們的局域網(wǎng)LAN上網(wǎng)，所以這時(shí)我們的LAN訪問也就出現(xiàn)問題了

3.校園網(wǎng)ARP病毒的預(yù)防措施及感染后的分析及處理 3.1、校園網(wǎng)ARP病毒的五條預(yù)防措施：

措施

1、及時(shí)升級(jí)客戶端的操作系統(tǒng)和應(yīng)用程序補(bǔ)丁。措施

2、安裝和更新殺毒軟件及ARP專用防火墻。

措施

3、如果網(wǎng)絡(luò)規(guī)模較小，盡量使用手動(dòng)指定IP設(shè)臵，而不是使用DHCP來(lái)分配IP地址。

措施

4、如果交換機(jī)或路由器支持，在交換機(jī)或路由器上綁定MAC地址與IP地址。

措施

5、在校園網(wǎng)正常運(yùn)行時(shí)，備份一份網(wǎng)關(guān)與知終端的IP地址與MAC地址正常對(duì)應(yīng)表，最好包含計(jì)算機(jī)名信息。現(xiàn)今學(xué)校一般都通過路由器上網(wǎng)，兩地址信息均可在路由器的WEB設(shè)臵頁(yè)面中找到，也可以使用網(wǎng)上常見的一些專業(yè)MAC地址掃描工具得到正確的地址信息。3.2、ARP病毒感染后的分析及處理

校園網(wǎng)如果還是不幸中招，出現(xiàn)本文第一段所說(shuō)的那些癥狀時(shí)，我們首先應(yīng)該判斷是否為ARP病毒的原因，點(diǎn)擊“開始”按鈕->選擇“運(yùn)行”->輸入“arp–d”->點(diǎn)擊“確定”按鈕，然后重新嘗試上網(wǎng)，如果能恢復(fù)正常，則說(shuō)明此次掉線可能是受ARP欺騙所致。arp-d命令用于清除并重建本機(jī)arp表。arp–d命令并不能抵御ARP欺騙，執(zhí)行后仍有可能再次遭受ARP攻擊。如果計(jì)算機(jī)安裝有ARP防火墻的話，也會(huì)在屏幕的右下角跳出報(bào)警信息，當(dāng)確診為ARP病毒是時(shí)，我們可以采取以下方法進(jìn)行校園網(wǎng)的修復(fù)處理。

第一步：首先保證網(wǎng)絡(luò)正常運(yùn)行。在桌面上新建一個(gè)名為ARP文本文件，用

記事本寫下：

@echo off arp-d

arp-s 網(wǎng)關(guān)IP MAC地址

保存后將記事本后綴名改名BAT（批處理文件）。將這個(gè)批處理文件發(fā)送給各計(jì)算機(jī)端，當(dāng)遭受ARP攻擊時(shí)，將它執(zhí)行一遍，重新綁定網(wǎng)關(guān)的IP-MAC地址信息后就OK了。

第二步：找到感染ARP病毒的機(jī)器。

第一種判斷方法:如果在你的周圍有多臺(tái)電腦均不能正常上網(wǎng)，出現(xiàn)時(shí)常掉線的情況，而你的電腦卻安然無(wú)恙，數(shù)據(jù)通信正常，請(qǐng)不要沾沾自喜，這說(shuō)明你的機(jī)器已經(jīng)中了arp病毒，需要及時(shí)斷網(wǎng)殺毒。

第二種判斷方法:使用arp-a命令任意選兩臺(tái)不能上網(wǎng)的主機(jī)，在DOS命令窗口下運(yùn)行arp-a命令。如圖1，兩臺(tái)電腦除了網(wǎng)關(guān)的IP，MAC地址對(duì)應(yīng)項(xiàng)，都包含了192.168.0.54的這個(gè)IP，則可以斷定192.168.0.54這臺(tái)主機(jī)就是病毒源。一般情況下，網(wǎng)內(nèi)的主機(jī)只和網(wǎng)關(guān)通信。正常情況下，一臺(tái)主機(jī)的ARP緩存中應(yīng)該只有網(wǎng)關(guān)的MAC地址。如果有其他主機(jī)的MAC地址，說(shuō)明本地主機(jī)和這臺(tái)主機(jī)最后有過數(shù)據(jù)通信發(fā)生。如果某臺(tái)主機(jī)（例如上面的192.168.0.54）既不是網(wǎng)關(guān)也不是服務(wù)器，但和網(wǎng)內(nèi)的其他主機(jī)都有通信活動(dòng)，且此時(shí)又是ARP病毒發(fā)作時(shí)期，那么，病毒源也就是它了。

第三種判斷方法:在故障機(jī)上使用ARP －a的命令看得到的網(wǎng)關(guān)對(duì)應(yīng)的MAC地址是否與網(wǎng)關(guān)真實(shí)地址相符，如不符，可去查找與該MAC地址對(duì)應(yīng)的電腦。

第四種判斷方法:使用ARP防火墻(例如360ARP防火墻)軟件，360ARP防火墻攔截到外部ARP攻擊后，可通過攔截界面“追蹤攻擊源IP”來(lái)精準(zhǔn)定位局域網(wǎng)內(nèi)攻擊源，方便網(wǎng)管及時(shí)查詢局域網(wǎng)內(nèi)攻擊源，及時(shí)解決問題。

第三步：在學(xué)校路由器的WEB頁(yè)面上網(wǎng)過濾功能設(shè)臵中暫時(shí)停止病毒源主機(jī)的上網(wǎng)行為。考慮到校園網(wǎng)的各終端主機(jī)來(lái)源比較復(fù)雜，有一些來(lái)自于老師的筆記本電腦，有時(shí)根據(jù)MAC地址很難確定是某位老師的電腦，我們可以利用路由器 的MAC地址過濾功能暫停該機(jī)的上網(wǎng)功能，待確定計(jì)算機(jī)主人后再通知其使用ARP專殺工具查殺病毒。這樣就保證了校園網(wǎng)的健康運(yùn)行。目前的路由器一般都有“上網(wǎng)黑白名單”的功能設(shè)臵，操作也較簡(jiǎn)單。

以上的分析查殺過程，在配備簡(jiǎn)陋的學(xué)校校園網(wǎng)內(nèi)均可實(shí)現(xiàn)，基本上可以將ARP病毒的危害降至最低。目前市場(chǎng)上很多的路由器廠商專門推出一些具有ARP病毒防護(hù)功能的路由器，它可以在路由器端綁定IP與MAC地址正確信息并按一定頻率向網(wǎng)絡(luò)廣播，該種路由器再配合客戶端的雙向綁定，在ARP的防治上效果非常不錯(cuò)，能還你一個(gè)波瀾不驚、風(fēng)平浪靜的校園網(wǎng)環(huán)境，值得一試！但有些ARP防火墻會(huì)將路由器的廣播視作是ARP攻擊。配備一個(gè)功能強(qiáng)大的路由器不僅對(duì)ARP的防治有較好的效果，網(wǎng)管員們?nèi)缱屑?xì)分析利用好路由器的系統(tǒng)運(yùn)行信息，對(duì)其它網(wǎng)絡(luò)病毒的防治診斷也有很好的幫助作用。

臺(tái)上一分鐘，臺(tái)下十年功，校園網(wǎng)網(wǎng)管員平時(shí)的工作默默無(wú)聞，網(wǎng)絡(luò)病毒將我們推上了表演的前臺(tái)，我們網(wǎng)管員們要想立于不敗之地，實(shí)現(xiàn)自身價(jià)值，一個(gè)重要的前提就是平時(shí)要做好校園網(wǎng)基本信息知識(shí)的積累整理工作，練好內(nèi)功，加強(qiáng)軟實(shí)力，這樣才能在校園網(wǎng)的一些突發(fā)事件面前，做到從容不迫、大將風(fēng)度。

第三篇：中小學(xué)局域網(wǎng)應(yīng)對(duì)ARP病毒攻擊的措施

網(wǎng)絡(luò)安全工作總結(jié)

付正林

隨著社會(huì)的發(fā)展，信息技術(shù)對(duì)教育教學(xué)的影響越來(lái)越廣，越來(lái)越多的學(xué)校與教師對(duì)網(wǎng)絡(luò)依賴也越來(lái)越大；而對(duì)中小學(xué)校園內(nèi)局域要求也是一天比一天高。但現(xiàn)在ARP病毒攻擊成為局域網(wǎng)殺手，造成校園網(wǎng)絡(luò)無(wú)法正常使用。ARP病毒攻擊，以成各中小學(xué)校網(wǎng)絡(luò)管理員公認(rèn)為最頭痛的事。而各中小學(xué)網(wǎng)絡(luò)管理員如何面對(duì)ARP病毒攻擊呢？

ARP與ARP病毒簡(jiǎn)介

ARP全稱：Address Resolution Protocol 地址解析協(xié)議。ARP的作用：實(shí)現(xiàn)通過IP地址得知其物理地址。在TCP/IP網(wǎng)絡(luò)環(huán)境下，每個(gè)主機(jī)都分配了一個(gè)32位的IP地址，這種互聯(lián)網(wǎng)地址是在網(wǎng)際范圍標(biāo)識(shí)主機(jī)的一種邏輯地址。為了讓報(bào)文在物理網(wǎng)路上傳送，必須知道對(duì)方目的主機(jī)的物理地址。這樣就存在把IP地址變換成物理地址的地址轉(zhuǎn)換問題。以以太網(wǎng)環(huán)境為例，為了正確地向目的主機(jī)傳送報(bào)文，必須把目的主機(jī)的32位IP地址轉(zhuǎn)換成為48位以太網(wǎng)的地址。這就需要在互連層有一組服務(wù)將IP地址轉(zhuǎn)換為相應(yīng)物理地址，這組協(xié)議就是ARP協(xié)議。（物理地址即網(wǎng)絡(luò)中的MAC地址，也就是全世界所有網(wǎng)卡中的唯一標(biāo)識(shí)代碼）

ARP病毒：就是通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。ARP病毒攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中，局域網(wǎng)中若有一個(gè)人感染ARP木馬病毒，則感染該ARP木馬病毒的系統(tǒng)將會(huì)試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。

遭受ARP攻擊后現(xiàn)象：ARP欺騙木馬的中毒現(xiàn)象表現(xiàn)為：使用局域網(wǎng)時(shí)會(huì)突然掉線，過一段時(shí)間后又會(huì)恢復(fù)正常。用戶頻繁斷網(wǎng)，IE瀏覽器頻繁出錯(cuò)，以及一些常用軟件出現(xiàn)故障等，不能上網(wǎng)的現(xiàn)象（無(wú)法ping通網(wǎng)關(guān)），重啟機(jī)器或在MS-DOS窗口下運(yùn)行命令arp-d后，又可恢復(fù)上網(wǎng)，嚴(yán)重者跟本無(wú)法正常連接網(wǎng)絡(luò)。

應(yīng)對(duì)中小學(xué)校園網(wǎng)內(nèi)ARP病毒攻擊的思考

現(xiàn)在各中小學(xué)普遍存在ARP病毒攻擊的原因有如下幾個(gè)方面：第一網(wǎng)絡(luò)安全設(shè)備配置不齊全，使校園內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)比較簡(jiǎn)單；第二中小學(xué)的網(wǎng)絡(luò)管理員絕大部分是電腦教師兼職，專業(yè)水平與發(fā)展方向出現(xiàn)偏差；第三使用者——教師使用電腦與網(wǎng)絡(luò)的不正確或者說(shuō)不規(guī)范，比如在不在安全的網(wǎng)站下載文件、使用U盤或者移動(dòng)硬盤傳輸文件與在網(wǎng)上瀏覽不正規(guī)的網(wǎng)站等；第四忽視對(duì)應(yīng)該服務(wù)系統(tǒng)的有效管理與建設(shè)，這與學(xué)校經(jīng)費(fèi)或者上經(jīng)領(lǐng)導(dǎo)重視或管理者水平有關(guān)。第五網(wǎng)絡(luò)技術(shù)與病毒更新太快，管理員的學(xué)習(xí)跟不上發(fā)展速度，加強(qiáng)網(wǎng)絡(luò)管理員的相關(guān)業(yè)務(wù)學(xué)習(xí)很重要。

現(xiàn)在流行的維護(hù)方法：靜態(tài)綁定、Antiarp和具有ARP防護(hù)功能的路由器。但這只是針對(duì)網(wǎng)絡(luò)與使用設(shè)置的一種應(yīng)對(duì)措施，相對(duì)中小學(xué)小而全的校園網(wǎng)而言，還遠(yuǎn)遠(yuǎn)不夠。我們應(yīng)全面考慮各種因素，多管齊下來(lái)應(yīng)對(duì)ARP病毒攻擊問題。第一：從病毒來(lái)原入手，第二從病毒攻擊方式考慮，第三對(duì)使用者——教師的電腦與網(wǎng)絡(luò)使用的相關(guān)培訓(xùn)，第四網(wǎng)絡(luò)管理者專業(yè)水平的提高，第五學(xué)校的重視。

應(yīng)對(duì)ARP病毒攻擊的具體措施

從全局角度來(lái)思考：教育信息化實(shí)現(xiàn)的基礎(chǔ)是網(wǎng)絡(luò)正常運(yùn)行，各種信息化的教育教學(xué)活動(dòng)沒有網(wǎng)絡(luò)的正常運(yùn)行再好的東西也無(wú)法使用。如無(wú)紙化辦公（OA系統(tǒng)）、教學(xué)資源庫(kù)、家校通、廣港校際在線交流（視像中國(guó)）、遠(yuǎn)程集體備課、學(xué)生電子書包、電子課堂等。各種現(xiàn)代化信息教育教學(xué)都運(yùn)行在良好的網(wǎng)絡(luò)環(huán)境之上，網(wǎng)絡(luò)與現(xiàn)代信息化教育教學(xué)活動(dòng)的基礎(chǔ)。所以學(xué)校必需重視才行，不然何談教育信息化。學(xué)校的重視也有利于網(wǎng)絡(luò)管理員的工作，如加大網(wǎng)絡(luò)基礎(chǔ)的投入、與部門的工作配合、參加各種有利于業(yè)務(wù)水平提高的培訓(xùn)與交流活動(dòng)等。爭(zhēng)取學(xué)校的重視，是網(wǎng)絡(luò)工作是有力保證。爭(zhēng)取學(xué)校的重視，首先要把自己的本職工作做好，做好了本職工作是領(lǐng)導(dǎo)重視的前提。其次是做好網(wǎng)絡(luò)工作計(jì)劃，一個(gè)合理的計(jì)劃能更有利于我們開展工作，也能更好地獲得所有管理者與參與者支持。然后整理好工作中遇到的問題和教師的使用意見，是向?qū)W校提供決策的重要參考意見。

從網(wǎng)絡(luò)技術(shù)角度來(lái)解決：技術(shù)方面首先是病毒來(lái)源著手，ARP病毒一般都與木馬病毒共存，病毒來(lái)源有三個(gè)方面，第一是因特網(wǎng)，第二是U盤或移動(dòng)硬盤等移動(dòng)式存儲(chǔ)器，第三是網(wǎng)內(nèi)原有電腦上本身就存有。應(yīng)對(duì)因特網(wǎng)上的木馬或者病毒，我們一定要加裝防火墻，做好相關(guān)策略。設(shè)置防火墻的技術(shù)策略這里不詳講，因?yàn)楦鞣N不同的防火墻有不能的命令與解決方法。應(yīng)該對(duì)內(nèi)部病毒，我們應(yīng)該先組織一次全面的清理活動(dòng)，在最大可能減少內(nèi)部病毒的出現(xiàn)，然后加裝相關(guān)的殺毒軟件與單機(jī)防火墻。應(yīng)該移動(dòng)存儲(chǔ)器內(nèi)的病毒主要是加強(qiáng)使用者的防范意識(shí)，經(jīng)常查殺自己移動(dòng)存儲(chǔ)器，每天使用時(shí)都必須檢查病毒后再使用。

然后從ARP病毒攻擊原理來(lái)處理，第一靜態(tài)綁定：最常用的方法就是做IP和MAC靜態(tài)綁定，在網(wǎng)內(nèi)把主機(jī)和網(wǎng)關(guān)都做IP和MAC綁定，使ARP無(wú)法欺騙。第二內(nèi)網(wǎng)分段，根據(jù)各區(qū)域與功能相關(guān)不同使用者，劃分不同的VLin。這樣就算網(wǎng)內(nèi)有機(jī)器感染了ARP病毒，也不會(huì)迅速傳播到整個(gè)局域網(wǎng)，讓管理員有足夠的時(shí)間與空間來(lái)處理。第三，有條件的學(xué)校可以做到終端交換機(jī)端口劃分與綁定，在這不多言。第四，核心交換機(jī)上，利用交換機(jī)的統(tǒng)計(jì)功能，對(duì)某一MAC地址一定時(shí)間內(nèi)對(duì)網(wǎng)關(guān)請(qǐng)求數(shù)過大（如每分鐘大于90次），即斷開這臺(tái)電腦的網(wǎng)絡(luò)。這是因?yàn)楝F(xiàn)在絕大部分中小學(xué)網(wǎng)絡(luò)管理員都是兼職，不可能經(jīng)常在監(jiān)視網(wǎng)絡(luò)運(yùn)行情況；這樣在網(wǎng)絡(luò)管理員不在的情況下，可以在一定程度上保證網(wǎng)絡(luò)正常運(yùn)行。第五，每天定時(shí)認(rèn)真查看路由器、防火墻、上網(wǎng)行為管理設(shè)備、核心交換機(jī)等關(guān)鍵網(wǎng)絡(luò)設(shè)置記錄，了解網(wǎng)絡(luò)運(yùn)行情況。第六，使用Sniffer等網(wǎng)絡(luò)工具定時(shí)掃描網(wǎng)絡(luò)內(nèi)部情況，并認(rèn)真分析異常情況，提前發(fā)現(xiàn)問題并解決問題。

最后從應(yīng)用角度來(lái)防范，第一，使用并有效管理好公共服務(wù)器系統(tǒng)，特別是文件服務(wù)器、資源庫(kù)服務(wù)器、BBS服務(wù)器等流量比較大，利用率比較高的服務(wù)器。這些公共服務(wù)系統(tǒng)可以減少老師對(duì)移動(dòng)存儲(chǔ)器的使用，更能相對(duì)較少地減少老師在使用外網(wǎng)時(shí)中毒的機(jī)率。這些重要服務(wù)器應(yīng)該劃分單獨(dú)的VLin,并做好相關(guān)的安全策略，能安全服務(wù)器殺毒軟件是最好的。專業(yè)的網(wǎng)絡(luò)管理員提出的服務(wù)器不應(yīng)該裝殺毒，也是有道理的，但現(xiàn)在中小學(xué)里的網(wǎng)絡(luò)管理員并不是非常專業(yè)的網(wǎng)絡(luò)技術(shù)管理員，也不能時(shí)刻監(jiān)視網(wǎng)絡(luò)情況與服務(wù)器系統(tǒng)情況，我們都是業(yè)余級(jí)的。第二，當(dāng)發(fā)現(xiàn)網(wǎng)內(nèi)有機(jī)器感染了ARP病毒，最簡(jiǎn)單的方法是：先斷該機(jī)器的網(wǎng)絡(luò)連接，最好是物理中斷；然后保存好該機(jī)器內(nèi)重要數(shù)據(jù)，然后在干凈的網(wǎng)絡(luò)環(huán)境下清理所有數(shù)據(jù)，并重裝系統(tǒng)等相關(guān)工作；同時(shí)對(duì)機(jī)器使用者進(jìn)行解釋說(shuō)明與相關(guān)宣傳工作。在干凈的網(wǎng)絡(luò)環(huán)境這點(diǎn)很重要，可以避免機(jī)器二次感染。

從自身角度來(lái)提高：時(shí)代是發(fā)展的。網(wǎng)絡(luò)信息技術(shù)的發(fā)展更是以超出人們想象的速度在發(fā)展。培訓(xùn)與學(xué)習(xí)更是應(yīng)對(duì)各種網(wǎng)絡(luò)問題的重中之重。技術(shù)培訓(xùn)分二部分，第一是網(wǎng)絡(luò)管理員的業(yè)務(wù)水平技術(shù)培訓(xùn)與學(xué)習(xí)。第二是網(wǎng)絡(luò)使用者的電腦與網(wǎng)絡(luò)應(yīng)用技巧的校本培訓(xùn)。對(duì)于學(xué)校來(lái)說(shuō)，應(yīng)該創(chuàng)造條件，讓網(wǎng)絡(luò)管理員不斷參加各種網(wǎng)絡(luò)技術(shù)相關(guān)的培訓(xùn)學(xué)習(xí)班或者研討會(huì)；網(wǎng)絡(luò)管理員也要通過各種途徑來(lái)學(xué)習(xí)各種新技術(shù)，了解技術(shù)的展情況。比如網(wǎng)上的技術(shù)論壇上參與討論與學(xué)習(xí)：中國(guó)網(wǎng)管論壇（http://bbs.bitscn.com/）、網(wǎng)絡(luò)管理員（http://bbs.krshadow.com/forum-20-1.html）、51TCO技術(shù)論壇（http://bbs.51cto.com/forum-143-1.html）等。網(wǎng)絡(luò)管理員也應(yīng)該經(jīng)常在學(xué)校內(nèi)部進(jìn)行電腦與網(wǎng)絡(luò)應(yīng)用的相關(guān)校本培訓(xùn)，提高使用者的應(yīng)該水平與防病毒能力；同時(shí)經(jīng)常與不同應(yīng)用能力的使用者之間進(jìn)行小范圍的研討工作，深入一線使用者中，去了解各種使用者的應(yīng)用情況。把學(xué)校校園網(wǎng)比做一個(gè)人的話，提高網(wǎng)絡(luò)管理者與應(yīng)用都自身水平，就是像是提高人的身體素質(zhì)一樣，是應(yīng)對(duì)病毒攻擊最好的辦法。

應(yīng)對(duì)ARP病毒攻擊，從學(xué)校指導(dǎo)思想層、校園網(wǎng)絡(luò)管理層、網(wǎng)絡(luò)應(yīng)用層來(lái)發(fā)展問題并解決問題，才是應(yīng)對(duì)ARP病毒攻擊基本。做好這三者之間的工作，應(yīng)對(duì)ARP病毒攻擊就能輕松自如。

2012-1-7

第四篇：預(yù)防病毒性肝炎教案

《預(yù)防病毒性肝炎》教學(xué)設(shè)計(jì)

四川省瀘州市納溪區(qū)護(hù)國(guó)中學(xué)

龍易

學(xué)情分析：

8年級(jí)的孩子正處于生長(zhǎng)發(fā)育階段，平時(shí)不注意飲食衛(wèi)生，愛吃路攤上的食品和“三無(wú)”食品。因此有必要對(duì)學(xué)生進(jìn)行飲食和生活習(xí)慣的教育。然而五年級(jí)的孩子，讓他們獨(dú)立的去了解全部理論知識(shí)是有難度的。教材分析：

《預(yù)防病毒性肝炎》是疾病預(yù)防單元中的一課，這一課主要介紹了與病毒性肝炎有關(guān)的知識(shí)及預(yù)防措施。編者試圖通過這樣的教學(xué)使學(xué)生增強(qiáng)預(yù)防疾病的意識(shí)，提高預(yù)防疾病的能力。學(xué)生通過學(xué)習(xí)這一課，能養(yǎng)成良好的飲食衛(wèi)生習(xí)慣，知道該如何預(yù)防病毒性肝炎。教材處理：

在生活中最常見的病毒性肝炎是甲肝和乙肝，并且甲肝和乙肝傳播途徑具有典型性，所以對(duì)本課教材我進(jìn)行了刪減，著重介紹甲肝和乙肝。為了使學(xué)生能全面的認(rèn)識(shí)乙肝，我補(bǔ)充了我國(guó)乙肝的現(xiàn)狀，以及我國(guó)是如何通過疫苗預(yù)防乙肝的。我遵循學(xué)生的認(rèn)知規(guī)律，將教材進(jìn)行了順序的調(diào)整，先講病毒性肝炎的危害，再講傳播途徑，最后講預(yù)防方法。教學(xué)目標(biāo)：

1、了解病毒性肝炎的種類、癥狀、危害和傳播途徑。

2、學(xué)會(huì)預(yù)防病毒性肝炎的常見措施。

3、培養(yǎng)良好的飲食衛(wèi)生習(xí)慣，提高預(yù)防疾病的能力。教學(xué)重難點(diǎn)：

1、了解病毒性肝炎的相關(guān)知識(shí)。

2、提高預(yù)防疾病的能力。授課年級(jí)：8年級(jí) 教學(xué)課時(shí)：一課時(shí) 課型：新授課

教學(xué)用具準(zhǔn)備：人體模型、電教設(shè)備 教法學(xué)法：

1.師講授法：用通俗易懂的兒童語(yǔ)言講授學(xué)生難以理解的知識(shí)點(diǎn)。2.資料補(bǔ)充法：用圖片，人體模型，視頻、收集的小知識(shí)幫助學(xué)生理解知識(shí)點(diǎn)。

3.小組討論法：給出話題學(xué)生結(jié)合書本知識(shí)聯(lián)系生活實(shí)際，展開討論，內(nèi)化知識(shí)。

4.辨析判斷法：讓學(xué)生應(yīng)用所學(xué)的知識(shí)進(jìn)行試題的辨析。教學(xué)手段：

1、圖片——肝臟圖片，正常肝與病毒入侵的肝的對(duì)比圖片，毛蚶。

2、視頻——我國(guó)乙肝的現(xiàn)狀，健康操。

3、辨析題

4、小資料——上海因生吃毛蚶導(dǎo)致甲肝大流行，我國(guó)是如何預(yù)防乙肝。這樣設(shè)計(jì)，第一，可以更加具體形象的讓學(xué)生認(rèn)識(shí)到與肝臟有關(guān)的知識(shí)，并解釋模糊的名詞。第二，可以改變學(xué)生的學(xué)習(xí)方式，調(diào)動(dòng)學(xué)生參與課堂的積極性。第三，可以擴(kuò)充學(xué)生的知識(shí)面，使學(xué)生更加全面的認(rèn)識(shí)病毒性肝炎。第四，學(xué)習(xí)新知后，立刻通過辯析判斷進(jìn)行鞏固復(fù)習(xí)，使學(xué)生對(duì)所學(xué)知識(shí)體會(huì)更深。教學(xué)過程：

一、課前導(dǎo)入

師：上一個(gè)單元，我們學(xué)習(xí)了《體育鍛煉》的知識(shí)，從這節(jié)課開始我們將學(xué)習(xí)有關(guān)《疾病預(yù)防》的知識(shí)。今天我們談到的這個(gè)疾病，與我們身體的某個(gè)器官有關(guān)系。

二、探索新知

（一）認(rèn)知肝炎的基本常識(shí) 1.出示圖片

師：同學(xué)們認(rèn)識(shí)它嗎？（肝臟）

大家對(duì)肝臟有哪些了解呢？

肝臟是最主要的造血機(jī)器，它還能幫我們排除體內(nèi)有毒的物質(zhì)。2.出示模型

師：這是一個(gè)人體模型，仔細(xì)觀察，誰(shuí)能準(zhǔn)確的指出肝臟所在的位置？

師：我們的肝大部分在右邊肋骨的下方，小部分在左邊肋骨下。

大家都用手來(lái)摸摸自己肝臟的位置。

同學(xué)們，肝的表面很軟很脆，很容易感染病毒。一旦感染到肝炎病毒就會(huì)引起肝臟病變，影響我們的身體健康。我們把這叫做病毒性肝炎。（板書：病毒性肝炎）病毒性肝炎是一種全身性的傳染病。3．再次出示圖片

師：這是一個(gè)正常的肝臟，如果有肝炎病毒入侵，就會(huì)變成這樣。師：說(shuō)說(shuō)能看到圖片后的感受？ 4.了解病毒性肝炎分類

師:醫(yī)生們根據(jù)肝炎病毒的種類，將它們分成了不同類型的肝炎。你們知道病毒性肝炎有哪些種類嗎？ 5.了解肝炎的臨床表現(xiàn)

師： 人一旦得了肝炎身體會(huì)有那些癥狀呢？ 師介紹：

局部癥狀：甲型肝炎一般1周后出現(xiàn)黃疸，表現(xiàn)為尿色發(fā)黃和皮膚鞏膜黃染。

乙型肝炎皮膚臉色變黃，甚至眼睛，痰都會(huì)隨之變黃；

全身癥狀：身體發(fā)燒、關(guān)節(jié)痛、乏力、食欲不振、惡心甚至嘔吐、腹脹，腹瀉。沒有力氣，容易疲勞，打不起精神，睡不著覺、睡覺愛做夢(mèng)，有的時(shí)候，全身會(huì)腫。

師：看來(lái)肝炎的一些癥狀和普通感冒很相似，當(dāng)我們出現(xiàn)身體不適時(shí)，應(yīng)該立刻去醫(yī)院做全面檢查。6.觀看視頻 師：在我國(guó)，患肝病的人很多，尤其是乙肝。現(xiàn)在咱們來(lái)看看我國(guó)現(xiàn)乙肝的發(fā)病現(xiàn)狀。

師：看完視頻之后，你有什么感受？

你們知道，為什么這么多人因?yàn)橐腋味劳鰡幔?因?yàn)榈浆F(xiàn)在為止還沒有一種特效藥能治療肝炎。7.肝炎的傳染途徑

師：肝炎給人的身體造成了這么大的危害，為了使我們能更健康的成長(zhǎng)，我們必須從預(yù)防開始.(板書：預(yù)防)要預(yù)防肝炎，我們首先要去了解這種疾病的傳播途徑。翻開書14頁(yè)，仔細(xì)閱讀“病毒性肝炎的傳染途徑”，看看你了解到了什么信息。（板書：傳播途徑）

甲型肝炎是怎么傳染的？（上海因生吃毛蚶導(dǎo)致甲肝大流行的例子）

乙型肝炎是怎么傳染的？（母嬰傳染）8．辨析判斷

與甲型肝炎患者共同進(jìn)餐。（）用消毒不徹底的針頭。（）與乙肝患者有一般的身體接觸，如握手、擁抱。（）課間律動(dòng)：健康操

二、病毒性肝炎的預(yù)防

1、看書學(xué)習(xí)

師：了解了肝炎的傳播途徑，我們就可以很好的預(yù)防了。書本16頁(yè)給了我們一些小建議。（板書：預(yù)防措施）

師：如果你的周圍有人得了肝炎，應(yīng)該怎樣做好個(gè)人防護(hù)工作？小組討論。2.辨析判斷

師：你們看這樣做對(duì)嗎？

飯前便后用皂洗手是預(yù)防肝炎的好習(xí)慣。（）放學(xué)后經(jīng)常到校外買5角錢的辣條或吃推車上的臭干子不易被傳染肝炎。（）要堅(jiān)持餐具消毒和自帶餐具進(jìn)餐。（）

接種疫苗。（）3.出示小資料

師：我國(guó)如何預(yù)防肝炎。

1991年以前我國(guó)屬乙肝高流行地區(qū)，從1992年開始衛(wèi)生部將乙肝疫苗納入計(jì)劃免疫管理，從1992年1月1日開始，所有新生兒都要接種乙肝疫苗。2005年6月11日開始為免費(fèi)接種，經(jīng)十七年努力，我國(guó)由乙肝高流行區(qū)變?yōu)橹械攘餍械貐^(qū)。乙肝患病率已逐步下降。

三、小結(jié)收獲，養(yǎng)成良好習(xí)慣 1．通過今天的學(xué)習(xí)你有什么收獲？

2.只要我們積極行動(dòng)起來(lái)，阻斷傳播途徑，增強(qiáng)體質(zhì)，講究衛(wèi)生，大家都可以少得、不得傳染病。板書設(shè)計(jì)

預(yù)防病毒性肝炎

傳播途徑 預(yù)防措施

勤洗手

甲型 經(jīng)口傳播 不亂吃 帶餐具 乙型 血液傳播 種疫苗 課后反思：

1、有效整合。一節(jié)課了解關(guān)于肝炎的基本常識(shí)，以及病毒性肝炎的預(yù)防，所有知識(shí)點(diǎn)融會(huì)貫通，使學(xué)生在一個(gè)全面的系統(tǒng)內(nèi)對(duì)病毒性肝炎有所了解。

2、活動(dòng)激趣。采用多種教學(xué)手段調(diào)動(dòng)學(xué)生學(xué)習(xí)新知、參與課堂的積極性，看圖片、人體模型、視頻和課間律動(dòng)，還有最為激烈的知識(shí)辨析，學(xué)生們的積極性都是非常高的，使課堂能輕松而有效。

3、鞏固復(fù)習(xí)。學(xué)習(xí)新知后，立刻通過情境問答和辯析判斷進(jìn)行鞏固復(fù)習(xí)，使學(xué)生對(duì)所學(xué)知識(shí)體會(huì)更深。

4、愛的教育。教育學(xué)生，雖然乙肝很可怕，但我們不能歧視乙肝病者，應(yīng)該給他們更多的關(guān)愛。

第五篇：如何預(yù)防諾如病毒

如何預(yù)防諾如病毒

諾如病毒是急性腸胃炎最常見的病原體，該病毒基因多樣且高度變異，每隔數(shù)年就會(huì)出現(xiàn)新變異株，人一生中可多次獲得感染。諾如病毒感染通常表現(xiàn)為自限性疾病，預(yù)后良好。

一、臨床特征：

最常見的癥狀是腹瀉、嘔吐、反胃、惡心和胃痛，其他包括發(fā)熱、頭痛和全身酸痛等。多數(shù)患者發(fā)病后1-3天即可康復(fù)。如頻繁嘔吐或腹瀉，可導(dǎo)致脫水，引起嚴(yán)重的健康問題，尤其常見于幼小兒童、老年人和基礎(chǔ)性疾病患者。脫水主要表現(xiàn)為少尿、口干、咽干、站立時(shí)感頭暈?zāi)垦＃趦和锌杀憩F(xiàn)為啼哭無(wú)淚或少淚、異常瞌睡或煩躁。

二、傳播：

諾如病毒傳染性強(qiáng)，所有人群均易感。病人發(fā)病前至康復(fù)后2周，均可在糞便中檢到諾如病毒，但患病期和康復(fù)后三天內(nèi)是傳染性最強(qiáng)的時(shí)期。通常通過以下途徑獲得感染：

1、食用或飲用被諾如病毒污染的食物或水；

2、觸摸被諾如病毒污染的物體或表面，然后將手指放入口中；

3、接觸過諾如病毒感染患者，如照顧患者、與患者分享食物或共用餐具。

諾如病毒在密閉場(chǎng)所中（如托幼機(jī)構(gòu)、幼兒園、學(xué)校、養(yǎng)老院、游船等）傳播速度快，易引起暴發(fā)。

三、治療：

尚無(wú)特異的抗病毒藥物。患者應(yīng)補(bǔ)充足夠的水分以預(yù)防脫水。輕度脫水時(shí)，運(yùn)動(dòng)飲料或其他飲品（不含咖啡因或酒精）可起到一定的補(bǔ)水效果，但不能補(bǔ)充重要的營(yíng)養(yǎng)成分和礦物質(zhì)，因此，在藥店購(gòu)買口服補(bǔ)水溶液是最有效的治療方法。嚴(yán)重脫水時(shí)應(yīng)及時(shí)住院輸液治療。

四、預(yù)防：

1、注意洗手衛(wèi)生，用肥皂和清水認(rèn)真洗手，尤其在如廁和更換尿布后，以及每次進(jìn)食、準(zhǔn)備和加工食物前。

2、水果和蔬菜食用前應(yīng)認(rèn)真清洗，牡蠣和其他貝類海產(chǎn)品應(yīng)深度加工后食用。諾如病毒抵抗力較強(qiáng)，在60℃高溫或經(jīng)快速汽蒸仍可存活。

3、提倡喝開水，飲用桶裝水選擇質(zhì)量有保證的品牌，并且水要燒開飲用，不要冷熱水混合飲用，避免因桶裝水污染引起發(fā)病。

4、諾如病毒感染兒童應(yīng)遠(yuǎn)離廚房或食物加工場(chǎng)所。

5、諾如病毒感染病人患病期至康復(fù)后3天內(nèi)不能準(zhǔn)備加工食物或?yàn)槠渌颊吲阕o(hù)。

6、及時(shí)用含氯漂白劑或其他有效消毒劑清洗消毒被患者嘔吐物或糞便污染的表面，立即脫掉和清洗被污染的衣物或床單等，清洗時(shí)應(yīng)戴上橡膠或一次性手套，并在清洗后認(rèn)真洗手。