子任務4-1-1 認識ARP病毒

4.1任務概述小明忙碌了一星期，終于完成了預期的目標任務，如釋重負，開心地登陸了傳奇服務器，但沒一會就斷線了；檢查網(wǎng)絡卻發(fā)現(xiàn)沒問題切換到病毒主機上網(wǎng)后，病毒主機就會經(jīng)常偽造斷線的假像，那么用戶就得重新登錄傳奇服務器，這樣病毒主機就可以盜號了。上述現(xiàn)象到底是中了什么病毒呢？4.2情境描述怎樣防御病毒？什么是病毒？病毒有哪些特點？如何識別病毒？12344.3任務分析怎樣防御惡意網(wǎng)頁？5了解病毒工作原理掌握病毒癥狀掌握中毒現(xiàn)象掌握病毒清除方法學習目標：知識目標技能目標態(tài)度目標會識別病毒能使用適當方法清除病毒能攔截惡意網(wǎng)頁能修復瀏覽器起始頁培養(yǎng)認真細致的工作態(tài)度和工作作風養(yǎng)成刻苦、勤奮、好問、獨立思考和細心檢查的學習習慣能與組員精誠合作，能正確面對他人的成功或失敗自學能力強，分析問題、解決問題能力和創(chuàng)新的能力1994年2月18日，我國正式頒布實施了《中華人民共和國計算機信息系統(tǒng)安全保護條例》，在其第二十八條中明確指出：“計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼?！贝硕x具有法律性、權威性。計算機病毒一般會具備一定的破壞性，導致數(shù)據(jù)丟失或損壞、感染更多的計算機等，因此需要了解病毒的原理、感染途徑然后清除，在未感染的時候需要設置一定的安全防御措施，避免感染病毒。首先應了解病毒、識別病毒4.1情境描述1.ARP病毒工作原理子任務4-1-1認識ARP病毒任務4-1常見病毒的清楚與防御在局域網(wǎng)內(nèi)設備間的正常通信是通過地址廣播，查找彼此的IP地址和MAC地址對應關系，這就是ARP（AddressResolutionProtocol，地址解析協(xié)議）通信。ARP病毒的工作原理就是破壞網(wǎng)絡設備（計算機、路由器、核心交換機、接入交換機等）的ARP表內(nèi)容，使得設備無法查到IP對應的正確MAC地址，導致報文發(fā)送錯誤，從而造成網(wǎng)絡通信癱瘓。子任務4-1-1認識ARP病毒任務4-1常見病毒的清楚與防御2.ARP病毒癥狀ARP病毒的癥狀非常多，變種也非常多，但其基本的攻擊方式主要有4種，具體如下。（1）癥狀1。所有計算機配置相同，處于同一個網(wǎng)段，唯獨小王的計算機無法上網(wǎng)，而且網(wǎng)線、網(wǎng)絡接口等都正常，計算機重啟后網(wǎng)絡恢復正常，過一段時間后，網(wǎng)絡又癱瘓。查看每臺計算機的ARP表，發(fā)現(xiàn)網(wǎng)關的MAC地址錯誤。如圖4-1-1所示，小王計算機的ARP表中，網(wǎng)關192.168.1.100的MAC地址已被修改另外一臺計算機的地址，導致計算機無法再同網(wǎng)關通信，自然也就無法上網(wǎng)了。圖4-1-1查看計算機ARP緩存表網(wǎng)關192.168.1.100的MAC地址原為00-15-AF-A3-71-4A。子任務4-1-1認識ARP病毒（2）癥狀2。網(wǎng)絡中的計算機逐臺掉線，最后導致全部無法上網(wǎng)。管理員查看路由器ARP表項，發(fā)現(xiàn)各臺計算機的MAC地址不正確，如圖4-1-2所示。重啟路由器后恢復正常，但過一段時間計算機又開始掉線。圖4-1-2查看路由器ARP緩存表子任務4-1-1認識ARP病毒（3）癥狀3小王在上網(wǎng)時突然掉線，一會又恢復了，但恢復后上網(wǎng)一直很慢，而且在與局域網(wǎng)內(nèi)的其他計算機共享文件時速度也變慢。查看小王所有用計算機的ARP表，發(fā)現(xiàn)網(wǎng)關MAC地址已被修改，而且網(wǎng)關上該計算機的MAC地址也是偽造的。該計算機和網(wǎng)關之間的所有流量都中轉(zhuǎn)到另外一臺計算機上了。這叫做ARP“中間人（Maninthemiddle）”攻擊，又稱為ARP雙向欺騙。惡意攻擊者（主機B）想探聽主機A和主機C之間的通信，于是分別給這兩臺主機發(fā)送偽造的ARP應答報文，使主機A和主機C用MAC_B更新自身ARP映射表中與對方IP地址相應的表項。此后，主機A和主機C之間看似“直接”的通信，實際上都是通過主機B進行的，即主機B擔當了“中間人”的角色，可以對信息進行竊取和篡改。子任務4-1-1認識ARP病毒子任務4-1-1認識ARP病毒（4）癥狀4網(wǎng)絡中用戶上不了網(wǎng)或者網(wǎng)速很慢，但ARP表項都很正確，不過在網(wǎng)絡中抓取報文進行分析時卻發(fā)現(xiàn)大量ARP請求報文（正常情況時，網(wǎng)絡中ARP報文所占比例很?。?。這是因為惡意用戶利用工具構造大量ARP報文發(fā)往交換機、路由器或某臺計算機的某個端口，導致CPU因忙于處理ARP報文而負擔過重，從而造成設備其他功能不正常甚至導致網(wǎng)絡癱瘓。3.判斷是否中毒（1）命令查看如果想用簡單的方法判斷計算機是否中了ARP病毒，可使用arp–a命令。如果在ARP緩存表中發(fā)現(xiàn)不同主機的MAC地址一樣，或者出現(xiàn)MAC地址錯誤的主機，或者出現(xiàn)網(wǎng)關的MAC地址（IP地址）與原有網(wǎng)關的MAC地址（IP地址）不一樣，則證明中了ARP病毒。子任務4-1-1認識ARP病毒任務4-1常見病毒的清楚與防御arp-a或arp–g——用于查看高速緩存中的所有項目。-a和-g參數(shù)的結(jié)果是一樣的，一般情況下g參數(shù)用于在UNIX平臺上顯示ARP高速緩存中所有項目的選項，而a參數(shù)用于Windows平臺。如果存在多個網(wǎng)卡，那么使用arp-a加上接口的IP地址，就可以只顯示與該接口相關的ARP緩存項目，如圖4-1-3所示。子任務4-1-1認識ARP病毒