毕业设计（论文）局域网发展与分析.doc

1 绪论1.1 课题的选题背景网络的迅速发展，在给人类生活带来方便的同时，也对网络安全提出了更高的要求。网络协议安全是网络安全的重要环节，因此对网络协议的分析和利用越来越受到特别关注。互联网的发展很大程度上归功于TCP/IP协议运行的高效性和开放性，然而TCP/IP协议在实现过程中忽略了对网络安全方面的考虑，致使其存在着较多的安全隐患。ARP协议是TC/IP协议中的重要的一员，其功能主要是为局域网网络设备提供IP地址向硬件地址的转化，其设计建立在局域网内网络设备之间相互信任的基础上，由此产生了许多ARP欺骗攻击方法。许多木马和病毒利用ARP协议这一设计上的漏洞在局域网内进行ARP欺骗攻击，给局域网的安全造成了严重的威胁。为解决ARP欺骗给局域网带来的安全问题，目前已有许多学者在这方面做了有意义的探索与实践，尽管某些方案在实际项目的应用中已相对成熟，但在防御能力上仍存在着一定的局限性。本文针对ARP的工作机制和ARP的协议格式来论述ARP欺骗产生的原因和介绍常见的ARP欺骗以及现有的防御ARP欺骗的方法。 传统的局域网的设计刚开始并没有意识到ARP病毒的威胁，这就造成了后来ARP病毒的泛滥，传统的局域网示意图如下：图1-1普通局域网 课题研究的目的为了能满足现代化局域网的要求，课题中分析了ARP病毒产生的原因，提出了解决ARP病毒的方法，并提出了未来局域网设计过程应注意的问题。解决ARP病毒，维护局域网的安全，保证企事业单位日常工作正常进行。1.3 局域网产生的背景和概述局域网（Local Area Network）是在一个局部的地理范围内(如一个学校、工厂和机关内)，将各种计算机。外部设备和数据库等互相联接起来组成的计算机通信网。它可以通过数据通信网或专用数据电路，与远方的局域网、数据库或处理中心相连接，构成一个大范围的信息处理系统。简称LAN，是指在某一区域内由多台计算机互联成的计算机组。“某一区域”指的是同一办公室、同一建筑物、同一公司和同一学校等，一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、扫描仪共享、工作组内的日程安排、电子邮件和 通信服务等功能。局域网是封闭型的，可以由办公室内的两台计算机组成，也可以由一个公司内的上千台计算机组成。1.4 局域网的现状和应用 随着网络的快速发展，局域网得到了广泛的应用，企事业单位都会创建一个属于自己的局域网，所以局域网的应用已经普及到我们的日常生活中。局域网的出现是网络有了内网和外网之分，由于外网的不安全性和不保密性，使得日常工作难以使用外网进行工作，所以局域网就诞生了，局域网的产生极大的增强了网络的安全性和保密性，就使得我们好像是在一个封闭的体系里面进行我们日常的工作，不会收到外界的影响，保证日常的工作正常进行。 局域网未来技术发展趋势随着Internet应用的迅猛发展，以及便携机、PDA（Personal Data Assistant）等移动智能终端的使用的日益增长，给广大用户提供了诸多便利（随时随处自由接入Internet、能享受更多的业务、安全且有保障的网络），成为发展的必然。在接入速率和适应环境上与3G技术互为补充的WLAN（Wireless Local Area Network）无线局域网迅猛发展，成为新一代高速无线接入网络。无线局域网被看作传统有线网络的延伸，在某些环境还可以替代传统的有线网络。与之相比，无线局域网有以下显著的益处：移动性：在服务区域，无线局域网用户可随时随地访问信息；设备安装快速、简单、灵活：无线局域网系统消除布线的繁琐工作，网络可遍及有线不能到达的地方；减少投资：无线网络减少了布线的费用，应用在频繁移动和变化的动态环境中，投资回报高；扩展能力：无线局域网可组成多种拓扑结构，轻易从少数用户的对等网络模式扩展到上千用户的结构化网络。2系统的分析与设计 局域网的定义从直观来说，网络就是互相连接的独立自主的计算机的集合，计算机通过网线，同轴电缆，光纤或无线的方式连接起来，使资源得以共享，每台计算机是独立自主的，相互之间没有从属关系。按地理位置分类，我们将计算机网络分为局域网(LAN)、城域网(MAN)和广域网(WAN)。网络覆盖的地理范围是网络分类的一个非常重要的度量参数，因为不同规模的网络将采用不同的技术。所谓的局域网(Local Area Network，简称LAN)，是指范围在几十米到几千米内办公楼群或校园内的计算机相互连接所构成的计算机网络。一个局域网可以容纳几台至几千台计算机。按局域网现在的特性看，计算机局域网被广泛应用于校园、工厂及企事业单位的个人计算机或工作站的组网方面。 局域网设计的基本原则局域网设计的基本原则是目前局域网设计的重要准则。从目前我国局域网的设计情况来看，局域网设计的基本原则有：1）实用性：建设局域网的目的是满足用户的需求，用户的需求是规划的基础。在没有充分理解用户需求的情况下进行网络设计，最终必然不能达到建设要求。网络往往需要满足各个用户的不同需求，从而满足整个组织机构的所有业务需求。实用性也就是组网设计要以人为本。 2）可扩充性：组网设计的时候，应该关注未来的技术发展方向，不采用限制新技术发展的技术标准。比如多播是未来的发展趋势，组网设计者应该保证在新技术得到普及的时候，所设计的局域网无需就现有的设备全部撤换，而只需要具有网络扩展和升级选项的硬件和软件就可实现新的功能。3）开放性：组网设计应采用当前最新国际标准的软硬件以及开放的技术，开放的结构，开放的系统组建和用户接口，使网络系统具备与多种协议计算机通信网络互联的特性，为未来的横向扩展提供必要的条件。4）成本有效性：充分考虑资金投入能力，应该以最好的性价比去构建网络系统，组网设计并非是一味追求高性能，因为高性能往往意味着高投资，如果网络系统的投入超出该系统带来的利润，这显然是不合适的，另外该高性能网络系统未必得到充分利用。所以组网设计应该根据用户的应用需求，在满足系统性能以及考虑到在可预见期间不失先进性的前提下，尽量使整个系统投资合理且实用性强。5）可管理性：计算机网络具有一定的复杂性，随着网络的发展，其管理必然越来越繁重。所以网络设计者应该建立一套完善的网络管理解决方案。通过先进的管理策略、管理工具提高网络运行的可管理性和可靠性，简化网络维护工作。6）安全可靠性：为了保证各项应用的实现，所设计的网络必须具有高可靠性。应该尽量避免系统的单点故障，应提供冗余措施，并采用先进的网络管理技术，对网络信息流量进行实时监控，并对数据进行处理，及时查出并排除故障。同时采取合适的安全措施，如设置防火墙等等。 局域网的特点从功能上讲，局域网有以下特点：1）共享传输信道；2）范围有限；3) 传输速率高；4) 工作可靠。从网络体系结构和传输控制规程来看，计算机局域网的特点是：1) 底层协议简单，由于局域网距离短、时延小、传输速率高、误码率低，相对而言信道的利用率不再是考虑的主要问题，因而底层协议比较简单，允许报文有较大的报头尺寸；2) 小型的计算机局域网不需要中间转接，不单独设置网络层，但是如果局域网通过交换机、路由器等连接起来，并需要提供各种服务，则需要网络层，一般局域网的体系结构相当于OSI模型中的最低两层；3) 采用多种访问控制方式。由于可以采用的传输介质多样化，局域网有多种媒体访问控制包括载波监听多路访问/冲突检测技术、令牌环控制技术、令牌总线控制技术、光纤分布式数据接口。 局域网参考模型1982年2月，电器和电子工程师协会（IEEE）成立了IEEE 802委员会，之后该委员会制定了一系列局域网标准，称为IEEE 802标准。1983年，该标准被美国国家标准局（ANSI）接受为美国国家标准，1984年3月，ISO将该标准定为国际标准。按照IEEE 802标准，局域网体系结构由物理层、媒体访问控制子层（MAC，Media Access Control）和逻辑链路控制子层（LLC，Logical Link Control）组成。图2-1局域网参考模型 局域网的分类2.4.1 按传输介质分类按照网络的传输介质分类，可以将计算机网络分为有线网络和无线网络两种。某个局域网通常采用单一的传输介质，比如目前较流行双绞线，而城域网和广域网则可以同时采用多种传输介质，如光纤、同轴细缆、双绞线等。一 有线网络有线网络指采用同轴电缆、双绞线、光纤等有线介质来连接的计算机网络。采用双绞线联网是目前最常见的联网方式。它价格便宜，安装方便，但易受干扰，传输率较低，传输距离比同轴电缆要短。光纤网采用光导纤维作为传输介质，传输距离长，传输率高，抗干扰性强，现在正在迅速发展。二 无线网络无线网络采用微波、红外线、无线电等电磁波作为传输介质。由于无线网络的联网方式灵活方便，不受地理因素影响，因此是一种很有前途的组网方式。目前，不少大学和公司已经在使用无线网络了。无线网络的发展依赖于无线通信技术的支持。目前无线通信系统主要有：低功率的无绳 系统、模拟蜂窝系统、数字蜂窝系统、移动卫星系统、无线LAN和无线WAN等。2.4.2 按拓扑结构分类 网络拓扑结构是指一个网络中各计算机节点之间互联的几何形状。任意一种局域网的访问控制方式都规定了它们各自的网络拓扑结构。局域网的网络拓扑结构通常分为3种，分别是总线状拓扑结构、星状拓扑结构和环状拓扑结构。1） 总线状拓扑结构：所有节点都通过相应硬件接口连接到一条无源公共总线上，任何一个节点发出的信息都可沿着总线传输，并被总线上其他任何一个节点接收，它的传输方向是从发送点向两端扩散传送，是一种广播式结构。在LAN中，采用带有碰撞检测的载波侦听多路访问，即CSMA/CD方式。每个节点的网卡上有一个收发器，当发送节点发送的目的地址与某一节点的接口地址相符，该节点即接收该信息。总线结构的优点是安装简单、易于扩充、可靠性高，一个节点损坏，不会影响整个网络工作。缺点是一次仅能一个端用户发送数据，其他端用户必须等到获得发送权，媒体访问获取机制较复杂。如图2-2所示 图2-2 总线状拓扑结构2） 星状拓扑结构：也称为辐射网，它将一个点作为中心节点，该点与其他节点均有线路连接。具有N个节点的星状网至少需要N1条传输链路。星状网的中心节点就是转接交换中心，其余N1个节点间相互通信都要经过中心节点来转接，在数据网络中，这种设备是主机或集线器。因而该设备的交换能力和可靠性会影响网内所有用户。星状拓扑结构的优点是：利用中央节点可方便地提供服务和重新配置网络；单个连接点的故障只影响一个设备，不会影响全网，容易检测和隔离故障，便于维护；任何一个连接只涉及到中央节点和一个站点，因此控制介质访问的方法很简单，从而访问协议也十分简单。星状拓扑结构的缺点是：每个站点直接与中央节点相连，需要大量电缆，因此费用较高；如果中央节点产生故障，则全网不能工作，所以对中央节点的可靠性和冗余度要求很高，中心系统通常采用双机热备份来提高系统的可靠性。如图2-3所示 图2-3 星状拓扑结构3） 环状拓扑结构：环状结构中的各节点通过有源接口连接在一条闭合的环状通信线路中，是点点式结构。环状网中每个节点发送的信息流按环路设计的流向流动。为了提高可靠性，可采用双环或多环等冗余措施来解决。目前的环状结构中采用了一种多路访问部件MAU，当某个节点发生故障时，可以自动旁路，隔离故障点，这也使可靠性得到了提高。环状结构的优点是实时性好，信息吞吐量大，网的周长可达200km，节点可达几百个。但因环路是封闭的，所以扩充不便。这种结构在IBM于1985年推出令牌环网后，已被人们接受。目前推出的FDDI网就是使用这种双环结构。如图2-4所示 图2-4 环状拓扑结构3 ARP病毒的分析 ARP病毒的简介ARP地址欺骗类病毒（以下简称ARP病毒)是一类特殊的病毒，该病毒一般属于木马病毒，不具备主动传播的特性，不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包，干扰全网的运行，因此它的危害比一些蠕虫还要严重得多。arp病毒并不是某一种病毒的名称，而是对利用arp协议的漏洞进行传播的一类病毒的总称。arp协议是TCP/IP组的一个协议，用于进行把网络地址翻译成物理地址（又称MAC地址）。通常此类攻击的手段有两种：路由欺骗和网关欺骗。是一种入侵电脑的木马病毒。对电脑用户私密信息的威胁很大。ARP欺骗分为两种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是通过截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种欺骗的原理是通过伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线”。 ARP病毒产生的原因一ARP工作机制在数据链路层上识别主机的依据是物理地址，要想在两台主机之间传输数据就必须知道对方的物理地址，对于以太网来说，就是以太网网卡的物理地址。而在网络层及以上的数据通信使用的主机的IP地址，所以当数据由高层协议到达数据链路层时，就需要将IP地址转化为物理地址。这个转化的过程实际上就是地址映射。地址解析协议（Addresss Ressolution Protocol,ARP)就是为这两种不同的地址形式提供映射，负责完成在IP地址及数据链路层地址之间的映射。如图3-1所示 图3-1 ARP实现过程二ARP协议格式ARP报文由一个帧的数据部分所携带如图3-2所示。下面分别简述ARP分组中的各个字段的有关内容： 图3-2 ARP协议格式1. 以太网报头中的前两个字段是以太网的目的地址和源地址。目的地址为全1的特殊地址是广播地址。2. 两个字节长的以太网帧类型表示后面数据的类型。对于ARP请求或应答来说，该字段的值为0x0806.3. 硬件类型字段表示硬件地址的类型。它的值为1即表示以太网的地址。协议类型字段表示要映射的协议地址类型，它的值为0x0800即表示IP地址。它的值与包含IP数据包的以太网数据帧中的类型字段的值相同。4. 接下来的两个1字节的字段，硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度，以字节为单位。对于以太网上IP地址的ARP请求或应答来说，它们的值分别为6或4.5. 操作字段指出四种操作类型，它们是ARP请求（值为1），ARP请求（值为2），RARP请求（值为3）和RARP应答（值为4）。这个字段是必需的，因为ARP请求和ARP应答的帧类型字段是相同的。6. 接下来的四个字段是发送端的硬件地址，发送端的协议地址，目的端的硬件地址和目的端的协议地址。 对于一个ARP请求来说，除目的端硬件地址外所有其他的字段都有填充值。当系统收到一份目的端为本机的ARP请求报文后，它就把硬件地址填进去，然后用两个目的端地址分别替换两个发送端地址，并把操作字段置为2，最后把它发送回去。 三ARP欺骗产生的原因ARP(Address Resolution Protocol)的工作机制在以太网中传输的数据包是以太包，而以太包是依据其首部的MAC地址来进行寻址的。发送方必须知道目的主机的MAC地址才能向其发送数据。ARP协议的作用就在于把IP地址转换成物理地址。为避免频繁发送ARP包进行寻址，在实际的工作过程中，每台主机都有一个ARP缓存表，其中记录了最近一段时间内其它IP地址与其MAC地址的对应关系。如果本机想与某台主机通信，则首先在ARP缓存表中查找这台主机的IP和MAC信息，若存在，则直接利用此MAC地址构造以太包；若不存在，则向网络上广播一个ARP请求包。目的主机收到此请求包后，发送一个ARP应答包。本机收到此应答包后，把相关信息记录在ARP缓存中，然后再进行发送。由此可见，ARP协议是有缺陷的。一台恶意的主机如果构造一个ARP欺骗包，源主机就无法分辨真假，由此产生了ARP欺骗。不难发现，ARP协议是建立在信任局域网内所有节点的基础上的，它很高效，但却很不安全。由ARP的协议格式，我们知道它是一个无状态的协议，不会检查自己是否发过请求包，也不管是否是合法的应答，只要收到目标MAC是自己的ARP请求，都会接受并存入ARP缓存，这就为ARP欺骗提供了方便。 ARP攻击时的主要现象1. 网上银行，游戏及QQ账号的频繁丢失一些人为了获取非法利益，利用ARP欺骗程序在网内进行非法活动，此类程序的主要目的在于破解账号登陆时的加密解密算法，通过截取局域网中的数据包，然后以分析数据通讯协议的方法截获用户的信息。运行这类木马病毒，就可以获得整个局域网中上网用户账号的详细信息并盗取。 2.网速时快时慢，极其不稳定，但单机进行光纤数据测试时一切正常当局域网内的某台计算机被ARP的欺骗程序非法侵入后，它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包，阻塞网络通道，造成网络设备的承载过重，导致网络的通讯质量不稳定。 3.局域网内频繁性区域或整体掉线，重启计算机或网络设备后恢复正常当带有ARP欺骗程序的计算机在网内进行通讯时，就会导致频繁掉线，出现此类问题后重启计算机或禁用网卡会暂时解决问题，但掉线情况还会发生。 ARP病毒原理 一 网络模型简介众所周知，按照OSI（Open System Interconnection Reference Model,开放系统互联参考模型)的观点，可将网络系统划分为7层结构，每一个层次上运行着不同的协议和服务，并且上下层之间互相配合，完成网络数据交换的功能。OSI的模型如图3-3所示 图3-4 OSI七层模型二 ARP协议简介 在局域网中，一台主机要和另一台主机进行通信，必须要知道目标主机的IP地址，但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的，只能识别硬件地址即MAC地址。MAC地址是48位的，通常表示为12个16进制数，每2个16进制之间用“-”或者冒号隔开，如:00-0B-2F-1A-11就是一个MAC地址。每一块网卡都有有其全球唯一的MAC地址，网卡之间发送数据，只能根据对方网卡的MAC地址进行发送，这时就需要一个将高层数据包中的IP地址转换成低层MAC地址协议，而这个重要的任务将由ARP协议完成。ARP全称为Address Resolution Protocol,地址解析协议。所谓"地址解析"就是主机在发送数据包前将目标主机IP地址转换成目标主机MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。这时就涉及到一个问题，一个局域网中的电脑少则几台，多则上百台，这么多的电脑之间，如何能准确的记住对方电脑网卡的MAC地址，以便数据的发送呢？这就涉及到了另外一个概念，ARP缓存表。在局域网的任何一台主机中，都有一个ARP缓存表，该表中保存这网络中各个电脑的IP地址和MAC地址的对照关系。当这台主机向同局域网中另外的主机发送数据的时候，会根据ARP缓存表里的对应关系进行发送。三ARP欺骗过程 ,， 。 MAC地址分别为MAC_A，MAC_S，MAC_D。 现在，S电脑要给D电脑发送数据了，在S电脑内部，上层的TCP和UDP的数据包已经传送到了最底层的网络接口层，数据包即将要发送出去，但这时还不知道目的主机D电脑的MAC地址MAC_D。这时候，S电脑要先查询自身的ARP缓存表，查看里面是否有192.168.0.4这台电脑的MAC地址，如果有，那很好办，就将封装在数据包的外面。直接发送出去即可。如果没有，这时S电脑要向全网络发送一个ARP广播包，大声询问：“我的IP是192.168.0.3，硬件地址是MAC_S，我想知道IP地址为192.168.0.4的主机的硬件地址是多少？” 这时，全网络的电脑都收到该ARP广播包了，包括A电脑和D电脑。A电脑一看其要查询的IP地址不是自己的，就将该数据包丢弃不予理会。而D电脑一看IP地址是自己的，则回答S电脑：“我的IP地址是192.168.0.4，我的硬件地址是MAC_D”需要注意的是，这条信息是单独回答的，即D电脑单独向S电脑发送的，并非刚才的广播。现在S电脑已经知道目的电脑D的MAC地址了，它可以将要发送的数据包上贴上目的地址MAC_D，发送出去了。同时它还会动态更新自身的ARP缓存表，将192.168.0.4MAC_D这一条记录添加进去，这样，等S电脑下次再给D电脑发送数据的时候，就不用大声询问发送ARP广播包了。这就是正常情况下的数据包发送过程。这样的机制看上去很完美，似乎整个局域网也天下太平，相安无事。但是，上述数据发送机制有一个致命的缺陷，即它是建立在对局域网中电脑全部信任的基础上的，也就是说它的假设前提是：无论局域网中那台电脑，其发送的ARP数据包都是正确的。那么这样就很危险了！因为局域网中并非所有的电脑都安分守己，往往有非法者的存在。比如在上述数据发送中，当S电脑向全网询问“我想知道IP地址为192.168.0.4的主机的硬件地址是多少？”后，D电脑也回应了自己的正确MAC地址。但是当此时，一向沉默寡言的A电脑也回话了：“我的IP地址是192.168.0.4，我的硬件地址是MAC_A” ，注意，此时它竟然冒充自己是D电脑的IP地址，而MAC地址竟然写成自己的！由于A电脑不停地发送这样的应答数据包，本来S电脑的ARP缓存表中已经保存了正确的记录：192.168.0.4MAC_D，但是由于A电脑的不停应答，这时S电脑并不知道A电脑发送的数据包是伪造的，导致S电脑又重新动态更新自身的ARP缓存表，这回记录成：192.168.0.4MAC_A，很显然，这是一个错误的记录（这步也叫ARP缓存表中毒），这样就导致以后凡是S电脑要发送给D电脑，也就是IP地址为192.168.0.4这台主机的数据，都将会发送给MAC地址为MAC_A的主机，这样，在光天化日之下，A电脑竟然劫持了由S电脑发送给D电脑的数据！这就是ARP欺骗的过程，如图3-5所示 图3-5 ARP欺骗过程如果A这台电脑再做的“过分”一些，它不冒充D电脑，而是冒充网关，那后果会怎么样呢？我们大家都知道，如果一个局域网中的电脑要连接外网，也就是登陆互联网的时候，都要经过局域网中的网关转发一下，所有收发的数据都要先经过网关，再由网关发向互联网。在局域网中，网关的IP地址一般为192.168.0.1。如果A这台电脑向全网不停的发送ARP欺骗广播，大声说：“我的IP地址是192.168.0.1，我的硬件地址是MAC_A”这时局域网中的其它电脑并没有察觉到什么，因为局域网通信的前提条件是信任任何电脑发送的ARP广播包。这样局域网中的其它电脑都会更新自身的ARP缓存表，记录下192.168.0.1MAC_A这样的记录，这样，当它们发送给网关，也就是IP地址为192.168.0.1这台电脑的数据，结果都会发送到MAC_A这台电脑中！这样，A电脑就将会监听整个局域网发送给互联网的数据包！ 实际上，这种病毒早就出现过，这就是ARP地址欺骗类病毒。一些传奇木马（Trojan/PSW.LMir）具有这样的特性，该木马一般通过传奇外挂、网页木马等方式使局域网中的某台电脑中毒，这样中毒电脑便可嗅探到整个局域网发送的所有数据包，该木马破解了传奇游戏的数据包加密算法，通过截获局域网中的数据包，分析数据包中的用户隐私信息，盗取用户的游戏帐号和密码。在解析这些封包之后，再将它们发送到真正的网关。这样的病毒有一个令网吧游戏玩家闻之色变的名字：“传奇网吧杀手”。 ARP病毒新的表现形式由于现在的网络游戏数据包在发送过程中，均已采用了强悍的加密算法，因此这类ARP病毒在解密数据包的时候遇到了很大的难度。现在又新出现了一种ARP病毒，与以前的一样的是，该类ARP病毒也是向全网发送伪造的ARP欺骗广播，自身伪装成网关。但区别是，它着重的不是对网络游戏数据包的解密，而是对于HTTP请求访问的修改。HTTP是应用层的协议，主要是用于WEB网页访问。还是以上面的局域网环境举例，如果局域网中一台电脑S要请求某个网站页面，如想请求easynet.5d6d 这个网页，这台电脑会先向网关发送HTTP请求，说：“我想登陆easynet.5d6d 网页，请你将这个网页下载下来，并发送给我。”这样，网关就会将easynet.5d6d 页面下载下来，并发送给S电脑。这时，如果A这台电脑通过向全网发送伪造的ARP欺骗广播，自身伪装成网关，成为一台ARP中毒电脑的话，这样当S电脑请求WEB网页时，A电脑先是“好心好意”地将这个页面下载下来，然后发送给S电脑，但是它在返回给S电脑时，会向其中插入恶意网址连接！该恶意网址连接会利用MS06-014和MS07-017等多种系统漏洞，向S电脑种植木马病毒！同样，如果D电脑也是请求WEB页面访问，A电脑同样也会给D电脑返回带毒的网页，这样，如果一个局域网中存在这样的ARP病毒电脑的话，顷刻间，整个网段的电脑将会全部中毒！沦为黑客手中的僵尸电脑！ ARP病毒电脑定位法一 命令行法这种方法比较简便，不利用第三方工具，利用系统自带的ARP命令即可完成。上文已经说过，当局域网中发生ARP欺骗的时候，ARP病毒电脑会向全网不停地发送ARP欺骗广播，这时局域网中的其它电脑就会动态更新自身的ARP缓存表，将网关的MAC地址记录成ARP病毒电脑的MAC地址，这时候我们只要在其它受影响的电脑中查询一下当前网关的MAC地址，就知道中毒电脑的MAC地址了，查询命令为 ARP a，需要在cmd命令提示行下输入。二 工具软件法现在网上有很多ARP病毒定位工具，其中做得较好的是Anti ARP Sniffer（现在已更名为ARP防火墙）。三 Sniffer 抓包嗅探法当局域网中有ARP病毒欺骗时，往往伴随着大量的ARP欺骗广播数据包，这时，流量检测机制应该能够很好的检测出网络的异常举动，此时Ethereal 这样的抓包工具就能派上用场。3.7 ARP病毒的防治3.7 本章小结 作为目前网络的一个严重威胁-ARP病毒，本章简单介绍了ARP病毒，分析了ARP病毒产生的原因，通过了解ARP病毒和ARP病毒产生的原因，知道为什么会有ARP病毒，这对于防治ARP病毒提供了解决途径。作为一个常见的病毒，我们经常会遭遇一些ARP病毒攻击的常见的现象，比如：网络频繁掉线，密码泄漏等，这些都给我们带来了严重的威胁。因此，众多的软件提供商提出了一系列的解决方案，这些措施在一定程度上抑制了ARP病毒，但是离彻底解决ARP病毒还是有一定的距离。下面的章节将提出彻底解决ARP病毒的方法。 4. ARP病毒防治 局域网发展趋势随着Internet应用的迅猛发展，以及便携机，PDA（Personal Data Assistant)等移动智能终端的使用的日益增长，给广大用户提供了诸多便利（随时随处自由接入Internet，能享受更多的业务，安全且有保障的网络），成为发展的必然。无线局域网（Wireless LAN,以下简称WLAN)是20世纪90年代计算机网络与无线通信技术相结合的产物，它提供了使用无线多址信道的一种有效方法来支持计算机之间的通信，并为通信的移动化，个人化和多媒体应用提供了潜在的手段。一 无线局域网介绍 众所周知，世界上的网络种类繁多、形式不一，而从网络规模来说，都是由局域网络构成。目前大多数局域网采用有线方式连接，也有不使用有线方式相连的网络，不用有线将设备相连的局域网称为无线局域网WLAN。无线局域网是十几年前出现的一种局域网，正处于方兴未艾之际，发挥越来越重要的作用，不过无线局域网WLAN只能作为有线网络的扩展和补充。无线局域网WLAN是利用电磁波(红外线或无线电)实现通信而不需要任何硬件连接。无论是用红外线IR(infrared)还是无线电RF(Radio Frequency)，WLAN的基本结构分为基础设施网络和独立网络(或称为对等的网络)。典型的基础设施网络由接入点AP(Access Poinf)、通信终端(如带WLAN PC卡的移动电脑)，以太电缆组成，AP包括收发信机和天线。有线网络通过标准以太电缆连接到固定接入点AP，接入点将有线网络的信息通过无线方式发送给通信终端，这种基本结构是混合式的。因为WLAN主要作为有线网的扩展和补充，所以，这种结构是常见的基本结构。独立网络是通过配有适配器(或称为网卡)的通信终端直接进行通信。独立网络适用于经常变动的公司及无法安排电缆的大楼进行数月或数年的通信，也适用临时性(甚至不到一天)的通信。独立网络结构是最简单的无线局域网。有多种技术实现无线局域网WLAN。诸如，1EEE802.11、HiperLAN、OpenAir、Home RF、Bluetooth、Infrared等。IRDA是利用红外线，Bluetooth.SWAP.1EEE802.11是利用无线电，而无线电所采用的技术为扩频技术，扩频无线电技又分为跳频扩频FHSS(Frequenly_Hopping Spread sperctxum)和直接序列扩频DSSS(Direct sequence spread sperctrum)。二 无线局域网发展趋势 目前，无线局域网仍处于众多标准共存时期。每一标准的背后都有大公司或者大集团的支持。在美国和欧洲，形成了几个互不相让的高速无线标准：80211b（也有称WiFi）由3Com、Lucent、Apple、Cisco等公司支持，这个标准目前在北美非常流行；与其竞争的标准是由Intel、Proxim、Motorola、Compaq支持的HomeRF标准；美国IEEE创建了另外一种高速无线标准80211a，比当前的80211b技术快近5倍；欧洲电信标准委员会创建了一个很有竞争力的高速标准HyperLAN2，爱立信公司是主要的支持者，目前欧洲普遍采用HyperLAN2标准。现在，没有人能够解决无线互联标准不统一的问题，主要是因为行业发展太快而标准跟不上，造成标准“百花齐放”。有专家估计，最坏的情况是北美使用80211a标准而欧洲使用HyperLAN2标准。据悉，Intel、Microsoft和Compaq公司就下一代无线标准成立了一个机构，试图把欧美双方拉到一起，解决他们在标准上的分歧。还有一种说法，将来无线联网的标准都会归结到“蓝牙”。虽然多种标准并存，但并没有制约产业的迅速发展，原因是目前无线局域网一般还不能单独应用，只是作为局域网的备用或补充。就像宽带接入市场有ADSL、ISDN、CableModem等接入方式并没有妨碍用户利用宽带上网一样，同一个局域网中很少会用到不同标准的无线局域网，因此，不存在不同标准的WLAN之间互连的问题。从这个意义上来说，各大厂商坚持推出自己的产品和标准有其自身的道理，一般来讲，统一标准的产生都滞后于产品和市场，谁家的产品市场覆盖面最广，谁就有可能成为事实的标准。另外值得一提的是，目前在中国大陆市场中推广得比较成功的无线局域网产品，如Cisco和3Com的产品，均是支持80211b协议。在世界大学生运动会上和APEC会议期间，80211b都有成功的运用，这是否预示着80211b会成为中国的主流无线局域网标准呢？无线局域网的发展过程可以用“更快、更便宜”来形容。无线局域网技术已经相当成熟：速率从1Mbps增长到了54Mbps。但这还仅仅是个开始：无线局域网的标准出现仅有四个年头，高速无线局域网标准才刚刚度过其两周岁生日。随着标准的发展与无线网络产品的成熟，局域网能够覆盖有线网络所无法顾及的领域，它能够用传统联网成本的一个零头来进行高速连接。当然，无线局域网会在实用中发展，肯定还会不断有新的技术出现，如ATM无线局域网。总之，无线局域网应用广、市场大，前景不可估量。 无线局域网的标准无线局域网（WLAN）是20世纪90年代计算机网络与无线通信技术相结合的产物，它使用无线信道来接入网络，为通信的移动化、个人化和多媒体应用提供了潜在的手段，并成为宽带无线接入的有效途径之一。 但长期以来，WLAN的发展一直在由不同厂商进行推动，因此出现了标准百舸争流、百花齐放的局面。主要有下面五种标准：1） IEEE80211系列1999年9月通过的IEEE80211b工作在242483GHz频段。80211b数据速率为11Mbps。同时IEEE80211b具有55Mbps、2Mbps、1Mbps三个低速档次，当工作站之间距离过长或干扰太大、信噪比低于某个门限时，传输速率能够从11Mbps自动降到55Mbps、2Mbps或者1Mbps，通过降低传输速度来改善误码率性能。80211b使用带有防数据丢失特性的载波检测多址连接（CSMACA）作为路径共享协议，物理层调制方式为CCK（补码键控）的DSSS（直接序列扩频）。目前80211b已经成为WLAN市场上的主流技术，随着技术的成熟和产品的降价，它开始大显身手。和80211b相比，IEEE80211a在整个覆盖范围内提供了更高的速度，其速率高达54Mbps。它工作在5GHz频段，目前该频段用得不多，干扰和信号争用情况较少。80211a同样采用CSMACA协议。但在物理层，80211a采用了正交频分复用（OFDM）技术。OFDM技术将一个无线信道分解成多个子载波同时传输数据，每个子载波的速率比总速率低许多，也就是每个传输符号的时长要长许多，这有利于克服无线信道的衰落，改善了信号质量，提升了整个网络的速度。一般分析认为，80211a技术的普及仍需一段时间，但是由于互联网产业飞速发展，用户对宽带业务需求量猛增，80211b在不少场合（尤其是信道噪声较大的场合）已不能满足用户宽带接入的要求；而80211a则可凭借更高的速率和更好的质量实现这一需求，因此有望提前取代80211b，让用户尽情享受宽带的无穷魅力。IEEE80211a与80211b的产品因为频段与调制方式不同而无法互通，这使得已经拥有80211b产品的消费者可能不会立即购买80211a产品，阻碍了80211a的应用步伐。2001年11月15日，IEEE试验性地批准一种新技术80211g，其使命就是兼顾80211a和80211b，为80211b过渡到80211a铺路修桥。它既适应传统的80211b标准，在24GHz频率下提供11Mbps的数据速率，也符合80211a标准，在5GHz频率下提供54Mbps的数据速率。80211g中规定的调制方式包括80211a中采用的OFDM与80211b中采用的CCK。通过规定两种调制方式，既达到了用24GHz频段实现IEEE80211a54Mbps的数据传送速度，也确保了与装机数量超过1100万台的IEEE80211b产品的兼容。此外，TI公司提案的可达22Mbps数据传送速度的CCKPBCC与CCKOFDM调制方式也可以选用。二 HiperLAN除了IEEE80211家族，欧洲电信标准化协会（ETSI）的宽带无线电接入网络（BRAN）也制订出Hip