Chinaunix

标题: 回忆：ARP病毒，2006年的夏天！ [打印本页]

作者: yanjfb 时间: 2007-04-27 01:19
标题: 回忆：ARP病毒，2006年的夏天！
　　最近听好几个朋友说他们网吧机子老是掉线，也不知道是什么原因。其实这个情况我在去年夏天的时候已经遇到过了，一直想把自己的经历写下来，可每次坐在电脑前就不知道从何说起了，加上其它琐碎的事情太多，就无限的放下了。听说朋友们又遇到这个问题，又给他们从头说了一遍，想想还是写下来吧，放到网上，有需要的朋友就直接能看到了，不用再“白费口舌”了！
　　这种网络病毒的原理就是通过某台内网的“肉机”向同一网段的其它机器，不断的发送带有错误的网关MAC地址的ARP数据包，“肉机”的资源几乎被全部占用，网络资源也在为它传输ARP包的过程中被损失殆尽，最重要的是，同网段的机器信以为真，将自己的ARP缓存进行了更新，这样它就断线了。一段时间之后，通过广播包它又找到了正确的网关MAC地址，暂时可以通信，但过不了多久又会出现同样的情况，不断的重复！我曾经花了好几个晚上来监测，才发现了这种没的规律的规律。
　　下面来说说解决的方法，主要是两方面，一个是在客户端和服务端都将彼此的IP和MAC地址进行绑定，客户端一般用的都是WINDOWS操作系统，用的是arp -s IPADDR MACADDR,将所用服务器的IP和对应的MAC理行绑定，服务端常用的分WINDOWS和LINUX两种，WINDOWS下还是同样的方法，LINUX下则是将所有客户端的IP和对应的MAC写成一个文件，如ipmac.file,格式很重要，如下：
192.168.1.1 xx:xx:xx:xx:xx:xx
192.168.1.2 xx:xx:xx:xx:xx:xx
...
...
192.168.1.254 xx:xx:xx:xx:xx:xx
注意，每一行的结尾处不能有任何字符，空格也不行！完成之后，运行如下命令，文件路径和网卡根据自己的实际进行修改：
arp -vn -i eth0　-f /etc/ipmac.file
如果ipmac.file文件格式正确的话，运行完毕会进入SHELL提示符，如果格式不正确，则会提示错误信息，自己根据情况修改。
　　可以将这条命令写入/etc/rc.d/rc.local，让机器每次启动时自动运行。
　　另一个方面，从网上下载“网络执法官”，运行在内网的任一台机器上，即可监测这个网段的机器，发现了及时处理，这样就能彻底消除ARP病毒带来的各种影响。
　　本人学疏才浅，能讲出来了就这些了，主要靠自己在实际工作中不断积累经验，才能体验其中的奥妙。说的不正确的地方还请网友们批评指正，大家共同进步！！
写于2007年4月27日凌晨。

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/12384/showart_287231.html

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)