Cómo controlar el virus arp, ¿existen herramientas de eliminación gratuitas (sistema operativo 2003)?
ARP no es un virus sino un protocolo de red
En primer lugar, tenemos que hablar sobre qué es ARP si ingresa arp -a en UNIX Shell (también en 9x). , su La salida debería verse así:
Interfaz: xxx.xxx.xxx.xxx
Dirección de Internet Tipo de dirección física xxx.xxx.xxx.xxx 00-00-93- 64 -48-d2 dinámico xxx.xxx.xxx.xxx 00-00-b4-52-43-10 dinámico ... ... ... ... ...
La primera columna Aquí se muestra la dirección IP, la segunda columna muestra la dirección de hardware (MAC) de la tarjeta de interfaz de red correspondiente a la dirección IP y la tercera columna es el tipo de correspondencia entre IP y Mac.
Se puede ver que arp es un protocolo que convierte ip en la dirección física de la tarjeta de red correspondiente a ip, o el protocolo ARP es un protocolo que convierte la dirección ip en dirección MAC manteniendo una tabla. en la memoria para que la IP pueda ser respondida por la máquina de destino en la red.
¿Por qué necesitas convertir IP a Mac? jeje. . En pocas palabras, esto se debe a que en un entorno de red TCP, dónde y cómo va un paquete IP está definido por la tabla de enrutamiento. Sin embargo, cuando el paquete IP llega a la red, qué máquina responde a este paquete IP. se identifica por la dirección mac contenida en el paquete IP, es decir, solo la máquina con la misma dirección mac que la dirección mac en el paquete IP responderá al paquete IP (parece muy redundante, jaja ...) Porque en la red, cada host enviará paquetes IP, por lo que hay una tabla de conversión arp-->mac en la memoria de cada host. Generalmente es una tabla de traducción dinámica (tenga en cuenta que en el enrutamiento, la tabla arp se puede configurar como estática). En otras palabras, el anfitrión actualizará la tabla de correspondencia cuando sea necesario. Esto se debe a que la transmisión Ethernet en la capa de subred está determinada por la dirección mac de 48 bits.
Por lo general, antes de que el host envíe un paquete IP, debe buscar la dirección MAC correspondiente al paquete IP en la tabla de traducción. Si no la encuentra, el host envía un paquete de difusión ARP, que busca. así:
"Soy el host xxx.xxx.xxx.xxx, la mac es xxxxxxxxxxx, el host con la ip xxx.xxx.xxx.xx1 por favor reporte su mac"
El host con dirección IP xxx.xxx.xxx.xx1 responde a esta transmisión y responde a la transmisión ARP como:
"Soy xxx.xxx.xxx.xx1 y mi Mac es xxxxxxxxxx2 "
Entonces, el host actualiza su caché ARP. Luego envíe el paquete ip.
Después de comprender este sentido común, ahora puede hablar sobre cómo implementar la suplantación de ARP en la red. Puede ver este ejemplo:
Un intruso quiere ingresar ilegalmente a un determinado host. Sabiendo que el firewall de este host solo abre el puerto 23 (telnet) a la dirección IP 192.0.0.3 (suponiendo), y debe usar telnet para ingresar a este host, por lo que tiene que hacer lo siguiente: 1. Primero estudia 192.0. 0.3. Un anfitrión descubrió que esta máquina 95 puede matarlo usando un oob. 2. Entonces, envió un paquete de inundación a los 139 usuarios de 192.0.0.3, por lo que la máquina murió debido al paquete. 3. En este momento, el paquete IP enviado por el host a 192.0.0.3 no será respondido por la máquina y el sistema comenzará a actualizar su propia tabla arp correspondiente. Elimine el proyecto 192.0.0.3. 4. Durante este período, el intruso cambió su IP a 192.0.0.3. 5. Envió un ping (icmp 0) al host y le pidió que actualizara la tabla de traducción arp del host. 6. El host encuentra la ip y luego agrega la nueva correspondencia ip-->mac a la tabla arp.
7. El firewall está deshabilitado, la IP intrusa se convierte en una dirección mac legal y puede hacer telnet.
Este es un ARP típico
En términos generales, los virus ARP son virus con la función de ARP
Antiarp suprime la función de ARP y no puede matar virus
p>
p>
Si es un cibercafé, lo mejor es vincular triplemente la MAC y agregar software de recuperación
Con la restauración, no tienes miedo de vincular el. MAC puede impedir ARP
Para usuarios domésticos, generalmente es Si ARP no existe, simplemente instale un software antivirus