网络常见故障与病毒诊断

2016-05-17 00:00:00肖兰‍ 网络诊断

  随着网络技术的发展,网络的作用日益突显,正成为学校建设和发展进程中不可或缺的重要角色,发挥着至关重要的作用,但是网络安全和管理问题也随之而来。下面是YJBYS小编为大家搜索整理的关于网络常见故障与病毒诊断,欢迎参考阅读,希望对大家有所帮助!想了解更多相关信息请持续关注我们应届毕业生培训网!

  近年来,随着各类院校(包括中专和基层电大)网络规模的扩大和用户数目的增多,加之校园网用户的专业背景,致使网络黑客攻击频发,网络病毒泛滥,再加上网络病毒层出不穷,花样翻新,着实让负责网络安全的专业技术人员头痛不已,其中,导致网络不稳定,甚至网络瘫痪的原因很多,以下介绍主要的两种:

  1、局域网网内网关的IP地址冲突

  由于网络知识的缺乏,局域网内私接路由器导致的IP地址冲突,是引起网络故障的常见原因之一。一般默认的路由器IP地址都是192.168.1.1,当局域网出现两台甚至多台路由器时,很容易引起地址冲突。因此需要以下两种方法解决:(1)更改路由器IP地址,并做好登记。(2)计算机设备统一管理,当某个部门或科室需要增加计算机设备,尤其是网络设备时,要告知网络技术部门,并由网络技术部门发放、安装和调试。

  2、ARP病毒(ARP攻击)

  1.ARP病毒简介

  要消除ARP病毒(以下简称ARP)对校园网的危害,首先要了解什么是ARP。ARP是“Address Resolution Protocol”(地址解析协议)的缩写。在以太网中,一台主机要和另一台主机进行通信,也就是数据的传输,必须要知道目标主机的IP地址,但在局域网中传送数据的网卡等物理设备不识别IP地址,只能识别其硬件地址即MAC地址(可以理解为网卡的物理地址,网卡的唯一标识)。网卡之间发送数据,只能根据对方网卡的MAC地址进行发送,这时就需要ARP协议将高层数据包中的IP地址(32位)转换成低层MAC地址(48位)。

  ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址,其基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。

  在局域网的任何一台主机中,都有一个ARP缓存表,该表保存着网络中每台电脑的IP地址和MAC地址的对应关系。如表1所示:

  我们以主机A(192.168.10.1)向主机B(192.168.10.2)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址,如果找到了,也就知道了目标MAC地址。直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向该主机所在局域网内的所有主机发出这样的询问:“192.168.10.2的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.10.2的MAC地址是bb-bb-bb-bb-bb-bb”,这样主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了,同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。

  由上可知,ARP协议的基础就是信任局域网内所有的人,那么就可能实现在以太网上的ARP欺骗。例如,要对目标A进行欺骗,A去ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上,如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-DD,于是A原来希望发送到C上的数据包就都发送给D了,这不正好是D能够接收到A发送的数据包了么,嗅探成功(嗅探,通俗地讲就是黑客将网络中的敏感数据截取下来,可以获取局域网中相关的密码)。再打开D的IP转发功能,将A发送来的数据包转发给C,看起来好像是A直接将数据发送给了C,实际上通过了D。

  2.故障现象

  ARP欺骗木马的中毒现象表现为:使用局域网时会突然掉线,过一段时间后又会恢复正常。比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp -d后,又可恢复上网。

  ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。

  3.ARP病毒诊断

  当发现大范围的局域网不稳定甚至是瘫痪的现象时,可以通过两个简单的方法来诊断局域网是不是受到了ARP的攻击。

  (1)点击“开始”->“运行”按钮,输入“arp-d”后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。

  Arp-d命令用于删除arp表中的所有内容。Arp-d命令并不能抵御ARP欺骗,执行后仍有可能再次遭受ARP攻击。

  (2)重启路由器。当重启路由器后,网络能恢复短暂的正常。

  3、ARP攻击的故障排除和对策研究

  (1)升级杀毒软件并查杀病毒。(2)开启安全卫士360内置的ARP防火墙,也可以安装前面介绍的ARP防火墙单机版,它不仅能监测到网内的ARP攻击,同时能确保本机不对外发动ARP攻击。(3)开启路由器上的MAC地址绑定,把客户机挨个绑定,也能有效防止局域网病毒攻击和APR掉线病毒的传播。(4)硬件升级。(5)不上来路不明的网站,不下载、打开来历不明的邮件和软件。

[网络诊断]相关推荐

[网络诊断]相关栏目推荐
查看更多
上一篇:网络常见的几种故障的分类诊断 下一篇:常见的网络故障分析与处理