1. 首頁 > 云知道 > >

360家庭防火墻5pro散熱 360家庭防火墻5pro( 四 )

云知道家庭


48.分析本機接收到的所有ARP數據包,掌握網絡動態,找出潛在的攻擊者或中毒的機器;監測ARP緩存 。自動監測本機ARP緩存表,如發現網關MAC地址被惡意程序篡改,將報警并自動修復,以保持網絡暢通及通訊安全;主動防御 。
49.主動與網關保持通訊,通告網關正確的MAC地址,以保持網絡暢通及通訊安全;追蹤攻擊者 。發現攻擊行為后,自動快速鎖定攻擊者IP地址;ARP病毒專殺 。
50.發現本機有對外攻擊行為時,自動定位本機感染的惡意程序、病毒程序; ARP協議工作原理簡介[編輯本段] ARP是Address Resolution Protocal(地址轉換協議)的簡稱,是TCP/IP協議中最底層的協議之一 。
51.它的作用是完成IP地址到MAC(物理地址)的轉換 。在局域網中兩臺計算機之間的通訊,或者局域網中的計算機將IP數據報轉發給網關的時候,網卡都需要知道目標計算機的物理地址,以填充物理幀中的目的地址 。
52. 現在假設同一以太網中的計算機A(19160 。1)需要向計算機B(19160 。2)發送數據報,而此時A尚不知道B的物理地址 。
53.為了獲得B的物理地址,A在局域網上發送ARP廣播,查詢19160 。2這個物理地址,同時在ARP包中填入自己的物理地址Ma,相當于發出這樣的詢問“誰拿了19160 。
54.2這個地址?請回Ma這個物理地址 。”計算機B在收到了這個查詢以后,以Ma為目的地址發回一個ARP包,里面包含了自己的物理地址 。
55.這樣通訊的雙方都了解了對方的物理地址,通訊過程正式建立 。通常ARP協議都在支持廣播的網絡上使用,比方以太網,這種數據包不能跨物理網段使用,即不能跨越一個路由器(除路由器本身還用作ARP代理以外) 。
56. 在實際的ARP協議軟件的實現中還有一些應該注意的事項:每臺計算機上都有一個ARP緩沖,它保存了一定數量的從IP地址到MAC地址的映射,同時當一個ARP廣播到來時,雖然這個ARP廣播可能與它無關,但ARP協議軟件也會把其中的物理地址與IP地址的映射記錄下來,這樣做的好處是能夠減少ARP報在局域網上發送的次數 。
57.同時,ARP緩沖中IP地址與物理地址之間的映射并不是一但生成就永久有效,每一個ARP映射表項都有自己的時延,如果過了一定的時間還沒有新的ARP到來,那么這個ARP映射就從緩沖中被刪除了 。
58.那么下一次計算機向這個IP地址發送數據包的時候必須來一次新的查詢 。本地網絡IP 查找的原理事實上Windows 本身就用ARP來確定自己的IP地址是否與網絡上的另一臺計算機發生了沖突 。
59.當一個ARP包到來時,Windows 如果檢查到其中的IP地址與本機上的相同,而物理地址不同,這時Windows 就會向用戶報告這個IP地址已經被別人占用 。
60.非常有意思的時,Windows 對待IP地址是以先來后到的順序分配,如果已經有人先占了,那么本機的網絡接口就會被禁用 。
61.這也是非常惱人的“特色”因為一旦開機后有了第一次沖突,以后的任何網絡操作就都無效了 。Windows XP 有了一定的進步,它在發現沖突以后并不禁用接口,而是允許用戶進行修復 。
62.其實用sniffer可以看到所謂的“修復”也不過是發了幾個ARP包出去,把IP“搶”回來 。在以前的文章中我描述了一個用ICMP 回送請求(類似PING)進行IP查找的程序 。
63.這個程序用并發的幾十個線程同時PING網絡上的多臺計算機,如果回送請求被正確的應答了,那么可以認為這個IP地址已經被占用,如果沒有,我們就宣稱它是空閑的 。
64.然而它有優點也有缺點,其優點是能夠PING很遠的計算機,即使不在同一個物理網段上,缺點是當目標計算機上安裝了防火墻并禁止了ICMP包,或者采用了防ICMP flood 攻擊的規則以后都有可能讓ICMP回送請求得不到應答 。

推薦閱讀