張宏偉　朱凱全

摘 要：本文以實際工作中的網(wǎng)絡(luò)結(jié)構(gòu)為分析對象，首先，闡述了網(wǎng)絡(luò)的基本配置情況和網(wǎng)絡(luò)設(shè)備中的相關(guān)的概念。其次，描述了在上述網(wǎng)絡(luò)中兩臺主機通信過程以及所產(chǎn)生的問題，分析了數(shù)據(jù)在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的數(shù)據(jù)幀和數(shù)據(jù)包的形成過程和傳輸?shù)脑?。最后，指出了問題出現(xiàn)的原因以及定位問題主機的方法，并最終給出了解決方案。

關(guān)鍵詞：MAC ARP OSI參考模型 SVI

中圖分類號：TP393.1 文獻標識碼：A 文章編號：1672-3791（2014）02（c）-0022-02

引起網(wǎng)絡(luò)故障的原因很多，基本可分為軟件故障和硬件故障。作為計算機網(wǎng)絡(luò)維護人員，在日常工作中對網(wǎng)絡(luò)故障的正確分析和判斷對計算機網(wǎng)絡(luò)的穩(wěn)定性起著重要的作用。本文從實際出發(fā)，將應(yīng)用數(shù)據(jù)在OSI參考模型中的數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層結(jié)的封裝和解封裝的傳輸過程進行了詳細的分析，并對數(shù)據(jù)包不能從源主機到目的主機的原因進行了解析，并最終確定造成網(wǎng)絡(luò)故障的原因是軟件故障，即ARP病毒，從原理上分析了ARP病毒的成因和危害，介紹了處理此類問題的一些實用、高效、快捷的方法。本文運用網(wǎng)絡(luò)知識將實際工作中遇到的網(wǎng)絡(luò)故障和網(wǎng)絡(luò)原理相結(jié)合進行討論，從故障現(xiàn)象透徹的進行故障分析，最終判斷出是那種類型的故障以及基于故障提出解決方法。

1 網(wǎng)絡(luò)結(jié)構(gòu)如下

圖1中PC機安裝的是WINDOWS XP，其它兩臺服務(wù)器安裝的是UNIX。PC機位于三層交換機的VLAN6；服務(wù)器A（以下簡稱A）和服務(wù)器B（以下簡稱B）位于VLAN2 并且VLAN6和VLAN2上的設(shè)備均配置了對應(yīng)VLAN的正確網(wǎng)關(guān)。在三層交換機和路由器上均沒有做訪問控制。三層交換機的物理接口既可以配置為2層接口，也可以配置為三層接口，除了交換機物理接口外，交換機還可以將某個VLAN配置為3層接口，稱為SVI（switch virtual interface）。一般來講，所有的三層虛接口都是同一個MAC地址。在上圖中VLAN2的IP地址是172.26.2.254；VLAN6的IP地址是192.6.1.254。以圖中的三層交換機為例，通過如下命令可以得到它的三層虛接口對應(yīng)的MCA，也就是SVI。先查看有哪些VLAN，然后看SVI，命令如下：

ZYTX-C-4506-1#show vlan bri

VLAN Name Status Ports

---- -------------------------------- --------- -------------------------------

1 default active Gi1/1， Gi1/2， Gi2/1， Gi2/2， Gi2/3， Gi2/4， Fa3/25， Fa3/31， Fa3/32， Fa3/33， Fa3/34

Fa3/35， Fa3/36， Fa3/37

2 coreserver active Gi2/5， Gi2/6， Fa3/2， Fa3/3， Fa3/4， Fa3/5， Fa3/6， Fa3/7， Fa3/8， Fa3/9， Fa3/10， Fa3/11

Fa3/12， Fa3/13， Fa3/14， Fa3/15， Fa3/16， Fa3/17， Fa3/18， Fa3/19， Fa3/20， Fa3/21

Fa3/22

3 firewall-in active Fa3/48

6 oldnetwork active Fa3/23， Fa3/24

100 3725-bj active Fa3/47

ZYTX-C-4506-1#sh inter vlan2

Vlan2 is up， line protocol is up

Hardware is Ethernet SVI， address is 000f.238f.fb7f （bia 000f.238f.fb7f）

Description： dataserver vlan

Internet address is 172.26.2.254/24

……

ZYTX-C-4506-1#sh inter vlan3

Vlan3 is up， line protocol is up

Hardware is Ethernet SVI， address is 000f.238f.fb7f （bia 000f.238f.fb7f）

Description： firewall inside vlan

Internet address is 172.26.3.14/28

……

ZYTX-C-4506-1#sh inter vlan6

Vlan6 is up， line protocol is up

Hardware is Ethernet SVI， address is 000f.238f.fb7f （bia 000f.238f.fb7f）

Internet address is 192.6.1.254/24

……

ZYTX-C-4506-1#sh inter vlan100

Vlan100 is up， line protocol is up

Hardware is Ethernet SVI， address is 000f.238f.fb7f （bia 000f.238f.fb7f）

Internet address is 172.26.0.14/28endprint

……

由顯示結(jié)果可以獲得三層交換機的SVI： 000f.238f.fb7f。

2 主要的通信過程解析

以B為例，假設(shè)它要發(fā)送一個文件給服務(wù)器C（以下簡稱C）。

首先，在B的應(yīng)用層上，應(yīng)用程序已經(jīng)準備好了從B的原端口到C的目的端口的數(shù)據(jù)流。并將數(shù)據(jù)流向下傳給傳輸層處理，傳輸層將應(yīng)用層傳來的數(shù)據(jù)流進行分段，并將每個數(shù)據(jù)段賦予一個順序號以及封裝上原端口號和目的端口號。傳輸層將封裝的數(shù)據(jù)段傳給網(wǎng)絡(luò)層。在網(wǎng)絡(luò)層，將數(shù)據(jù)段封裝IP包頭，即封裝了源IP地址172.26.2.2和目的IP地址172.20.4.1。此時數(shù)據(jù)段被封裝成了數(shù)據(jù)包。在數(shù)據(jù)鏈路層上，數(shù)據(jù)包被封裝上幀頭，其中源MAC地址是B的MAC地址，但目的地址并不是C的MAC地址，而是與B相鄰的交換機的虛MAC地址。交換機收到數(shù)據(jù)幀后，發(fā)現(xiàn)數(shù)據(jù)幀的目標MAC是自己的才會接受，否則會丟棄該幀。然后，交換機將解封裝的幀向上交給網(wǎng)絡(luò)層。將數(shù)據(jù)幀傳給路由器的過程和B傳給交換機的過程類似，只是封裝的源和目的MAC不同。這里不再贅述。實際上在整個數(shù)據(jù)傳輸中，源IP地址和目的IP地址自始自終不會改變（在沒有NAT轉(zhuǎn)換的情況下），數(shù)據(jù)在相鄰的網(wǎng)絡(luò)設(shè)備之間傳輸是靠不斷變換的MAC地址進行的。

3 出現(xiàn)的問題及問題分析

A和PC機可以與服務(wù)器C交換信息，這說明三層交換機和路由器上均配置了正確的路由。但是服務(wù)器B無法與服務(wù)器C通信，也無法與PC通信。但可以和本網(wǎng)段其他服務(wù)器通信。這說明A的硬件是沒有問題的。只是發(fā)出的數(shù)據(jù)包無法穿過交換機。通過查看B、A和PC的ARP表，顯示如下：

3.1 B的ARP表

[root@ZYTXMON ～]# arp -a

（172.26.2.254） at 00：0F：44：89：FB：FF [ether] PERM on eth0

（172.26.2.1） at 00：02：55：33：5E：D4 [ether] on eth0

3.2 A的ARP表

ZYTX-S-P650-1.1$ arp -a

ZYTXMON （172.26.2.39） at f0：4d：a2：c：30：43 [ethernet] stored in bucket 16

（172.26.2.254） at 0：f：23：8f：fb：7f [ethernet] stored in bucket 82

3.3 PC的ARP表

C：＼Documents and Settings＼Administrator>arp -a

Interface： 192.6.1.19 --- 0x10004

Internet Address Physical Address Type

192.6.1.254 00-0f-23-8f-fb-7f dynamic

從ARP表中的網(wǎng)關(guān)和MAC地址的對應(yīng)關(guān)系可以看出，A和PC的網(wǎng)關(guān)對應(yīng)的MAC地址和B網(wǎng)關(guān)對應(yīng)的MAC是不一樣的，也就是說B網(wǎng)關(guān)對應(yīng)的MAC不是三層交換機的MAC，一定是本網(wǎng)段的另一臺機器（假設(shè)定義為K）的MAC。B以為K是自己的網(wǎng)關(guān)，不斷地向K發(fā)送數(shù)據(jù)包，所以并沒有跟交換機通信，所以信息包不能穿過交換機到達C。那么我們可以判斷這是ARP病毒的癥狀。這種情況一般都是內(nèi)網(wǎng)的某臺機器中了ARP病毒，然后這臺機器便不斷的發(fā)送欺騙包給所有機器來冒充網(wǎng)關(guān)，這樣其他機器就會把這個中毒的機器當(dāng)作網(wǎng)關(guān)而把數(shù)據(jù)包發(fā)給它，而它在接到數(shù)據(jù)包后又沒有轉(zhuǎn)發(fā)數(shù)據(jù)包到真正的網(wǎng)關(guān)去，ARP病毒使用欺騙的手段是為了竊聽內(nèi)網(wǎng)中所有的通信數(shù)據(jù)以達到它的某種目的。

4 定位發(fā)起ARP攻擊的主機

首先定位發(fā)出病毒的機器。我們這里只對發(fā)起ARP攻擊的主機的MAC不變的情況進行討論。由前面可知，通過查找B的ARP表可以查到不正確的MAC，再使用NBTSCAN工具可以取到本網(wǎng)段的真實IP地址、機器名和MAC地址，如果有ARP攻擊，可以找到裝有ARP攻擊的主機的IP、機器名和MAC地址。

5 結(jié)語

（1）指定ARP對應(yīng)關(guān)系。其實該方法就是強制指定ARP對應(yīng)關(guān)系。由于絕大部分ARP欺騙病毒都是針對網(wǎng)關(guān)MAC地址進行攻擊的，使本機上ARP緩存中存儲的網(wǎng)關(guān)設(shè)備的信息出現(xiàn)紊亂，這樣當(dāng)機器要上網(wǎng)發(fā)送數(shù)據(jù)包給網(wǎng)關(guān)時就會因為地址錯誤而失敗，在B服務(wù)器上執(zhí)行arpd將ARP緩存中的內(nèi)容請空，使用arp-s命令來添加一條ARP地址對應(yīng)關(guān)系，執(zhí)行如下：arp s 172.26.2.254 00：01：02：03：04：05，這樣就將網(wǎng)關(guān)地址的IP與正確的MAC地址綁定好了，本機網(wǎng)絡(luò)連接將恢復(fù)正常了。

（2）除上述方法外，還可以用以下方法。先用arp -d刪除本機arp表中的172.26.2.254對應(yīng)的MAC地址，再用arping 172.26.2.254，之后就能在B中得到一個正確的172.26.2.254映射的MAC地址。

（3）對于有些ARP病毒在發(fā)送欺騙包時會修改自身的MAC地址，這使我們在快速排查中毒機器有一定困難。但這可以通過MAC與IP綁定的方式解決，即所有內(nèi)網(wǎng)機器的IP都通與MAC綁定的方式分配，這樣所有未登記的不合法MAC就無法連接到內(nèi)網(wǎng)了。

（4）安裝殺毒軟件并及時升級，例如：Avria和ClamAV都是比較受歡迎的殺毒軟件而且是免費的。

參考文獻

[1] 張宏.網(wǎng)絡(luò)安全基礎(chǔ)[M].機械工業(yè)出版社.endprint

……

由顯示結(jié)果可以獲得三層交換機的SVI： 000f.238f.fb7f。

2 主要的通信過程解析

以B為例，假設(shè)它要發(fā)送一個文件給服務(wù)器C（以下簡稱C）。

首先，在B的應(yīng)用層上，應(yīng)用程序已經(jīng)準備好了從B的原端口到C的目的端口的數(shù)據(jù)流。并將數(shù)據(jù)流向下傳給傳輸層處理，傳輸層將應(yīng)用層傳來的數(shù)據(jù)流進行分段，并將每個數(shù)據(jù)段賦予一個順序號以及封裝上原端口號和目的端口號。傳輸層將封裝的數(shù)據(jù)段傳給網(wǎng)絡(luò)層。在網(wǎng)絡(luò)層，將數(shù)據(jù)段封裝IP包頭，即封裝了源IP地址172.26.2.2和目的IP地址172.20.4.1。此時數(shù)據(jù)段被封裝成了數(shù)據(jù)包。在數(shù)據(jù)鏈路層上，數(shù)據(jù)包被封裝上幀頭，其中源MAC地址是B的MAC地址，但目的地址并不是C的MAC地址，而是與B相鄰的交換機的虛MAC地址。交換機收到數(shù)據(jù)幀后，發(fā)現(xiàn)數(shù)據(jù)幀的目標MAC是自己的才會接受，否則會丟棄該幀。然后，交換機將解封裝的幀向上交給網(wǎng)絡(luò)層。將數(shù)據(jù)幀傳給路由器的過程和B傳給交換機的過程類似，只是封裝的源和目的MAC不同。這里不再贅述。實際上在整個數(shù)據(jù)傳輸中，源IP地址和目的IP地址自始自終不會改變（在沒有NAT轉(zhuǎn)換的情況下），數(shù)據(jù)在相鄰的網(wǎng)絡(luò)設(shè)備之間傳輸是靠不斷變換的MAC地址進行的。

3 出現(xiàn)的問題及問題分析

A和PC機可以與服務(wù)器C交換信息，這說明三層交換機和路由器上均配置了正確的路由。但是服務(wù)器B無法與服務(wù)器C通信，也無法與PC通信。但可以和本網(wǎng)段其他服務(wù)器通信。這說明A的硬件是沒有問題的。只是發(fā)出的數(shù)據(jù)包無法穿過交換機。通過查看B、A和PC的ARP表，顯示如下：

3.1 B的ARP表

[root@ZYTXMON ～]# arp -a

（172.26.2.254） at 00：0F：44：89：FB：FF [ether] PERM on eth0

（172.26.2.1） at 00：02：55：33：5E：D4 [ether] on eth0

3.2 A的ARP表

ZYTX-S-P650-1.1$ arp -a

ZYTXMON （172.26.2.39） at f0：4d：a2：c：30：43 [ethernet] stored in bucket 16

（172.26.2.254） at 0：f：23：8f：fb：7f [ethernet] stored in bucket 82

3.3 PC的ARP表

C：＼Documents and Settings＼Administrator>arp -a

Interface： 192.6.1.19 --- 0x10004

Internet Address Physical Address Type

192.6.1.254 00-0f-23-8f-fb-7f dynamic

從ARP表中的網(wǎng)關(guān)和MAC地址的對應(yīng)關(guān)系可以看出，A和PC的網(wǎng)關(guān)對應(yīng)的MAC地址和B網(wǎng)關(guān)對應(yīng)的MAC是不一樣的，也就是說B網(wǎng)關(guān)對應(yīng)的MAC不是三層交換機的MAC，一定是本網(wǎng)段的另一臺機器（假設(shè)定義為K）的MAC。B以為K是自己的網(wǎng)關(guān)，不斷地向K發(fā)送數(shù)據(jù)包，所以并沒有跟交換機通信，所以信息包不能穿過交換機到達C。那么我們可以判斷這是ARP病毒的癥狀。這種情況一般都是內(nèi)網(wǎng)的某臺機器中了ARP病毒，然后這臺機器便不斷的發(fā)送欺騙包給所有機器來冒充網(wǎng)關(guān)，這樣其他機器就會把這個中毒的機器當(dāng)作網(wǎng)關(guān)而把數(shù)據(jù)包發(fā)給它，而它在接到數(shù)據(jù)包后又沒有轉(zhuǎn)發(fā)數(shù)據(jù)包到真正的網(wǎng)關(guān)去，ARP病毒使用欺騙的手段是為了竊聽內(nèi)網(wǎng)中所有的通信數(shù)據(jù)以達到它的某種目的。

4 定位發(fā)起ARP攻擊的主機

首先定位發(fā)出病毒的機器。我們這里只對發(fā)起ARP攻擊的主機的MAC不變的情況進行討論。由前面可知，通過查找B的ARP表可以查到不正確的MAC，再使用NBTSCAN工具可以取到本網(wǎng)段的真實IP地址、機器名和MAC地址，如果有ARP攻擊，可以找到裝有ARP攻擊的主機的IP、機器名和MAC地址。

5 結(jié)語

（1）指定ARP對應(yīng)關(guān)系。其實該方法就是強制指定ARP對應(yīng)關(guān)系。由于絕大部分ARP欺騙病毒都是針對網(wǎng)關(guān)MAC地址進行攻擊的，使本機上ARP緩存中存儲的網(wǎng)關(guān)設(shè)備的信息出現(xiàn)紊亂，這樣當(dāng)機器要上網(wǎng)發(fā)送數(shù)據(jù)包給網(wǎng)關(guān)時就會因為地址錯誤而失敗，在B服務(wù)器上執(zhí)行arpd將ARP緩存中的內(nèi)容請空，使用arp-s命令來添加一條ARP地址對應(yīng)關(guān)系，執(zhí)行如下：arp s 172.26.2.254 00：01：02：03：04：05，這樣就將網(wǎng)關(guān)地址的IP與正確的MAC地址綁定好了，本機網(wǎng)絡(luò)連接將恢復(fù)正常了。

（2）除上述方法外，還可以用以下方法。先用arp -d刪除本機arp表中的172.26.2.254對應(yīng)的MAC地址，再用arping 172.26.2.254，之后就能在B中得到一個正確的172.26.2.254映射的MAC地址。

（3）對于有些ARP病毒在發(fā)送欺騙包時會修改自身的MAC地址，這使我們在快速排查中毒機器有一定困難。但這可以通過MAC與IP綁定的方式解決，即所有內(nèi)網(wǎng)機器的IP都通與MAC綁定的方式分配，這樣所有未登記的不合法MAC就無法連接到內(nèi)網(wǎng)了。

（4）安裝殺毒軟件并及時升級，例如：Avria和ClamAV都是比較受歡迎的殺毒軟件而且是免費的。

參考文獻

[1] 張宏.網(wǎng)絡(luò)安全基礎(chǔ)[M].機械工業(yè)出版社.endprint

……

由顯示結(jié)果可以獲得三層交換機的SVI： 000f.238f.fb7f。

2 主要的通信過程解析

以B為例，假設(shè)它要發(fā)送一個文件給服務(wù)器C（以下簡稱C）。

首先，在B的應(yīng)用層上，應(yīng)用程序已經(jīng)準備好了從B的原端口到C的目的端口的數(shù)據(jù)流。并將數(shù)據(jù)流向下傳給傳輸層處理，傳輸層將應(yīng)用層傳來的數(shù)據(jù)流進行分段，并將每個數(shù)據(jù)段賦予一個順序號以及封裝上原端口號和目的端口號。傳輸層將封裝的數(shù)據(jù)段傳給網(wǎng)絡(luò)層。在網(wǎng)絡(luò)層，將數(shù)據(jù)段封裝IP包頭，即封裝了源IP地址172.26.2.2和目的IP地址172.20.4.1。此時數(shù)據(jù)段被封裝成了數(shù)據(jù)包。在數(shù)據(jù)鏈路層上，數(shù)據(jù)包被封裝上幀頭，其中源MAC地址是B的MAC地址，但目的地址并不是C的MAC地址，而是與B相鄰的交換機的虛MAC地址。交換機收到數(shù)據(jù)幀后，發(fā)現(xiàn)數(shù)據(jù)幀的目標MAC是自己的才會接受，否則會丟棄該幀。然后，交換機將解封裝的幀向上交給網(wǎng)絡(luò)層。將數(shù)據(jù)幀傳給路由器的過程和B傳給交換機的過程類似，只是封裝的源和目的MAC不同。這里不再贅述。實際上在整個數(shù)據(jù)傳輸中，源IP地址和目的IP地址自始自終不會改變（在沒有NAT轉(zhuǎn)換的情況下），數(shù)據(jù)在相鄰的網(wǎng)絡(luò)設(shè)備之間傳輸是靠不斷變換的MAC地址進行的。

3 出現(xiàn)的問題及問題分析

A和PC機可以與服務(wù)器C交換信息，這說明三層交換機和路由器上均配置了正確的路由。但是服務(wù)器B無法與服務(wù)器C通信，也無法與PC通信。但可以和本網(wǎng)段其他服務(wù)器通信。這說明A的硬件是沒有問題的。只是發(fā)出的數(shù)據(jù)包無法穿過交換機。通過查看B、A和PC的ARP表，顯示如下：

3.1 B的ARP表

[root@ZYTXMON ～]# arp -a

（172.26.2.254） at 00：0F：44：89：FB：FF [ether] PERM on eth0

（172.26.2.1） at 00：02：55：33：5E：D4 [ether] on eth0

3.2 A的ARP表

ZYTX-S-P650-1.1$ arp -a

ZYTXMON （172.26.2.39） at f0：4d：a2：c：30：43 [ethernet] stored in bucket 16

（172.26.2.254） at 0：f：23：8f：fb：7f [ethernet] stored in bucket 82

3.3 PC的ARP表

C：＼Documents and Settings＼Administrator>arp -a

Interface： 192.6.1.19 --- 0x10004

Internet Address Physical Address Type

192.6.1.254 00-0f-23-8f-fb-7f dynamic

從ARP表中的網(wǎng)關(guān)和MAC地址的對應(yīng)關(guān)系可以看出，A和PC的網(wǎng)關(guān)對應(yīng)的MAC地址和B網(wǎng)關(guān)對應(yīng)的MAC是不一樣的，也就是說B網(wǎng)關(guān)對應(yīng)的MAC不是三層交換機的MAC，一定是本網(wǎng)段的另一臺機器（假設(shè)定義為K）的MAC。B以為K是自己的網(wǎng)關(guān)，不斷地向K發(fā)送數(shù)據(jù)包，所以并沒有跟交換機通信，所以信息包不能穿過交換機到達C。那么我們可以判斷這是ARP病毒的癥狀。這種情況一般都是內(nèi)網(wǎng)的某臺機器中了ARP病毒，然后這臺機器便不斷的發(fā)送欺騙包給所有機器來冒充網(wǎng)關(guān)，這樣其他機器就會把這個中毒的機器當(dāng)作網(wǎng)關(guān)而把數(shù)據(jù)包發(fā)給它，而它在接到數(shù)據(jù)包后又沒有轉(zhuǎn)發(fā)數(shù)據(jù)包到真正的網(wǎng)關(guān)去，ARP病毒使用欺騙的手段是為了竊聽內(nèi)網(wǎng)中所有的通信數(shù)據(jù)以達到它的某種目的。

4 定位發(fā)起ARP攻擊的主機

首先定位發(fā)出病毒的機器。我們這里只對發(fā)起ARP攻擊的主機的MAC不變的情況進行討論。由前面可知，通過查找B的ARP表可以查到不正確的MAC，再使用NBTSCAN工具可以取到本網(wǎng)段的真實IP地址、機器名和MAC地址，如果有ARP攻擊，可以找到裝有ARP攻擊的主機的IP、機器名和MAC地址。

5 結(jié)語

（1）指定ARP對應(yīng)關(guān)系。其實該方法就是強制指定ARP對應(yīng)關(guān)系。由于絕大部分ARP欺騙病毒都是針對網(wǎng)關(guān)MAC地址進行攻擊的，使本機上ARP緩存中存儲的網(wǎng)關(guān)設(shè)備的信息出現(xiàn)紊亂，這樣當(dāng)機器要上網(wǎng)發(fā)送數(shù)據(jù)包給網(wǎng)關(guān)時就會因為地址錯誤而失敗，在B服務(wù)器上執(zhí)行arpd將ARP緩存中的內(nèi)容請空，使用arp-s命令來添加一條ARP地址對應(yīng)關(guān)系，執(zhí)行如下：arp s 172.26.2.254 00：01：02：03：04：05，這樣就將網(wǎng)關(guān)地址的IP與正確的MAC地址綁定好了，本機網(wǎng)絡(luò)連接將恢復(fù)正常了。

（2）除上述方法外，還可以用以下方法。先用arp -d刪除本機arp表中的172.26.2.254對應(yīng)的MAC地址，再用arping 172.26.2.254，之后就能在B中得到一個正確的172.26.2.254映射的MAC地址。

（3）對于有些ARP病毒在發(fā)送欺騙包時會修改自身的MAC地址，這使我們在快速排查中毒機器有一定困難。但這可以通過MAC與IP綁定的方式解決，即所有內(nèi)網(wǎng)機器的IP都通與MAC綁定的方式分配，這樣所有未登記的不合法MAC就無法連接到內(nèi)網(wǎng)了。

（4）安裝殺毒軟件并及時升級，例如：Avria和ClamAV都是比較受歡迎的殺毒軟件而且是免費的。

參考文獻

[1] 張宏.網(wǎng)絡(luò)安全基礎(chǔ)[M].機械工業(yè)出版社.endprint