1、ARP 病毒在局域網中的分析處理及防御,本文將對局域網中發生的ARP病毒故障現象及故障診斷進行介紹，同時介紹ARP協議的工作原理及常見的ARP病毒的攻擊方式，以及如何處理和防御ARP病毒攻擊的方法，以達到全面防御維護局域網網絡安全的目的。 關鍵詞：地址解析協議，ARP欺騙，網絡安全,目 錄,一、ARP病毒的故障現象,四、ARP病毒的故障診斷,二、ARP協議的工作原理 三、ARP病毒攻擊方式,五、ARP病毒的故障處理,六、預防措施,我們知道，當我們在瀏覽器里面輸入網址時，DNS服務器會自動把它解析為IP地址，瀏覽器實際上查找的是IP地址而不是網址。那么IP地址是如何轉換為第二層物理地址（即MAC

2、地址）的呢？在局域網中，這是通過ARP協議來完成的。ARP協議對網絡安全具有重要的意義。 通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量，使網絡阻塞。,一、ARP病毒的故障現象,ARP病毒現象表現為：計算機網絡連接正常，網絡運行不穩定，無法PING通網關的IP地址、但可以PING通自己的IP地址，上網時會突然掉線，過一段時間后又會恢復正常。比如出現用戶頻繁斷網，IE瀏覽器頻繁出錯等現象。重啟電腦或在 MS-DOS窗口下運行命令arp -d后，又可恢復上網。,二、ARP協議的工作原理,1、什么是ARP協議 IP數據包常通過以太網發送。以太網設備并不識別32位IP地

3、址，它們是以48位以太網地址傳輸以太網數據包的。因此，必須把目的IP地址轉換成目的MAC 地址。在這兩種地址之間存在著某種對應的映射，常常需要查看一張表。地址解析協議(Address Resolution Protocol，ARP)就是用來確定這些映像的協議。 在局域網中，就是通過ARP協議來完成IP地址轉換為第二層物理地址（即MAC地址）的。網絡中實際傳輸的是“幀”，幀里面是有目標主機的MAC地址的。在以太網中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。這個目標MAC地址是通過地址解析協議即ARP協議獲得的。所謂“地址解析”就是主機在發送幀前將目標IP地址轉換成目標

4、MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的順利進行。,每臺安裝有TCP/IP協議的計算機主機里都有一個ARP緩存表，表中的IP地址 MAC地址是一一對應的，如表 1 所示： 表 1 地址解析協議緩存地址表 值得注意的一點是：ARP 緩存表采用了一種老化機制，在一定的時間內如果某一條記錄沒有被使用過就會被刪除。這樣可以大大減少ARP 緩存表的長度，加快查詢速度。,2、什么是ARP欺騙,ARP欺騙是一種利用計算機病毒使計算機網絡無法正常運行的計算機攻擊手段。包括進行對主機發動IP沖突攻擊、數據包轟炸，切斷局域網上任何一臺主機的網絡連接等

5、。主要有以盜取數據為主要目的的ARP欺騙攻擊，感染的計算機試圖通過“ARP 欺騙”手段截獲所在網絡內其它計算機的通信信息，并因此造成網內其它計算機的通信故障。 ARP的攻擊問題影響很大，局域網內一旦有ARP的攻擊存在，會欺騙局域網內所有的主機和網關，讓所有上網的流量必須經過ARP攻擊者控制的主機。其它用戶原來直接通過網關上網，現在卻轉由通過被控主機轉發上網。由于被控主機性能和程序性能的影響，這種轉發并不會非常流暢，因此就會導致用戶上網的速度變慢甚至頻繁斷線。另外ARP欺騙的木馬程序發作的時候會發出大量的數據包導致局域網網絡擁塞以及其自身處理能力的限制，用戶會感覺上網速度越來越慢。ARP欺騙木馬

6、只需成功感染一臺電腦，就可能導致整個局域網無法上網，嚴重的可能帶來整個網絡的癱瘓。,3、ARP協議的工作原理,首先，每臺主機都會在自己的ARP緩沖區中建立一個 ARP列表，以表示IP地址和MAC地址的對應關系。當源主機需要將一個數據包要發送到目的主機時，會首先檢查自己 ARP列表中是否存在該 IP地址對應的MAC地址，如果有就直接將數據包發送到這個MAC地址；如果沒有，就向本地網段發起一個ARP請求的廣播包，查詢此目的主機對應的MAC地址。此ARP請求數據包里包括源主機的IP地址、硬件地址、以及目的主機的IP地址。,網絡中所有的主機收到這個ARP請求后，會檢查數據包中的目的IP是否和自己的IP

7、地址一致。如果不相同就忽略此數據包；如果相同，該主機首先將發送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已經存在該IP的信息，則將其覆蓋，然后給源主機發送一個 ARP響應數據包，告訴對方自己是它需要查找的MAC地址；源主機收到這個ARP響應數據包后，將得到的目的主機的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息開始數據的傳輸。,三、ARP病毒攻擊方式,從影響網絡連接通暢的方式來看，ARP攻擊分為兩種，一種是ARP泛洪；另一種是ARP欺騙。 ARP 泛洪：受ARP病毒感染的主機不斷向本地網絡內其他主機發送大量的錯誤ARP應答報文，導致受攻擊主機的ARP表中的真

8、實的ARP條目被刷新掉。因為錯誤的ARP條目占用了整個ARP表。所以，受攻擊主機就不能完成正確的二層尋址，也就不能實現Internet的訪問。這種攻擊的現象是，受攻擊主機即不能訪問本地網絡，也不能訪問外部網絡。,ARP欺騙：受ARP病毒感染的主機偽造IP地址為網關地址，MAC地址為本機MAC地址的虛假ARP應答報文發送給本地網絡內的主機，以刷新受攻擊主機的正確的網關的ARP條目，誘使受攻擊主機將原本發往網關的數據包發送到感染ARP病毒的主機上。攻擊者通常利用這種方法來竊取被攻擊者的數據包中的信息。這種攻擊的現象是，受攻擊主機訪問外部網絡時斷時續，但是訪問本地網絡時不受影響。,四、ARP病毒的故

9、障診斷,如果用戶發現計算機網絡連接正常，網絡運行不穩定，頻繁斷網。可以通過如下操作進行診斷： 點擊“開始”按鈕 選擇“運行” 輸入cmd 再輸入“arp-d”-點擊“確定”按鈕，然后重新嘗試上網，如果能恢復正常，則說明此次掉線可能是受ARP欺騙所致。 注：可以先用arp-a命令查看一下，再用arp-d清除主機arp表。主機的arp表被清空。如果這時可以正常上網，過一段時間又不能上網，再重復前面的過程又可以上網。則說明受到ARP攻擊。,五、ARP病毒的故障處理,（一）、從交換機上進行IP地址與MAC地址綁定設置 從交換機的角度，可以使用命令進行IP 地址和 MAC地址的綁定。以中興ZXR10 解

10、決方案為例，中興ZXR10在交換機上提供 IP 地址和 MAC 地址的綁定功能，并建立綁定關系。在進行 ARP 綁定前首先要確定網絡是正常運行的，然后再進行ARP 綁定設置。這樣可以有效地提高網絡安全性和穩定性。 當更換電腦網卡時要更新靜態 ARP 映射表。否則由于更換了網卡的主機的 MAC 地址與 ARP 表中的不一致，也會導致無法上網，應相應的給予修改。,（二）、從客戶端主機進行 ARP 綁定設置處理方法,步驟一：在能上網的時候點擊“開始”按鈕 選擇“運行” 輸入cmd 輸入“arp -a” 則會顯示網關的正確MAC 地址和IP地址（記錄下來為以后查殺ARP病毒做準備）。如果不能上網，則先

11、運行一次“arp -d”，將arp緩存中的內容清空，計算機可暫時上網。 步驟二：已經有網關正確的MAC地址和IP地址，手工將MAC 地址和IP地址綁定，計算機可以免受ARP攻擊的干擾。手工綁定可在MS-DOS下運行以下命令：“arp-s 網關IP地址 網關MAC地址” 例如：在運行中輸入cmd 輸入“arp-a”命令，則會顯示局域網網關的IP 地址和MAC地址，如下圖： Internet Address Physical Address Type 60.2.11.1 00-19-C6-07-5A-21 dynamicI（動態）,那么手工綁定的命令為：“arp-s 60.2.11.1 00-19

12、-C6-07-5A-21”（注意要寫自己局域網網關的IP地址和MAC地址）。綁定完可再用“arp -a ”命令查看arp 緩存表，則會發現網關類型變成了靜態： Internet Address Physical Address Type 60.2.11.1 00-19-C6-07-5A-21 static（靜態）,但是，需要說明的是手工綁定在計算機關機重開機后就會失效，需要再綁定。我們可以編寫一個批處理文件，放到啟動項中，這樣每次開機都會運行這個程序，可以防止arp 攻擊。請按照以下步驟操作：1) 編寫一個批處理文件arp.bat內容如下：如圖所示：echo offarp -darp -s 6

13、0.2.11.1 00-19-C6-07-5A-21,將文件中的網關IP地址和MAC地址更改為您自己的網關IP地址和MAC地址即可。,2）保存文件夾（自啟動文件夾）：C:Documents and SettingsAll Users開始菜單程序啟動 (注意,一定是All Users目錄下) 3）重起計算機 4）操作完成后可以看到:桌面開始菜單所有程序啟動arp.bat ，切記不要刪! 注：此方法要是換網段的話要重新設置。所以要徹底消除攻擊則要找出被病毒感染的計算機，殺除arp病毒，方可解決。,（三）、找出受病毒感染的計算機并查殺病毒,目前關于ARP類的防護軟件出的比較多，結合使用軟件可以找到受

14、病毒感染計算機的MAC 地址和IP地址，也就找到了該計算機。 Anti Arp Sniffer是一款檢測網絡內存在ARP木馬欺騙的工具。當懷疑網絡內存在ARP木馬時，可使用此工具來進行自我保護。或者設置為自動運行，可以免受ARP欺騙木馬的感染。 網絡內存在ARP 欺騙木馬時的癥狀通常如下：物理網絡正常的情況下，網絡不穩定，上網時斷時續。或者是突然不能連接互連網。這時您可以使用Anti Arp Sniffer來進行自我保護。 更深入一步，也可以檢測到感染ARP欺騙木馬的主機地址和MAC地址，這時我們可以和網管人員一起來找出病源，專門針對該機器進行病毒的查殺。首先要升級防病毒軟件的病毒定義碼，使得防病毒軟件的病毒庫為最新。然后斷開網線，查殺病毒。,六、預防措施：,機器被感染病毒，主要是防范意識薄弱，即使你的機器現在清除了該病毒，但以后仍然會感染新的病毒（包括該病毒變種及其他病毒）。為了有效防范來自病毒、黑客的網絡攻擊，要養成良好的使用習慣。 1、不要隨便點擊打開QQ、MSN等聊天工具上發