在局域网中如何有效的防御ARP病毒

         在局域网中如何有效的防御ARP病毒

 王晓军

摘要:本文介绍了ARP协议的基本原理,阐述了ARP欺骗攻击产生的原因及在IDC中常见攻击手段。ARP病毒是一种地址欺骗的病毒，通过伪造IP地址和MAC地址来完成ARP欺骗，对ARP病毒的攻击原理做了探讨与分析。

　　关键词:ARP攻击;IP地址;MAC地址;IDC

　　1 引言

　　随着计算机网络的普及，很多公司、企业、学校等都建立了自己的局域网，这确实给工作带来了很大的方便，提高了工作效率。但与此同时专门针对局域网的木马病毒也随之出现，特别是近些年ARP木马病毒很是猖獗，给我们的日常工作带来了很多麻烦。本文仅就ARP木马病毒进行介绍与分析，包括其类型、攻击计算机时的一些症状、攻击的原理及预防方法和注意事项　　

2 ARP协议简介

　　ARP(Address Resolution Protocol)是地址解析协议,提供了从IP地址到物理地址的映射。即通过已知的网络层(IP层,也就是相当于OSI的第三层)地址获得数据链路层(MAC层,也就是相当于OSI的第二层)的MAC地址。

ARP工作原理:主机A向主机B发送报文,会首先查询本地的ARP缓存表,通过B的IP地址找到对应的MAC地址后,就会进行数据传输。如果未找到,则A会广播一个 ARP请求报文(此报文中包含主机A的IP地址到物理地址的映射及主机B的IP地址),请求主机B回答其物理地址。网上所有主机包括B都收到该ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。

局域网一般通过统一的网关来访问外部网络，比如上网浏览网页(http协议)，某机器上的恶意代码通过欺骗，让其他机器将网关IP的MAC地址都指向自己，又欺骗网关使得其他机器IP的MAC地址也指向自己，只有它自己保存着一份真实的IP—MAC转换表。这样，基于网中所有机器的上网包都通过该恶意代码的机器进行转发，从而该代码就能截获局域网其他用户的很多上网信息。这种采用ARP欺骗的恶意代码就是ARP病毒

　　　　3 ARP病毒

　　ARP地址欺骗类病毒(以下简称ARP病毒)是一类特殊的计算机病毒，该病毒一般属于木马病毒，不具备主动传播的特性，不会自我复制。但是由于其发作的时候会向局域网发送伪造的ARP数据包，自身伪装成网关，干扰全网的运行，因此它的危害比一些蠕虫还要严重得多。

　　下面我们来看一下ARP病毒有哪些类型。

　　ARP病毒大致分三类：

　　第一种：病毒主机只冒充网关IP地址。如果其他用户的电脑事先把网关的MAC地址做了ARP绑定，那么病毒主机其实影响不到它。安装了Anti之类的软件也能起到预防效果。

　　第二种：病毒主机疯狂地与全网所有IP地址进行冲突。遭受到IP冲突攻击的电脑往往会突然有几秒钟网络不通，然后恢复正常，几分钟后，下一轮冲突开始，又会断网几分钟。对于这一种病毒，即使装了之类的软件，效果也不大，甚至在交换机上做MAC地址绑定都用处不大。只能把病毒机器所在的交换机端口down掉。

　　第三种：这是目前最厉害的ARP病毒，它可以进行双向ARP欺骗。病毒主机随机选择一些内网的在线主机进行欺骗，告诉它们病毒主机就是防火墙，然后他又欺骗防火墙，说那些被欺骗的主机的MAC地址都是我病毒主机的MAC地址。这样一来，防火墙的ARP表中，那些主机的IP对应的MAC是病毒主机的，而被骗的主机则都把数据发给病毒主机进行转发，而防火墙返回的数据包也都会经过病毒主机转发，病毒主机就可以从数据包中抓取游戏帐号、密码等信息。

　　4 诊断、检测和防治ARP病毒

　　如果用户发现以上疑似情况，可以通过如下操作进行诊断：点击“开始”按钮—>选择“运行”—输入CMD后单击“确定”，在出现的窗口中输入“ARP—d”后敲回车。然后重新尝试上网，如果能恢复正常则说明此次掉线可能是受ARP欺骗所致。(“ARP—d”命令用于清除并重建本机ARP表并不能抵御ARP欺骗，执行后仍有可能再次遭受ARP攻击。)

　　可以使用局域网内ARP病毒检测工具程序。运行输程序后输入本网段的网关IP地址，点击“获取网关MAC地址”，检查网关IP地址和MAC地址无误后，点击“自动保护”。若不知道网关IP地址，可通过以下操作获取：点击“开始”按钮—>选择“运行”—>输入command点击“确定”—>输入Iconfig按回车，“Default Gateway”后的IP地址就是网关地址。软件会在提示框内出现病毒主机的MAC地址。(例如某台主机的地址是00：E0：63：9A：5C：3D，除此之外检测到的就是ARP攻击地址，可上报网络中心进行屏蔽)

　　要防治ARP病毒可在计算机上安装ARP防火墙，这样既可以拦截外部ARP欺骗广播，也可以拦截本机ARP病毒对外部发送ARP欺骗广播，达到既不受外部ARP病毒影响，也不影响外部其他计算机的目的。

5防范措施

　　针对局域网机房内经常发生的ARP病毒攻击,在此介绍防范ARP攻击的几种方法。

　　5.1 常用解决方法

　　  静态绑定

　（1）　杜绝IP 地址盗用现象。如果是通过代理服务器上网:到代理服务器端让网络管理员把上网的静态IP 地址与所记录计算机的网卡地址进行捆绑。如:ARP-s 192.16.10.400-EO-4C-6C-08-75.这样,就将上网的静态IP 地址192.16.10.4 与网卡地址为00-EO-4C-6C-08-75 的计算机绑定在一起了,即使别人盗用您的IP 地址,也无法通过代理服务器上网。如果是通过交换机连接,可以将计算机的IP地址、网卡的MAC 地址以及交换机端口绑定。

　　  (2) 具有ARP防护功能的路由器

　　这类路由器以前听说得很少，对于这类路由器中提到的ARP防护功能，其实它的原理就是定期地发送自己正确的ARP信息。但是路由器的这种功能对于真正意义上的攻击，是不能解决的。

　　（3）查看防火墙日志

局域网中有电脑感染ARP类型病毒后，一般从防火墙的日志中可以初步判断出感染病毒的主机。

感染病毒的机器的典型特征便是会不断的发出大量数据包，如果在日志中能看到来自同一IP的大量数据包，多半情况下是这台机器感染病毒了。

这里以Nokia IP40防火墙为例，进入防火墙管理界面后，查看日志项，在“Event Log”标签下可以明显看到内网中有一台机器不断的有数据包被防火墙拦截，并且间隔的时间都很短。目标地址为公司WEB服务器的外网IP地址，设置过滤策略时对WEB服务器特意加强保护，所以可以看到这些项目全部是红色标示出来的()。

height=297

到WEB服务器的数据包被拦截了，那些没有拦截的数据包呢?自然是到达了目的地，而“目的”主机自然会不间断的掉线了。

由于内网采用的DHCP服务器的方法，所以只知道IP地址还没有用，必须知道对应的MAC地址，才能查到病毒源。我们可以利用NBTSCAN来查找IP所对应的MAC地址。如果是知道MAC地址，同样可以使用NBBSCAN来得到IP地址()。

height=214

由此可见，防火墙日志，有些时候还是可以帮上点忙的。

小提示：如果没有专业的防火墙，那么直接在一台客户机上安装天网防火墙之类的软件产品，同样能够看到类似的提醒。
1 内容导航查看防火墙日志 ：利用现有工具 有效防守

（3）有效防守

俗话说，进攻才是最好的防守。虽然通过上面的方法可以找到病毒源，并最终解决问题，不过长期有人打电话抱怨“又断线了……”。总是这样擦屁股，似乎不是长久之际，因此有效保护每一台机器不被ARP欺骗攻击才是上策。

比较有效的方法之一便是在每一台机器上安装ARP防火墙，设置开机自启动，并且在“拦截本机发送的攻击包”项打勾，这样不仅可以保护不受攻击，还可以防止本机已感染病毒的情况下，发送欺骗数据攻击别的机器的情况发生。

height=406

另外，如果你只是在一个较小的局域网环境中，并且也不想安装ARP防火墙增加系统开销，可以手工绑定自己的MAC地址及IP地址，这样就也可以避免被ARP欺骗数据攻击。

首先使用IPCONFIG命令查看本机网卡的MAC地址及IP地址。然后输入“arp -d”将缓存数据清空，再执行“arp –s IP地址 Mac地址”绑定MAC地址及IP地址。

height=140

使用这种方法绑定的弱点便是，机器重新启动之后，绑定便会失效，需要重新绑定。因此可将上面的命令行做成一个批处理文件，并将快捷方式拖放到开始菜单的“启动”项目中，这样就可以实现每次开机自动绑定了。

所谓“道高一尺，魔高一丈”，技术总是在不断更新，病毒也在不断的发展。使用可防御ARP攻击的三层交换机，绑定端口MAC-IP，合理划分VLAN，彻底阻止盗用IP、MAC地址，杜绝ARP的攻击，才是最佳的防范策略。对于经常爆发病毒的网络，可以进行Internet访问控制，限制用户对网络的访问。因为大部分ARP攻击程序网络下载到客户端，如果能够加强用户上网的访问控制，就能很好的阻止这类问题的发生。

5.3 目前针对ARP病毒攻击还没有完全有效的防范方法，那么就要求我们平时使用计算机时要多加注意。下面就列举几点注意事项与大家交流：

　　(1)不要随便点击打开QQ、MSN等聊天工具上发来的链接信息及程序，不要随便打开或运行陌生、可疑文件和程序，如邮件中的陌生附件、外挂程序等。

(2)经常从网上下载软件的请注意，网上很多软件都是带病毒的!同时，很多提供下载的网站(包括课件、音乐、电影、动画、程序等等)都是个人小网站，安全性很差，网页本身也带有病毒，当你打开这些网站或下载时，很容易中毒或中木马!!!

　　(3)养成右击“我的电脑”选择“资源管理器”来打开我的电脑的良好习惯，不再使用双击方式打开“我的电脑”，因为双击时会启动该盘符下的默认自动运行的程序，而该功能恰恰经常被病毒利用。

　　(4)经常更新杀毒软件(病毒库)，安装正版的网络版杀毒软件并且要及时更新。

　　5 结束语

　　ARP 病毒攻击问题一直是困扰着局域网一个难题. 但其并不是无法解决的,通过建立完善的预防机制,能够最大程度上抵制ARP 欺骗攻击。　　

　　参考文献

　[1] 孟晓明.给予ARP的网络欺骗的检测与防范[J].信息技术,2005(5):41-44

　[2] 王坚,梁海军.ARP欺骗原理及其防范策略探讨[J].计算机与现代化,2008(2):90-101.

　[3] 叶城绪.校园网中基于ARP的欺骗及其预防[J].青海大学学报(自然科学报),2007(3):59-61.