浅论ARP病毒的防与治

摘要：校园网经常遭受ARP病毒的攻击，致使网络无法正常运行。本文分析了ARP病毒的攻击原理，故障诊断，提出了ARP病毒的防与治的策略。

关键词：校园网；ARP病毒；防与治

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2011) 14-0000-01

Talking on the Prevention and Treatment of ARP Virus

Li Jing

(Henan Agricultural Economic School,Luoyang471000,China)

Abstract:Campus network attacks are often subjected to ARP virus,resulting in the network can not function properly.This paper analyzes the principle of ARP virus attacks,fault diagnosis,made the ARP virus prevention and treatment of the strategy.

Keywords:Campus network;ARP virus;Prevention and treatment

最近校园网经常遭受ARP病毒的攻击，主要表现在：网络连接显示正常，但用户无法打开网页，网络状态显示收到的数据包为零，无法ping通网关。计算机频繁掉线，重启交换机后正常。严重时重启交换机后，也不能正常连接网络。ARP病毒的攻击严重影响了校园网的使用。结合工作实际，探讨一下对ARP病毒攻击的防范。

一、ARP病毒攻击原理

校园网内ARP病毒一般采用ARP欺骗的攻击方式。主要有两种情况：第一种，局域网内某台主机感染了ARP病毒，病毒截获网关数据，通知路由器错误的内网MAC地址，并不断进行，造成真实的地址信息无法通过更新保存在路由器中。这样原本流向网络中心的流量改道流向病毒主机，，造成受害者无法正常上网。中毒主机会发送大量数据包，造成网络拥塞，网速很慢。若重启交换机，网络会出现短时正常。第二种，ARP病毒建立假网关，网段内的PC向假网关发数据，不能通过正常的路由器途径上网。

二、ARP协议

ARP，即地址解析协议，其目的是通过IP地址得知其物理地址。在TCP/IP网络环境下，每个主机都分配了一个32位的IP地址，IP地址是在网际范围内标识主机的一种逻辑地址。为了让报文在物理网路上传送，必须知道对方目的主机的物理地址。这样就存在把IP地址变换成物理地址的地址转换问题。拿以太网环境为例，为了正确地向目的主机传送报文，必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址，这组协议就是ARP协议。

三、ARP病毒攻击故障诊断

如果用户发现突然不能上网，可以通过如下操作进行诊断：

方法一：如网络用户在使用计算机过程中，突然发现无法上网，可以先禁用网卡，然后再启用，如果启用之后能上网，就有可能是ARP病毒所致。

方法二：点击“开始”按钮->选择“运行”，输入cmd后，输入arp-a发现出现多个IP地址，并且出现不同的lP地址对应的MAC是―样的，因此基本确定是中了ARP欺骗。

方法三：点击“开始”按钮->选择“运行”，输入cmd后，输入“arp-d”->点击“确定”按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。“arp-d”命令能清除本机的arp表，arp表被清除后接着系统会自动重建新的arp表，“arp-d”命令并不能抵御ARP欺骗，执行“arp-d”命令后仍有可能再次遭受ARP攻击。

四、ARP病毒的防治

（一）IP地址和MAC地址静态绑定，在网内把主机和网关都做IP和MAC绑定。登记校园网内所有用户的IP地址，设置静态的MAC地址IP地址对应表，任何用户不得随意更换IP。具体办法如下：

进入“MS-DOS”方式，在命令提示符下输入如下命令：

ARP-sIP地址MAC地址

例如，假设有一台主机，其IP地址为：172.16.17.89，MAC地址为00-25-56-32-29-E6，将其MAC和IP绑定的命令如下：

ARP-s 172.16.17.89 00-25-56-32-29-E6

使用ARPCa命令查看ARP缓存列表，可以看出IP地址的类型为static.，表明它是静态项。通过以上操作，我们将IP地址172.16.17.89和网卡地址为00-25-56-32-29-E6的计算机绑定在一起，从而防止局域网ARP欺骗，有效保护校园网的安全。需要注意的是用户IP地址和MAC地址绑定后只能使用静态IP不能使用动态IP。因为如果使用动态IP电脑每次重启后得到的IP地址都不一样，造成路由器中保存的IP地址和MAC地址绑定条目不一样，电脑将不能上网。

（二）利用VLAN（虚拟局域网）技术，校园网按部门划分VLAN，分别由不同的VLAN与防火墙的内网口相连，各内网口配置不同的IP地址段，保证每个部门、楼层独立分配一个单独的IP地址段；校园汇聚交换机至各部门、楼层的交换机的互联端口启用VLAN划分（即采用VLAN技术将各楼层之间的终端机进行分离），保证各楼层之间的VLAN相对独立，减少ARP病毒带来的连锁反应，避免网络风暴的发生。

（三）用户电脑上安装杀毒软件和防火墙软件。升级为最新版后查杀计算机上感染的ARP病毒。注意打开防火墙软件上的ARP欺骗防御选项。安装ARP专杀工具如：Anti ARP Sniffer保护计算机。用户在查杀病毒时应断开网络连接，必要时可以格式化硬盘，重新安装操作系统。及时升级操作系统补丁，堵住系统后门。

（四）在校园网内安装木马监测软件，随时观测网络工作情况。一旦发现用户有不正常的数据流量及时查找对方IP并断网，保护校园网络的正常运行。

（五）用户应养成良好的上网习惯，增强网络安全意识。不轻易打开陌生网页和邮件，QQ聊天时不接收陌生人传过来的文件。防止感染木马病毒给校园网安全带来隐患。设置足够复杂的密码来保护计算机系统。定期用杀毒软件进行全盘杀毒。

ARP病毒对校园网正常运行的危害日益严重，ARP病毒利用ARP协议的漏洞使得对校园网的攻击成功率较高。校园网络管理人员和使用人员必须高度重视，不断更新防治ARP病毒的知识，及时采取有效的防治方法，保障校园网的正常运行。

参考文献：

[1]马玲.如何防范校园网ARP攻击[J].黑龙江科技信息,2009,6

[2]谢希仁.计算机网络[M].北京:电子工业出版社,2003,183-184

[作者简介]李竞（1974.12-），计算机及应用专业，研究方向：网络管理与维护。