解决ARP攻击造成的局域网断网问题

【摘要】(Fushun Broad Electricity Cable Network Transmission Center,Fushun 113006,China) Abstract:This article introduced the ARP virus's characteristic and the virusmanifest s...

摘要：本文介绍了ARP病毒的特点及病毒发作时对局域网的影响，重点介绍了如何查找ARP病毒的根源及清除方法，最后介绍了日常对付ARP病毒的防护方法。

关键词：ARP攻击；局域网；互联网；MAC地址；IP地址

中图分类号：TP393文献标识码：B文章编号：1009-3044(2007)17-31238-01

Solves the Local Area Network which the ARP Attack Creates to Breakthe net Question

LI Yong

(Fushun Broad Electricity Cable Network Transmission Center,Fushun 113006,China)

Abstract:This article introduced the ARP virus's characteristic and the virusmanifest suddenly when to the local area network the influence,introduced with emphasis how searches the ARP virus the origin and theelimination method, finally introduced daily copes with the ARP virusthe protection method.

Key words:ARP attack; Local area network; Internet; MAC address; IP address

最近，抚顺广播电视局大楼内的局域网总是不稳定，连连出现断网的现象。给同事们网络办公带来很多不便。由于整个大楼通过局域网共享internetr 的方式连接互联网，起初我们还以为是楼内Internet出口的故障呢？可是掉线情况越来越频繁，经过我们认真的走访发现楼内有的电脑正常，没有发生过掉线现象。这下我们认定问题出现在单位内部，并断定是病毒在捣鬼！根据局域网内计算机频繁掉线的现象，我们认为单位内的某台电脑可能中了ARP病毒（ARP是“AddressResolutionProtocol”“地址解析协议”的缩写），这种病毒有些杀毒软件很难根除，病毒发作时其症状表现为计算机网络连接正常，却无法打开网页；或由于ARP欺骗的木马程序（病毒）发作时发出大量的数据包，导致局域网内用户上网不稳定，极大地影响了用户的正常使用，给整个局域网的安全带来严重的隐患。于是我们便在整个网络内展开了ARP病毒的捕杀过程。

ARP病毒发作时候的具体特征:

当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和交换机，让所有上网的流量必须经过病毒主机。其他用户原来直接通过交换机上网现在转由通过病毒主机上网，切换的时候用户会断一次线。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从交换机上网（此时交换机MAC地址表正常），切换过程中用户会再断一次线。该病毒发作时，仅影响同网段内机器的正常上网。

1 找出病毒的根源

首先我们通过局办公室的协助打开局域网内所有的电脑，随后下载了一款名为“Anti Arp Sniffer”的工具，这是一款ARP防火墙软件，该软件通过在系统内核层拦截虚假ARP数据包来获取中毒电脑的IP地址和MAC地址。此外，该软件能有效拦截ARP病毒的攻击，保障该电脑数据流向正确。

使用“Anti Arp Sniffer”查找感染毒电脑时，启动该程序，随后我们在右侧的“网关地址”项中输入该局域网内的网关IP，随后单击“枚取MAC”这时该程序会自动获取到网关电脑网卡的MAC地址（见图1）。MAC获取后单击“自动保护”按钮，这样“Anti Arp Sniffer”便开始监视通过该网关上网的所有电脑了。

片刻功夫，看到系统的任务栏中的“Anti Arp Sniffer”图标上弹出一个“ARP欺骗数据包”提示信息（见图2）。这就说明该软件已经侦测到ARP病毒。于是我打开“Anti Arp Sniffer”程序的主窗口，在程序的“欺骗数据详细记录”列表中看到一条信息（见图3），这就是“Anti Arp Sniffer”程序捕获的ARP病毒信息。

其中“网关IP地址”和“网关MAC地址”两项中是网关电脑的的真实地址，后面的欺骗机MAC地址就是中ARP病毒的MAC地址。ARP病毒将该局域网的网关指向了这个IP地址，导致其他电脑无法上网。

2 获取欺骗机IP

“Anti Arp Sniffer”虽然能拦截ARP病毒，但是不能有效的根除病毒。要想清除病毒小武决定还要找到感染ARP病毒的电脑才行。通过“Anti Arp Sniffer”程序我们已经获取了欺骗机的MAC，这样只要找到该MAC对应的IP地址即可。

获取IP地址，我们下载了网管工具“网络执法官”，运行该程序后，在“指定监控范围”中输入单位局域网IP地址段，随后单击“添加/修改”按钮，这样刚刚添加的IP地址段将被添加到下面的IP列表中。如果局域网内有多段IP，还可以进行多次添加。

添加后，单击“确定”按钮，进入到程序主界面。“网络执法官”开始对局域网内的所有电脑进行扫描，随后显示出所有在线电脑信息，其中包括网卡MAC地址、内网IP地址、用户名、上线时间以及下线时间等。在这样我就可以非常方便地通过MAC查找对应的IP地址了（见图4）。

3 清除ARP病毒

顺藤摸瓜，通过IP地址有找到了感染病毒的电脑，我们的第一反应就是将这台电脑断网，随后在该电脑上运行“ARP病毒专

杀”包中的“TSC.EXE”程序，该程序运行后，自动扫描电脑中的ARP病毒，功夫不大就将该电脑上的ARP病毒清除了。

4 常用的防护方法

终于将ARP病毒根除了，为了更好的防止ARP病毒的攻击，我们做了如下的防护方法：

（1）IP地址和MAC地址的静态绑定，在网内把主机和网关都做IP和MAC绑定。

ARP欺骗是通过ARP的动态实时规则来欺骗内网机器，所以我们把ARP全部设置为静态可以解决对内网PC的欺骗，同时在网关也要进行IP地址和MAC地址的静态绑定，这样的双向绑定才是比较保险的。方法如下：

对每台主机进行IP和MAC地址静态绑定。

通过arp -s 命令 （arp Cs IP MAC地址 ）实现 。

例如：“arp Cs192.168.10.1 AA-AA-AA-AA-AA-AA”。

如果设置成功在PC上面通过执行arp -a可以看到相关的提示：

Internet AddressPhysical Address Type

192.168.1.1AA-AA-AA-AA-AA-AAstatic(静态)

一般不绑定,在动态的情况下：

Internet AddressPhysical Address Type

192.168.1.1AA-AA-AA-AA-AA-AAdynamic(动态)

这种静态绑定，在电脑每次重起后，都必须重新再绑定，但可以做一个批处理文件，放在启动文件夹下，随系统启动运行。

（2）禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。禁用Windows系统的自动播放功能的方法：在运行中输入 gpedit.msc 后回车，打开组策略编辑器，依次点击：计算机配置->管理模板->系统->关闭自动播放->已启用->所有驱动器->确定。

（3）部署卡巴斯基网络版的杀毒软件，定期升级病毒库，定期进行全网杀毒。

通过以上方法，局域网内又恢复了正常。

参考文献：

[1]秦志光，张凤荔.计算机病毒原理与防范[M].北京：人民邮电出版社，2007.

[2]段海新, 杨波,王德强.计算机病毒防范艺术[M].北京：机械工业出版社，2007.

[3]Roger A.Grimes，张志斌，贾旺盛. 恶意传播代码――Windows病毒防护[M].北京：机械工业出版社，2004.

注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。