浅析局域网ARP病毒入侵与解决方案

摘要：ARP病毒不断地影响着局域网，导致计算机网络极不稳定，严重地影响到广大用户的网络安全和正常使用。文中从ARP病毒表面现象、攻击原理、病毒定位及解决方案等方面进行论述，以求彻底解决ARP病毒对局域网的影响。

关键词：ARP病毒；局域网；网络安全

中图分类号：TP309文献标识码：A文章编号：1009-3044(2008)26-1658-01

ARP of Viruses and LAN Solutions

HU Yun-dong

(Journal of Chizhou Vocational & Technical College, Chizhou 247000, China)

Abstract: ARP virus continue to affect the local area network,leading to the computer network instability,seriously affecting the majority of users of network security and normal use.ARP from the text of the virus symptoms,the principle of attacks,viruses and targeted solutions to the areas discussed,in order to completely solve the ARP virus on the LAN impact.

Key words: ARP virus; local area network; network security

近期局域网经常出现网速比较慢并经常伴随网络中断等现象，使广大用户上网受到很大的影响，通过电信运行商检测线路后发现，当把路由器内网关闭时，发现外网线路一切正常，而开启后，则再次出现上述网络故障。经过检测，初步判断故障问题主要集中在内网计算机用户上，结合目前网络上流行的病毒情况，怀疑可能与ARP病毒有关。下面就从ARP病毒表面现象、攻击原理、病毒定位及解决方案等几方面进行剖析，以求消除ARP病毒对局域网安全所造成的影响。

1 ARP病毒表面现象

常见ARP攻击对象有两种，一是网络网关，也就是路由器，二是局域网上的计算机，也就是一般用户。攻击网络网关就好比发送错误的地址信息给快递员，让快递员整个工作大乱，所有信件无法正常送达；而攻击一般计算机就是直接和一般人谎称自己就是快递员，让一般用户把需要传送的物品传送给发动ARP攻击的计算机。由于一般的计算机及路由器的ARP协议的意志都不坚定，因此只要有恶意计算机在局域网中持续发出错误的ARP信息，就会让计算机及路由器信以为真，做出错误的传送网络包动作。具体情况表现在：1） 网络运行不稳定，经常出现网络闪断，丢包现象比较严重；2） 内网单机或局部掉线，重启、禁用本地连接后可以恢复网络连接；3） 全部掉线，必须重新启动路由器才可上网；4） 内网上网用户丢号问题严重，频繁出现丢号现象。

2 ARP病毒攻击原理

ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址（MAC地址）的协议。ARP是系统进行通讯的基础，是以信任为基础的，如果破坏了这种信任，那就形成ARP欺骗。一般计算机中的原始的ARP协议，很像一个思想不坚定，容易被其它人影响的人，ARP欺骗/攻击就是利用这个特性，误导计算机做出错误的行为。

在局域网中，ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP数据包致使网络阻塞或者出现ARP重定向和嗅探攻击。

每个主机都用一个ARP高速缓存存放最近IP地址到MAC地址之间的映射记录，并且每条映射记录的生存时间一般为60秒，起始时间从被创建时开始算起。默认情况下，ARP从缓存中读取IP-MAC映射记录，而缓存中的IP-MAC映射记录是根据ARP响应包动态变化的。因此，只要网络上有ARP响应包发送到本机，即会更新ARP高速缓存中的IP-MAC映射记录。攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC映射记录，当向局域网中大量发送虚假的ARP信息后，就会造成局域网中机器的ARP缓存表出现崩溃，导致网络中断。

另外，当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的计算机数据包全部经过病毒主机。原来直接通过路由器上网现在转由通过病毒主机上网，此时就会出现断线，致使用户必须重新进行登录一些帐号和密码，这样病毒主机就可以盗号了。同时，由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞，造成用户会上网速度越来越慢。

3 ARP病毒快速定位

如何能够快速检测定位出局域网中的ARP病毒电脑？面对着局域网中成百台电脑，一个一个地检测显然不是好办法。其实我们只要利用ARP 病毒的基本原理：发送伪造的ARP欺骗广播，中毒电脑自身伪装成网关的特性，就可以快速锁定中毒电脑。

可以设想用程序来实现以下功能：在网络正常的时候， 牢牢记住正确的网关IP地址和MAC地址，并且实时监控来自全网的ARP数据包。当有某个ARP数据包广播时，发现正确网关IP地址对应的MAC地址竟然是其它电脑的MAC地址的时候，断定ARP欺骗发生了。再根据网络正常时候的IP－MAC映射记录查询该电脑，定位出其IP地址，这样就定位出中毒电脑了。

很多管理员认为有高级功能防火墙，可以得到相应的保护，恰恰相反，防火墙会误以为这是正常的请求数据包，不予拦截。由此而见，需要我们找到问题根源，找到源头，才能真正解决问题所在。当局域网内出现上面症状后，可使用以下三种方法来检测ARP中毒电脑：

方法一：使用Sniffer抓包

在网络内任意一台主机上运行抓包软件，捕获所有到达本机的数据包。如果发现有某个IP不断发送ARPRequest请求包，那么这台电脑一般就是病毒源。

原理：无论何种ARP病毒变种，行为方式有两种，一是欺骗网关，二是欺骗网内的所有主机。最终的结果是，在网关的ARP缓存表中，网内所有活动主机的MAC地址均为中毒主机的MAC地址；网内所有主机的ARP缓存表中，网关的MAC地址也成为中毒主机的MAC地址。前者保证了从网关到网内主机的数据包被发到中毒主机，后者相反，使得主机发往网关的数据包均发送到中毒主机。

方法二：使用ARP -a命令

任意选两台不能上网的主机，在DOS命令窗口下运行ARP -a命令。例如在结果中，两台电脑除了网关的IP，MAC地址对应项，都包含了192.168.168.24的这个IP，则可以断定192.168.168.24这台主机就是病毒源。

原理：一般情况下，网内的主机只和网关通信。正常情况下，一台主机的ARP缓存中应该只有网关的MAC地址。如果有其他主机的MAC地址，说明本地主机和这台主机最后有过数据通信发生。如果某台主机（例如上面的192.168.168.24）既不是网关也不是服务器，但和网内的其他主机都有通信活动，且此时又是ARP病毒发作时期，那么，病毒源也就是它了。

方法三：使用Tracert命令

在任意一台受影响的主机上，跟踪一个外网地址，例如在DOS命令窗口下运行如下命令：Tracert 202.96.134.133。假定设置的缺省网关为192.168.168.254，第一跳却是192.168.168.24，那么，192.168.168.24就是病毒源。

原理：中毒主机在受影响主机和网关之间，扮演了“中间人”的角色。所有本应该到达网关的数据包，由于错误的MAC地址，均被发到了中毒主机。此时，中毒主机越俎代庖，起了缺省网关的作用。

4 ARP病毒解决方案

现在最常用的解决方法是“ARP双向绑定”。由于ARP攻击往往不是病毒造成的，而是合法运行的程序(外挂、网页)造成的，所以杀毒软件多数时候束手无策。所谓“双向绑定”，就是在路由器上绑定ARP表的同时，在每台电脑上也绑定ARP表项。“ARP双向绑定”能够防御轻微的、手段不高明的ARP攻击。ARP攻击程序如果没有试图去更改绑定的ARP表项，那么ARP攻击就不会成功；如果攻击手段不剧烈，也欺骗不了路由器，这样我们就能够防住ARP攻击。

但是，现在ARP攻击的程序往往都是合法运行的，所以能够合法的更改电脑的ARP表项。在现在ARP双向绑定流行起来之后，攻击程序的作者也提高了攻击手段，攻击的方法更综合，仅仅进行双向绑定已经不能够应付凶狠的ARP攻击了，于是我们在路由器中加入了“ARP攻击主动防御”的功能。这个功能是在路由器ARP绑定的基础上实现的，原理是：当内网受到错误的ARP广播包攻击时，路由器立即广播正确的ARP包去修正和消除攻击包的影响。这样我们就解决了掉线的问题，但是在最凶悍的ARP攻击发生时，仍然发生了问题――当ARP攻击很频繁的时候，就需要路由器发送更频繁的正确的ARP数据包去消除影响。虽然不掉线了，但是却出现了上网“卡”的问题。所以，单纯依靠路由器实现“ARP攻击主动防御”，也只能够解决80%的问题。

要真正消除ARP攻击的隐患，安枕无忧，必须转而对“局域网核心” ――交换机下手，即使用可防御ARP攻击的三层交换机，并且在每台交换机上绑定端口MAC-IP，合理划分VLAN，过滤掉所有非法的ARP包。因为任何ARP包，都必须经由交换机转发，才能达到被攻击目标，只要交换机拒收非法的ARP包，那么ARP攻击就不能造成任何影响。这样一个真正严密的防止ARP攻击的方案，就可以让ARP攻击足不能出户，在局域网内完全消除了。

总之，ARP欺骗是目前网络管理，特别是局域网管理中最让人头疼的攻击，他的攻击技术含量低，随便一个人都可以通过攻击软件来完成ARP欺骗攻击。ARP攻击防制是一个任重而道远的过程，必须高度重视这个问题，随时警惕ARP攻击，以减少危害，降低经济损失。