防范ARP病毒的一些體驗

經(jīng)過這段時間的工作， 特將此次給單位查殺ARP病毒的過程及體難發(fā)上來供大家參考， 希望能給大家有所幫助。

    本人單位的局域網(wǎng)前段時間感染了ARP病毒， 用了兩個星期的時間致力于和ARP病毒做斗爭， 瑞星查殺不了， ARP專殺工具不起作用， 影響極其劣， 局域網(wǎng)以及內(nèi)部廣域網(wǎng)每隔20分鐘就斷掉時， 通時斷， 視頻會議無法進行， 本人在網(wǎng)上查找了大量資料， 也試過多種方法， 無法很好地解決。 只能靠自己多年的經(jīng)驗邊摸索邊實踐， 現(xiàn)將整個過程寫出來和大家分享一下， 希望能給碰到這種情況的兄弟有點幫助。

      這里先介紹一下什么是ARP。 ARP（AddressResolutionProtocol）地址解析協(xié)議用于將計算機的網(wǎng)絡(luò)IP地址轉(zhuǎn)化為物理MAC地址。 ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址， 查詢目標(biāo)設(shè)備的MAC地址， 以保證通信的順利進行。 在每臺安裝有TCP/IP協(xié)議的電腦里都有一個ARP緩存表， 表里的IP地址與MAC地址是一一對應(yīng)的， 如果系統(tǒng)ARP緩存表被修改不停的通知路由器一系列錯誤的內(nèi)網(wǎng)IP或者干脆偽造一個假的網(wǎng)關(guān)進行欺騙的話， 網(wǎng)絡(luò)就肯定會出現(xiàn)大面積的掉線問題。 ARP攻擊在現(xiàn)今的網(wǎng)絡(luò)中頻頻出現(xiàn)， 有效的防范ARP形式的網(wǎng)絡(luò)攻擊已成為確保網(wǎng)絡(luò)暢通必要條件。 ARP病毒攻擊與普通病毒不同， 它是一類病毒攻擊行為的總稱， 而具體的病毒攻擊文件不固定， 查殺中很難進行全面地防御， 因此防御此類病毒攻擊通常從攔截網(wǎng)絡(luò)行為入手， 以前的ARP病毒攻擊， 只需綁定網(wǎng)關(guān)和本機IP地址與MAC網(wǎng)卡地址， 新的ARP病毒則需要全面的攔截防御。

    基本知識介紹完畢， 開始工作。 首先， 也是最重要的一步， 設(shè)法獲取局域網(wǎng)網(wǎng)關(guān)的真實IP及MAC， 如果以前保存有網(wǎng)絡(luò)參數(shù)配置數(shù)據(jù)， 那么這一步很簡單了， 接下來的工作也輕松許多， 我這里除服務(wù)器外， 工作站都是通過DHCP獲取IP， 沒有采用靜態(tài)IP， 如果是采用靜態(tài)IP， 那么你可以試試雙向綁定工作站的IP和網(wǎng)關(guān)的MAC。 服務(wù)器安裝的是win2000 server sp4， 工作站端安裝的是win2000和win XP。 接下來就要把你提前準(zhǔn)備好的各種殺軟和維護工具（我準(zhǔn)備的是ARP防火墻網(wǎng)絡(luò)版、360安全衛(wèi)士、AV終結(jié)者專殺、U盤病毒專殺、完美卸載2008版、ARP病毒專殺工具， 當(dāng)然你可以再多準(zhǔn)備幾款工具）下發(fā)到每臺工作站上面， 有條件最好準(zhǔn)備好相關(guān)的系統(tǒng)安全補丁。

    接下來就要找到一臺正常的工作站及服務(wù)器， 如果不行那就用一臺干凈的筆記本電腦接入局域網(wǎng)吧， 安裝ARP防火墻服務(wù)器端軟件， 設(shè)置好網(wǎng)關(guān)真實IP及MAC， 作為防火墻服務(wù)器管理監(jiān)控端使用， 并在每臺工作站端安裝ARP防火墻客戶端軟件， 安裝好后斷開網(wǎng)絡(luò)， 開始對每臺工作站進行查殺工作， 本人首先使用的是完美卸載進行了系統(tǒng)垃圾清理、插件清理以及木馬清理， 如果不放心還可以用多種木馬清除工具再次掃描， 順便做了下磁盤整理， 完成后使用其他準(zhǔn)備好的工具都掃描一遍， 打好系統(tǒng)安全補丁， 接著就重啟計算機， 進入安全模式， 運行殺毒軟件進行全盤掃描。 所有工作完成后就可以接入網(wǎng)絡(luò)了， 但還不能保證能夠清除ARP病毒。

    最后一步， 回到安裝有ARP防火墻服務(wù)器端的電腦旁， 坐下來， 仔細查看監(jiān)控信息， 因為事先設(shè)置好的網(wǎng)關(guān)真實IP及MAC， 如果在監(jiān)控端發(fā)現(xiàn)的有工作站在發(fā)送非可信路由的數(shù)據(jù)包， 那么這些工作站肯定感染了ARP病毒， 這種情況下， 本人建議對這幾臺機子進行系統(tǒng)重裝并格式化各分區(qū)， 前提是要備份好重要數(shù)據(jù)， 這樣才能真正保證清除了ARP病毒， 除此之外， 本人也沒找到更好更快速的解決辦法， 如果有哪位兄弟有心得希望提供一下方法， 讓我也學(xué)習(xí)學(xué)習(xí)。 謝謝！

    因為這一次被動防御， 如果平時更加主動防范一下， 也不會造成如此局面， 所以平常的防范很重要。 還好目前本人已經(jīng)基本控制了局面， 不再為ARP病毒煩惱了。

    需要說明一下， 由于我使用的ARP防火墻網(wǎng)絡(luò)版軟件是免費的， 所以安裝后會有一個小小的困擾， 防火墻不允許修改IE首頁， 如果你的局域網(wǎng)有內(nèi)部網(wǎng)站， 建議你使用其他的瀏覽器。