巧妙清除并防范局域網(wǎng)中的ARP病毒

現(xiàn)在局域網(wǎng)中感染ARP病毒的情況比較多， 清理和防范都比較困難,給不少的網(wǎng)絡(luò)管理員造成了很多的困擾。 下面就是個(gè)人在處理這個(gè)問(wèn)題的一些經(jīng)驗(yàn)， 同時(shí)也在網(wǎng)上翻閱了不少的參考資料。

ARP病毒的癥狀 

有時(shí)候無(wú)法正常上網(wǎng)， 有時(shí)候有好了， 包括訪(fǎng)問(wèn)網(wǎng)上鄰居也是如此， 拷貝文件無(wú)法完成， 出現(xiàn)錯(cuò)誤；局域網(wǎng)內(nèi)的ARP包爆增， 使用ARP查詢(xún)的時(shí)候會(huì)發(fā)現(xiàn)不正常的MAC地址， 或者是錯(cuò)誤的MAC地址對(duì)應(yīng)， 還有就是一個(gè)MAC地址對(duì)應(yīng)多個(gè)IP的情況也會(huì)有出現(xiàn)。  

ARP攻擊的原理

ARP欺騙攻擊的包一般有以下兩個(gè)特點(diǎn)， 滿(mǎn)足之一可視為攻擊包報(bào)警：第一以太網(wǎng)數(shù)據(jù) 包頭的源地址、目標(biāo)地址和ARP數(shù)據(jù)包的協(xié)議地址不匹配。 或者， ARP數(shù)據(jù)包的發(fā)送和目標(biāo)地址不在自己網(wǎng)絡(luò)網(wǎng)卡MAC數(shù)據(jù)庫(kù)內(nèi)， 或者與自己網(wǎng)絡(luò)MAC數(shù)據(jù) 庫(kù)MAC/IP不匹配。 這些統(tǒng)統(tǒng)第一時(shí)間報(bào)警， 查這些數(shù)據(jù)包(以太網(wǎng)數(shù)據(jù)包)的源地址(也有可能偽造)， 就大致知道那臺(tái)機(jī)器在發(fā)起攻擊了。 現(xiàn)在有網(wǎng)絡(luò)管理 工具比如網(wǎng)絡(luò)執(zhí)法官、P2P終結(jié)者也會(huì)使用同樣的方式來(lái)偽裝成網(wǎng)關(guān)， 欺騙客戶(hù)端對(duì)網(wǎng)關(guān)的訪(fǎng)問(wèn)， 也就是會(huì)獲取發(fā)到網(wǎng)關(guān)的流量， 從而實(shí)現(xiàn)網(wǎng)絡(luò)流量管理和網(wǎng)絡(luò)監(jiān) 控等功能， 同時(shí)也會(huì)對(duì)網(wǎng)絡(luò)管理帶來(lái)潛在的危害， 就是可以很容易的獲取用戶(hù)的密碼等相關(guān)信息。

處理辦法 

通用的處理流程 

1.先保證網(wǎng)絡(luò)正常運(yùn)行 

方法一：編輯一個(gè)***.bat文件內(nèi)容如下： 

arp.exe s**.**.**.**（網(wǎng)關(guān)ip） ************（網(wǎng)關(guān)MAC地址）end 　

讓網(wǎng)絡(luò)用戶(hù)點(diǎn)擊就可以了! 

辦法二：編輯一個(gè)注冊(cè)表問(wèn)題， 鍵值如下： 

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"MAC"="arp s網(wǎng)關(guān)IP地址網(wǎng)關(guān)MAC地址" 

然后保存成Reg文件以后在每個(gè)客戶(hù)端上點(diǎn)擊導(dǎo)入注冊(cè)表。

2.找到感染ARP病毒的機(jī)器 

a、在電腦上ping一下網(wǎng)關(guān)的IP地址， 然后使用ARP －a的命令看得到的網(wǎng)關(guān)對(duì)應(yīng)的MAC地址是否與實(shí)際情況相符， 如不符， 可去查找與該MAC地址對(duì)應(yīng)的電腦。  

b、使用抓包工具， 分析所得到的ARP數(shù)據(jù)報(bào)。 有些ARP病毒是會(huì)把通往網(wǎng)關(guān)的路徑 指向自己， 有些是發(fā)出虛假ARP回應(yīng)包來(lái)混淆網(wǎng)絡(luò)通信。 第一種處理比較容易， 第二種處理比較困難， 如果殺毒軟件不能正確識(shí)別病毒的話(huà)， 往往需要手工查找感 染病毒的電腦和手工處理病毒， 比較困難。  

c、使用MAC地址掃描工具， Nbtscan掃描全網(wǎng)段IP地址和MAC地址對(duì)應(yīng)表， 有助于判斷感染ARP病毒對(duì)應(yīng)MAC地址和IP地址。  

預(yù)防措施

1、及時(shí)升級(jí)客戶(hù)端的操作系統(tǒng)和應(yīng)用程式補(bǔ)�。� 

2、安裝和更新殺毒軟件。  

3、如果網(wǎng)絡(luò)規(guī)模較少， 盡量使用手動(dòng)指定IP設(shè)置， 而不是使用DHCP來(lái)分配IP地址。  

4、如果交換機(jī)支持， 在交換機(jī)上綁定MAC地址與IP地址。