浅谈ARP病毒的危害及防治

1、浅谈arp病毒的危害及防治论文导读：局域网中感染arp病毒的情况也越来越多。而且该病毒危害较大。 病毒的防范措施。掌握其防范和清除方法十分必要。清除方法，浅谈arp病毒 的危害及防治。关键词：arp病毒，危害，防范措施，清除方法随着网络技术的发展，局域网的使用日益广泛，局域网中感染arp病毒 的情况也越来越多，而且该病毒危害较大，清理和防范较难，给网络管理员和用 户造成了诸多困扰。因此，了解arp病毒，掌握其防范和清除方法十分必要。1 arp病毒简介arp本身不是病毒，而是一种地址解析协议。arp就是主机在发送数据 帧前将目标ip地址转换成目标mac地址的协议，与之相对应的是rarpo1.1

2、arp病毒的起源 2007年春，许多局域网出现网络运行不稳定，频繁断网、ie浏览器接连出错、ip地址冲突等问题。6月上旬，国家计算机病毒应急处理中心通报一种新型 地址解析协议欺骗（简称:arp欺骗）的恶意木马程序正在网络中传播。论文检测， 清除方法。这是arp病毒第一次公开出现在大众视线中，从此，arp病毒逐渐 在校园网、部门网、企业网、社区网以及网吧等局域网中蔓延。1.2 arp病毒的分类arp病毒可分为两种，一种是arp欺骗，另一种是arp攻击。arp欺骗最先是黑客们偷盗网络账号使用的，后来被广泛用于类似网路岗、网络执法官 之类的网络管理工具。arp欺骗主要有三种形式，即冒充主机欺骗主机、

3、冒充 网关欺骗主机和冒充主机欺骗网关。arp欺骗中，被骗主机或网关会将数据发 送给伪装的主机，从而伪装主机就达到了截获数据的目的。而arp攻击纯粹是 以破坏网络通讯为主要目的，伪造出大量的arp报文(内含mac和ip地址)， 在局域网内广播，造成主机和网关的arp高速缓存表溢出，使得局域网内所有 主机都失去了有序的组织和联系。1.3 arp病毒原理分析这里以一种arp欺骗病毒为例介绍其运作过程，病毒样本有三部分组件构成：病毒组件释放者：%windows%system32loadhw.exe发arp欺骗包的驱动程序：%win dows%system32driversnpf.sys命令驱动程序发a

4、rp欺骗包的控制者:%windows%system32msitinit.dll 具体过程如下：(1 jloadhw.exe在执行的时候会释放两个组件npf.sys和msitinit.dll , loadhw.exe释放组件后即终止运行。(2 )接着msitinit.dll将npf.sys注册为内核级驱动设备：netgroup packet filterdriver ,并监视其运行，另外它还控制npf.sys发送apr欺骗包、抓包、 过滤包等。（3 ）同时npf.sys负责监护msitinit.dll.并将loadhw.exe注册为自启 动程序：hkey_loca l_machinesoftwa

5、remicrosoftwindowscurre ntversion'r unon cedwmytest =loadhw.exe2 arp病毒的危害主机中了 arp病毒后，有些行为就不受用户的意愿控制了，会给用户本 身和网络造成很大的危害。2.1 arp病毒对pc的危害arp病毒会使pc出现网络异常、ip冲突，打开网页速度慢甚至无法打开 网页，或者打开网页时莫名的弹出广告窗口等。可能造成用户数据被窃取（如重 要资料、涉密文件等个人隐私泄漏（如msn聊天记录、邮件等）、账号被盗用 （如qq账号、网银账号等）等恶性事件；也可能造成请求数据被篡改（如访问的网 页被添加了恶意内容，俗称挂马）和用

6、户主机遭非法控制（如某些文件打不开、某 些网络应用程序用不了）等情况。2.2 arp病毒对网络的危害先说arp攻击病毒，只要局域网内有一台主机中了该病毒，它就会不断 地在全网内发送虚假的arp请求包和应答包，造成网络拥堵，全网主机无法正 常通信。其次arp欺骗病毒，无论是三种欺骗方式的哪种，都会造成网络组织 和秩序的混乱。论文检测，清除方法。冒充主机欺骗主机与冒充主机欺骗网关会 使得被冒充的主机（真主机）无法收到其他设备的数据，冒充网关欺骗主机会使得全网主机都把数据发送给冒充网关（假网关），而无法正常向外发送数据（即 无法上网3 arp病毒的防范措施arp病毒的危害很大，防范arp病毒，要从两

7、方面入手，一是接入设备, 二是用户主机。3.1接入设备层的防范措施局域网的接入设备方面，主要由网络管理员负责，具体可以通过以下五个方法来防范。3.1.1使用pvlan技术实现端口隔离arp病毒一般是针对同一网段内的某台或所有主机，因此只要vlan足够小，就可以有效避免arp病毒的攻击。但就简单的在交换机上多划分一些vlan ,给每个vlan少分配一些端口，会造成ip地址的严重浪费并增加交换机的管理难度。所以要使用pvlan技术，以实现端口之间的隔离，而又不用为 每个端口划分虚拟子网和分配子网ip地址。接于同一 pvlan的主机之间无法直接通信，而要通过默认网关的配置来实现。具体配置命令因不同交

8、换机而异， 可查阅交换机说明书或访问公司官方网站，或者在配置时通过？查看命令和参数 （般交换机有isolate命令可用'3.1.2静态绑定mic和ip地址在为局域网用户分配ip地址时，先收集用户的mac地址。在交换机端口上实施mac地址与端口绑定、ip地址与端口的绑定相结合，从而达到在端口上应用ip与mac地址绑定的功能。一旦绑定之后，交换机的arp表就定了，无论接收到来自任何计算机的arp欺骗都无法修改交换机的arp表，同时也就保证了路由的准确性，以此来避免arp病毒各式各样的攻击、欺骗。3.1.3使用具有arp过滤功能的路由器和交换机如果有条件的话，尽量使用可防御arp病毒的三层交

9、换机，设置端口流量限制，对超过阈值的端口进行自动断开；对arp包进行过滤，监控频繁发送 请求包和应答包的端口，及时发现并自动阻断arp攻击端口 ；同时配合arp 软件防火墙，会有更好的效果。目前市场上，具有防arp病毒的产品较多，如 思科（cisco ）路由器、侠诺（qno ）路由器等。3.1.4 使用 dhcp snooping 技术如果局域网比较大，可以使用dhcp snooping技术实现主机的ip地址动 态分配。dhcp snooping技术是dhcp安全特性，通过建立和维护dhcp snooping绑定表过滤不可信任区域的dhcp信息。dhcp snooping绑定表包 含不信任区域

10、的用户mac地址、ip地址、租用期和vlan-id接口等信息。交 换机中连接普通主机的端口在发送arp报文时受到交换机检测，报交中ip地址 与mac地址对必须与dhcp snooping检测并记录的主机当时动态申请的ip地 址相符，这样中毒主机就无法发送虚假的arp报文了。3.1.5使用专用机器作为arp解析服务器在局域网内部设置一台机器作为arp服务器，专门保存并且维护网络内 的所有主机的ip地址与m ac地址映射记录，使其他计算机的arp配置只接受 来自arp服务器的arp响应。当有arp请求时该服务器通过查阅自己缓存的 静态记录并以被查询主机的名义响应arp局域网内部的请求，从而防止了

11、arp 欺骗攻击的发生。3.2用户主机层的防范措施作为局域网用户，要防范arp病毒，主要应该做到以下三点。论文检测,清除方法。3.2.1开机绑定mic和ip用户开机后，进入命令提示符窗口下，运行以下三行代码，就可以对网关 ip与mac地址以及本机ip与mac地址进行静态绑定。为了避免麻烦，也可以 把它形成批处理文件后，保存在启动项中，这样开机就实现了静态绑定。arp darp -sxx-xx-xx-xx（网关 ip 地址）xx-xx-xx-xx-xx-xx（网关 mac 地址）arp -sxx-xx-xx-xx（本机 ip 地址）xx-xx-xx-xx-xx-xx（m mac 地址） 3.2.

12、2安装杀毒软件和防火墙网络上病毒很多，用户上网，安装杀毒软件和防火墙是十分必要的。常用 的具有防arp病毒的杀毒软件有瑞星、金山等。而且防火墙在防arp病毒过 程中也可以起到至关重要的作用，能有效地阻挡其攻击和欺骗，日常比较熟悉的 有arp防火墙、360防火墙、antiarp等。注意在安装了杀毒软件和防火墙后， 要及时更新。3.2.3养成良好的上网习惯用户上网时，要提高安全意识，并且养成良好的上网习惯，不打开来历不明的邮件，不浏览不健康的网页；特别是克服好奇心理，对那种弹出来的诱人窗 口或链接,（如：恭喜你中了 一等奖，发送你的银行卡号码领钱）一般都是带有欺 骗类或控制类病毒，千万不要打开。4

13、 arp病毒的清除方法arp病毒没有明显的特征字，对于一般的杀毒软件来说是很难查杀的。arp病毒的查杀首先要对局域网内的arp中毒机进行定位，然后再进行清除。4.1 arp病毒机的定位arp病毒的定位有三种方法，直接定位、工具定位以及嗅探定位，结合起 来效果更佳。首先在命令提示符下敲入arp a命令查询一下当前网关的mac 地址，如果与网关的真实mac不符，那它就是攻击者的mac地址。论文检测， 清除方法。如果相符，则打开mac地址扫描工具，形成当前局域网的ip和mac 对应表，再与正确的对应表相比较，即可确定攻击者的mac地址。如果是arp 报文泛洪攻击，使用sniffer软件嗅探全网，哪个

14、mac地址的arp包泛滥即为 攻击者。4.2手动清除在此仍以1.3的病毒为例，按以下顺序删除病毒组件：(1 )删除病毒组件释放者：%windows%system32loadhw.exe(2 )删除发arp欺骗包的驱动程序(兼病毒守护程序)：% windows % system32driversnpf.sys具体步骤如下：a. 在设备管理器中，单击查看显示隐藏的设备。b. 在设备树结构中，打开非即插即用。c. 找到netgroup packet fiiterdriver ,若没找到，请先刷新设备列表。d. 右键点击netgroup packet fiiterdriver菜单，并选择卸载。e. 重

15、启windows系统。论文检测，清除方法。f. 删除 %windows%system32driversnpf.sys(3 )删除命令驱动程序发arp欺骗包的控制者：% windows %system32msn init.dll（4）删除以下病毒的假驱动程序的注册表服务项:hkey_local_machinesystemcurrentcontrolsetservicesnpf4.3软件清除在确定了病毒机之后，断开其网络，再用专门的arp病毒清除软件（arp专杀、anti-arp等）进行查杀，之后重启机器即可。论文检测，清除方法。随着计算机技术的发展，arp病毒也在不断变异中，甚至嵌入其它病毒，给局域网安全带来新的挑战。网络的