浅谈企业网ARP病毒的危害及防治

1、浅谈企业网ARP病毒的危害及防治（第四采油厂第四油矿） 摘 要：局域网中感染ARP病毒的情况也越来越多。而且该病毒危害较大。病毒的防范措施。掌握其防范和清除方法十分必要。清除方法，浅谈ARP病毒的危害及防治。 主题词：ARP病毒，危害，防范措施，清除方法引 言 随着网络技术的发展，局域网的使用日益广泛，局域网中感染ARP病毒的情况也越来越多，而且该病毒危害较大，清理和防范较难，给网络管理员和用户造成了诸多困扰。因此，了解ARP病毒，掌握其防范和清除方法十分必要。1 ARP病毒的影响最近一段时期，在互联网中出现了一种以网络ARP协议为工作原理的病毒，它以破坏局域网的网络链接为目标，欺骗网关，阻断

2、入网计算机，造成计算机无法连接网络或网络时断时续，此病毒一经产生便大规模地在网络中蔓延，造成了很大的影响。采油厂企业网属于大型局域网，它采用以太网的通信规则进行数据的交换和传输。在企业网的日常管理和安全维护中，我们发现了多起ARP病毒入侵网络的现象，它们常常使网络时断时续、主机IP地址冲突、网页连接错误，给员工日常的办公和油田生产数据的传输带来了较大的影响。因此，ARP病毒的防治已成为采油厂企业网管理和维护的首要任务。 1.1 ARP病毒的起源许多局域网出现网络运行不稳定，频繁断网、IE浏览器接连出错、IP地址冲突等问题。国家计算机病毒应急处理中心通报一种新型“地址解析协议欺骗”(简称：ARP

3、欺骗)的恶意木马程序正在网络中传播。论文检测，清除方法。这是ARP病毒第一次公开出现在大众视线中，从此，ARP病毒逐渐在校园网、部门网、企业网、社区网以及网吧等局域网中蔓延。1.2ARP病毒的原理 ARP病毒是利用局域网中ARP协议工作原理进行网络破坏的。ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。每台交换机或安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下表所示： Internet Address Physical Address Type 2 00-06-29-38-cf

4、-54 dynamic 6 00-d0-b7-a8-26-38 dynamic 9 00-17-08-5c-b0-a1 dynamic 28 00-17-a4-44-74-19 dynamic 1.3 ARP病毒的分类ARP病毒在发展的过程中演化出了许多变种，经过研究，按照ARP病毒的原理主要可分为以下四类：类型一：发送arp数据包，伪装网段内其他主机的MAC地址，使得被伪装的主机无法接入企业网。导致部分（被伪装）主机无法接入企业网。 类型二 ：发送arp数据包，欺骗网关MAC地址，使得网段内所有主机访问企业网时访问病毒感染主机

5、。导致同一网段内所有主机无法接入企业网。 类型三 ：发送arp数据包，欺骗网关MAC地址为自身的MAC，使得网段内所有主机访问企业网时通过病毒主机，同时病毒主机会转发http请求，但是会在http响应包中加入病毒网站地址。导致同一网段内所有主机访问正常WEB地址时，被定向到了病毒网站，如果此时这些主机系统有漏洞，会导致感染病毒，访问网站的同时，防病毒软件可能会报告发现病毒。 类型四：对同一网段的指定IP地址发送arp数据包，进行欺骗，导致部分受影响的主机进行http访问时通过病毒主机，病毒主机会在http响应包中加入病毒网站地址。导致同一网段的部分主机在正常http访问时，会被指向到病毒网站，

6、但是更改IP地址后，现象消失。 2 ARP病毒的危害主机中了ARP病毒后，有些行为就不受用户的意愿控制了，会给用户本身和网络造成很大的危害。 2.1 ARP病毒对PC的危害ARP病毒会使PC出现网络异常、IP冲突，打开网页速度慢甚至无法打开网页，或者打开网页时莫名的弹出广告窗口等。可能造成用户数据被窃取（如重要资料、涉密文件等）、个人隐私泄漏(如MSN聊天记录、邮件等)、账号被盗用(如QQ账号、网银账号等)等恶性事件；也可能造成请求数据被篡改(如访问的网页被添加了恶意内容，俗称“挂马”)和用户主机遭非法控制(如某些文件打不开、某些网络应用程序用不了)等情况。 2.2 ARP病毒对网络的危害 先

7、说ARP攻击病毒，只要局域网内有一台主机中了该病毒，它就会不断地在全网内发送虚假的ARP请求包和应答包，造成网络拥堵，全网主机无法正常通信。其次ARP欺骗病毒，无论是四种欺骗方式的哪种，都会造成网络组织和秩序的混乱。论文检测，清除方法。冒充主机欺骗主机与冒充主机欺骗网关会使得被冒充的主机（真主机）无法收到其他设备的数据，冒充网关欺骗主机会使得全网主机都把数据发送给冒充网关（假网关），而无法正常向外发送数据（即无法上网）。 3 ARP病毒的防范措施 ARP病毒的危害很大，防范ARP病毒，要从两方面入手，一是接入设备，二是用户主机。 3.1 接入设备层的防范措施 在对我厂企业网ARP病毒的研究中发

8、现，ARP病毒一般是通过计算机用户浏览带毒网页、下载带毒文件、打开带毒存储设备等方式感染和传播。所以，预防感染ARP病毒的关键就是要强化计算机用户的网络安全意识，尽量不要打开陌生的链接，不要下载未知的文件，使用U盘、移动硬盘等存储设备时要先进行查毒。3.2 用户主机层的防范措施 对于企业网内可能受到中ARP病毒计算机影响的主机可以采用以下两种方法防护：3.2.1主机MAC地址绑定 我厂网络地址为静态IP地址，为避免中毒计算机发送错误MAC地址，可以将目的主机的IP地址和MAC地址进行绑定。具体操作为：在“命令提示符”下输入“arp s 00（目的主机IP地址） 00-17

9、-a7-44-74-a7（目的主机MAC地址）” 3.2.2交换机MAC地址绑定 在交换机上进行网关和重要服务器的IP、MAC地址绑定，但是如果以后网关或服务器发生变更，将会造成潜在的隐患。 3.3安装杀毒软件和防火墙 网络上病毒很多，用户上网，安装杀毒软件和防火墙是十分必要的。常用的具有防ARP病毒的杀毒软件有瑞星、金山等。而且防火墙在防ARP病毒过程中也可以起到至关重要的作用，能有效地阻挡其攻击和欺骗，日常比较熟悉的有ARP防火墙、360防火墙、AntiARP等。注意在安装了杀毒软件和防火墙后，要及时更新。3.4 养成良好的上网习惯用户上网时，要提高安全意识，并且养成良好的上网习惯，不打开

10、来历不明的邮件，不浏览不健康的网页；特别是克服好奇心理，对那种弹出来的诱人窗口或链接，（如：恭喜你中了一等奖,发送你的银行卡号码领钱）一般都是带有欺骗类或控制类病毒，千万不要打开。4 ARP病毒的清除方法ARP病毒没有明显的特征字，对于一般的杀毒软件来说是很难查杀的。ARP病毒的查杀首先要对局域网内的ARP中毒机进行定位，然后再进行清除。 4.1 ARP病毒机的定位 在ARP病毒感染的网络中，通常进行ARP欺骗的主机无异常现象，隐蔽性很强，不易被发现，所以在企业网ARP病毒的查杀过程中，如何迅速、准确地定位中毒机器是关键。 经过对ARP病毒欺骗原理的仔细研究并结合我厂企业网实际情况反复试验，现

11、总结出以下几种可以应用在我厂企业网的定位中毒计算机办法： （1）通过访问核心交换机分析定位。从核心交换机读取全厂企业网所有主机的ARP缓存表，然后根据ARP病毒工作原理，找出具有不同IP地址,相同MAC地址的所有主机，此相同的MAC即为进行ARP欺骗的中毒计算机的真实MAC地址，接下来根据已备份全厂计算机的正确IP-MAC地址表，即可迅速定位中毒主机。 （2）对受病毒影响的主机进行分析，从中提取证据定位中毒主机。具体操作是：在受ARP病毒欺骗的计算机上，点击“开始”“运行”敲入“command”命令弹出DOS窗口敲入命令“arp -a”（显示本机arp缓存表），根据显示的arp表可以分析并发现

12、中毒计算机的IP地址，完成中毒主机的定位。 （3）利用Sniffer软件侦听网络中的ARP数据包，分析并定位中毒主机。如果ARP欺骗病毒在进行部分网段或整个网段欺骗，那么发送的ARP数据包必定为广播包，所以可以在受影响的主机上安装Sniffer软件进行侦听，便可发现ARP欺骗源。 4.2ARP病毒的查杀 定位企业网中发送ARP欺骗的主机后，就应该立即将该计算机从网络中断掉，减少病毒对网络的危害。而后，对中毒计算机进行病毒的查杀。目前，我厂对ARP病毒的查杀主要有以下几种方式： （1）利用Symantec Antivirus防病毒软件查杀。Symantec Antivirus是中石油统一布置的企

13、业网防病毒软件，是股份公司内控要求的入网计算机必须安装的软件。据我厂ARP病毒查杀记录统计表明，经过及时更新病毒库的Symantec软件可以发现85%的ARP病毒，可以杀掉70%的ARP病毒。 （2）采用安全卫士360查杀。安全卫士360一款免费的病毒查杀、插件清理、补丁检测软件，它可以对系统的进程、服务和启动项等病毒经常入侵的系统项目进行管理，可以利用安全卫士360对ARP病毒直接查杀或配合Symantec Antivirus防病毒软件使用。 （3）下载专杀工具查杀。对于不同种类的ARP病毒，各大防病毒软件公司通常会及时发布相应的专杀工具，用户可以在网上下载后杀毒。目前使用较多的为Antiarp安全软件、趋势ARP病毒专杀等。4.3 软件清除在确定了病毒机之后，断开其网络，再用专门的ARP病毒清除软件(ARP专杀、anti-ARP等)进行查杀，之后重启机器即可。论文检测，清除方法。随着计算机技术的发展，ARP病毒也在不断变异中，甚至嵌入其它病毒，给局域网安全带来新的挑战。网络的安全需要广大网络用户和管