ARP病毒的防护

1、校园网管理之ARP病毒的防护 内容简介：本文就校园网出现ARP病毒的产生原因，处理方法，进行了实际讲解。本文对校园网的管理能起到一定的辅助作用。关 键 词：ARP病毒原文： 我校自01年起就建设成功了校园网,并已正常运行了好几年,可这段时间总有老师反映：计算机上网不是很好,经常出现掉线,上网速慢等故障现象,本人就此问题认真分析,排查最终发现故障原因为部分机器中了ARP病毒所致,最后加以处理，系统恢复正常运转。那么为什么ARP病毒会导致整个网络出现瘫痪现象呢?本文就ARP病毒的发生机理，以及本人的处理方法谈谈，仅作抛砖引玉。一、什么是ARP？ ARP是“Address Resolution Pr

2、otocol”（地址解析协议）的缩写，它工作在tcp/ip协议的网络层。 它的功能是通过目标设备的IP地址，查询目标设备的MAC地址。那么为什么数据通讯一定需要知道MAC地址呢？因为在以太网中，一个主机和另一个主机进行通信，本质上是通过MAC地址来锁定目的计算机的，因此仅知道对方机器的IP地址，是无法来进行数据的交换，要进行数据交换必需先通过地址解析协议（ARP）获得对方的MAC地址，然后根据获得的MAC地址来进行数据交换，也可以这么说“地址解析过程”就是主机在发送数据帧之前将目标IP地址转换成目标MAC地址的过程。 在实际应用中，每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的

3、IP地址与MAC地址是一一对应的，计算机要同另外一台计算机进行通讯，首先要在这个缓冲表里找，看是否有目标机的IP地址，如果找到就使用对应的MAC地址来进行通信。如果没有找到，计算机会通过ARP广播的方式请求目标计算机返回目标计算机的MAC地址，然后用返回的MAC地址来进行通信。 二、什么是ARP病毒？ ARP病毒是通过中毒计算机向网络设备发送伪造IP地址和MAC地址的ARP包，来达到欺骗网络设备并对网络数据交换进行干扰，以造成传输过程出现错误为目的的病毒。ARP病毒大概可以通过以下两种方式来进行：一种是对路由器ARP表的欺骗，这种方法造成整个网络IP地址的混乱，最终使路由器数据转发时发生错误，

4、另一种是修改局域网内计算机ARP缓冲表中网关对应的MAC地址来进行欺骗计算机，让被欺骗计算机的数据包通过假网关来发送，以达到数据包不可达的结果。我校发生ARP病毒为第二种，后面就这种原因的病毒，谈谈处理方法。三、如何判断中ARP病毒的方法 ARP病毒攻击常会造成内网IP或MAC冲突，出现短时间内部份断线。上网时感觉网络经常掉线，重新开机或修复本地连接（或先停用再启用）后又能上一会儿。不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。 对于此类arp攻击,在病毒发作时，我们可任找一台机器，点开始运行，输入“CMD“，开启DOS窗口并输入“arp -a” 命令, 会发现很多不同

5、IP地址有着相同的MAC地址表现象。 故障如图： 从上图可以看到地址为 192.168.1.1 和192.168.1.252的MAC地址是一样的，而192.168.1.1又是计算机的网关地址，所以本应向正确网关发送的数据却会转向错误地址192.168.1.252发送，可是192.168.1.252却不具备网关转发功能，所以最终导致上网中断现象。四、ARP病毒处理方法。1、在网络PC上APR缓冲表中锁定网关的IP和MAC地址，保护机器能够正常上网 1）首先获得网关的内网的MAC地址 假如：网关地址192.168.1.1的MAC地址为000faa0022aa。 2）编写批处理文件kill_arp.

6、bat内容如下 echo off arp -d arp -s 192.168.1.1 00-0f-aa-00-22-aa 将这个批处理软件拖到“windows-开始-程序-启动”中,然后重新启动计算机。2、在网络上找到发出虚假ARP数据包的中ARP病毒的计算机，有下面两种方法。 1）通过网卡的混杂模式来寻找中毒计算机 因为所有的ARP攻击源都会有其特征网卡会处于混杂模式，可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的，从而判断这台机器有可能就是“元凶”。定位好机器后，再做杀毒或系统重装处理。 2）通过ARP缓冲表中的错误MAC地址来查找中病毒计算机。 首先在DOS

7、窗口下直接Ping网关IP，完成Ping后，迅速用ARP a查看网关IP对应的MAC地址，此MAC地址应该为欺骗的MAC，记下来。然后通过使用软件NBTSCAN可以取得的本网段所有计算机的真实IP地址、机器名和MAC地址表，再进行比对，看那个IP的MAC地址和欺骗的MAC一致，发现后我们就可以锁定的到病毒计算机的IP，机器名，找到中病毒的计算机以后进行杀毒安装系统等处理。 例：命令：“nbtscan -r 192.168.16.0/24”（搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段，即192.168.16.25-192.168.16.137。输出结果第一列是IP地址，最后一列是MAC地址。 3）做好防毒工作，下载安装微软MS07-17补丁。 4