鄒麗英，孫小權

（浙江工業(yè)大學之江學院，浙江 杭州 310024）

高校公共機房ARP病毒的分析與防范策略

鄒麗英，孫小權

（浙江工業(yè)大學之江學院，浙江 杭州 310024）

本文介紹了ARP病毒的表現，闡述了ARP欺騙產生的原理和欺騙手段,提出高校機房ARP病毒的防范策略并結合實際給出了解決方案。

ARP病毒；網絡安全；校園網防范策略

一、ARP病毒的表現

ARP欺騙是局域網內爆發(fā)的一種木馬病毒，病毒發(fā)作時其癥狀為：

（1）網絡異常，具體表現為：掉線、IP地址沖突等；

（2）數據竊取，具體表現為個人隱私泄漏（如MSN聊天記錄、郵件等）、帳號被盜（如QQ帳號、銀行帳號等）；

（3）數據被篡改，具體表現為：網絡速度、網絡訪問行為（打開網頁、打開某些應用程序）受第三方非法控制。

ARP病毒嚴重影響了學校的正常教學工作,并且給校園網絡帶來很大的安全隱患。因此,有效地防范ARP網絡攻擊已成為確保網絡暢通的必要條件。

二、ARP病毒原理

ARP（Address Resolution Protocol，地址解析協議）是一個位于TCP/IP協議棧中的低層協議。該協議負責將某個IP地址解析成對應的MAC地址。一旦這個環(huán)節(jié)出現問題，就不能正常和目標主機進行通信，甚至可能導致整個網絡癱瘓。

ARP病毒屬于木馬類病毒，一般表現為該廣播域內的計算機無法正確地獲得網關和其他客戶機的網卡真實的MAC地址，導致無法進行正常的網絡通信。在局域網中的任何一臺主機中，都有一個ARP緩存表，里面存放著IP地址和MAC地址的對應關系，ARP病毒通過偽造IP地址和MAC地址實現ARP欺騙，并在網絡中產生大量的ARP通信量使網絡阻塞或者進行ARP重定向和嗅探攻擊，為偽造源MAC地址發(fā)送ARP響應包，也就是當這臺中毒主機向同局域網中另外的主機發(fā)送數據的時候，會根據ARP緩存表里假的地址進行發(fā)送，發(fā)一個假的ARP應答包，當另外一臺主機接受到這個假的ARP應答包時，會將其寫入到ARP緩存表中。這樣當主機互相通信時，會先到ARP緩存表中查找對方的ARP信息，因此它會將數據發(fā)送到MAC地址的機器上，對ARP高速緩存機制攻擊。攻擊者只要持續(xù)不斷地發(fā)出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC地址，造成網絡中斷，ARP欺騙就成功了。

通過前文對ARP欺騙原理的分析可知，ARP病毒在進行欺騙時會采取兩種手段，一種是對路由器ARP表的欺騙，另一種是對同網段內主機ARP緩存的欺騙。因此，要防止ARP病毒造成的危害，關鍵是要防止ARP欺騙的這兩種手段。

（1）防止ARP病毒對路由器（核心交換機）ARP表的欺騙。對于這種欺騙，可以采用在路由器（核心交換機）上綁定VLAN接口IP地址 （網關地址）和MAC地址的方法，將網關IP和MAC地址設為靜態(tài)條目，不再響應ARP應答數據，這樣就能保證網關IP地址和MAC地址對應條目不被欺騙所替換。

（2）防止ARP病毒對內網主機ARP緩存的欺騙。對于這種欺騙，可以采用端口隔離的方法將計算機隔離開來，這樣每臺計算機都不再響應其他計算機的ARP應答包，而只響應網關發(fā)來的應答包，就能完全杜絕其他計算機對自己ARP緩存的欺騙。

三、ARP病毒防范策略

為了防范ARP病毒攻擊，除了需做雙向的綁定外，應時刻關注ARP病毒方面的有關報道，加強防范措施，保障圖書館電子閱覽室等公共機房的網絡暢通，使讀者有一個良好的上網環(huán)境。

1.網絡管理防范策略

（1）建立抽查制度,管理員定期抽查客戶機ARP緩存。清空ARP緩存：很多人曾經使用ARP的指令法解決過ARP欺騙問題，該方法是針對ARP欺騙原理進行解決的。一般來說ARP欺騙都是通過發(fā)送虛假的MAC地址與IP地址的對應ARP數據包來迷惑網絡設備，用虛假的或錯誤的MAC地址與IP地址對應關系取代正確的對應關系。若是一些初級的ARP欺騙，可以通過ARP的指令來清空本機的ARP緩存對應關系，讓網絡設備從網絡中重新獲得正確的對應關系，具體解決過程如下：

第一步：通過點擊桌面上任務欄的“開始”-＞“運行”，然后輸入cmd后回車，進入cmd（黑色背景）命令行模式；

第二步：在命令行模式下輸入arp-a命令來查看當前本機儲存在本地系統(tǒng)ARP緩存中IP和MAC對應關系的信息；

第三步：使用arp-d命令，將儲存在本機系統(tǒng)中的ARP緩存信息清空，這樣錯誤的ARP緩存信息就被刪除了，本機將重新從網絡中獲得正確的ARP信息，達到局域網機器間互訪和正常上網的目的。如果是遇到使用ARP欺騙工具來進行攻擊的情況，使用上述的方法完全可以解決。但如果是感染ARP欺騙病毒，病毒每隔一段時間自動發(fā)送ARP欺騙數據包，這時使用清空ARP緩存的方法將無能為力了。

（2）強制指定ARP對應關系。下面介紹另一種解決感染ARP欺騙病毒的方法：在網關、服務器上做好客戶機的IP與MAC地址綁定。由于絕大部分ARP欺騙病毒都是針對網關MAC地址進行攻擊的，使本機上ARP緩存中存儲的網關設備的信息出現紊亂，這樣當機器要上網發(fā)送數據包給網關時就會因為地址錯誤而失敗，造成計算機無法上網。

第一步：我們假設網關地址的MAC信息為50-78-4c-68-d0-a5，對應的IP地址為192.168.3.4。指定ARP對應關系就是指這些地址。在感染了病毒的機器上，點擊桌面上任務欄的“開始”-＞“運行”，輸入cmd后回車，進入cmd命令行模式；

第二步：使用arp-s命令來添加一條ARP地址對應關系，例如arp-s192.168.3.450-78-4c-68-d0-a5命令。這樣就將網關地址的IP與正確的MAC地址綁定好了，本機網絡連接將恢復正常；

第三步：因為每次重新啟動計算機的時候，ARP緩存信息都會被全部清除。所以我們應該把這個ARP靜態(tài)地址添加指令寫到一個批處理文件（例如：bat）中，然后將這個文件放到系統(tǒng)的啟動項中。當程序隨系統(tǒng)的啟動而加載時，就可以免除ARP靜態(tài)映射信息丟失的困擾了。

（3）添加路由信息應對ARP欺騙。一般的ARP欺騙都是針對網關的，那么我們是否可以通過給本機添加路由來解決此問題呢？只要添加了路由，上網時都通過路由出去即可，自然也不會被ARP欺騙數據包干擾。

第一步：通過點擊桌面上任務欄的“開始”-＞“運行”，然后輸入cmd后回車，進入cmd（黑色背景）命令行模式；

第二步：手動添加路由，詳細的命令如下：刪除默認的路由:route delete0.0.0.0；添加路由：route add-p0.0.0.0 mask0.0.0.0192.168.3.1 metric1；確認修改：route change。

此方法對網關固定的情況比較適合，如果將來更改了網關，則需要更改所有客戶端的路由配置。

（4）安裝殺毒軟件：定期檢查局域網病毒和惡意軟件，安裝殺毒軟件（如諾頓、金山、瑞星等）和360安全衛(wèi)士及360安全衛(wèi)士ARP防火墻，及時更新殺毒軟件病毒庫，定期對公共機房電腦進行查毒、殺毒，對機器進行病毒掃描并給系統(tǒng)安裝補丁程序。安裝監(jiān)控軟件對機房網絡進行監(jiān)控，對流量異常的機器，立即斷網并查毒，及時對殺毒軟件進行升級，另外建議有條件的高?？梢允褂镁W絡版的防病毒軟件。

（5）使用ARP類專殺工具查殺：下載并安裝ARP病毒攻擊免疫補丁、木馬病毒查殺軟件“木馬殺客”和防止ARP地址欺騙軟件ANTIARP。

2.客戶端防范策略

（1）為客戶端綁定正確的網關MAC地址。可以通過自建批處理文件的辦法為客戶機綁定靜態(tài)IP。也可以為每臺客戶機安裝ARP防火墻，保證輸入正確的網關MAC地址,同時將軟件設置為開機自動運行。

（2）做好系統(tǒng)補丁的升級工作?？山ｉT的補丁升級服務器,為客戶機自動定時升級最新版的系統(tǒng)補丁。

（3）安裝殺毒軟件并定期更新病毒庫。殺毒軟件是機房客戶機必備的軟件之一,病毒庫的及時升級也是防范病毒的一個重要環(huán)節(jié)。

（4）做好系統(tǒng)和重要數據的備份,以便出現問題時能夠及時回復,降低損失。

四、結束語

ARP病毒問題一直是困擾著高校公共機房管理者的一個難題。但其并不是無法解決的問題，通過建立完善的預防機制，統(tǒng)一的客戶機管理，能夠最大程度地減少ARP病毒發(fā)作的幾率。隨著網絡產品的不斷更新，新技術的出現，機房工作人員已經可以從源頭上抑制ARP病毒的傳播，從而保障校園網正常、安全地運行。

[1]李金徽.高校公共機房ARP病毒防范策略[J].吉林師范大學學報,2009（2）:131-133.

[2]吳煜煌.校園網中ARP病毒欺騙的防御及措施[J].計算技術與信息發(fā)展,2009（3）:70.

[3]劉宇飛,樊力.淺析電子資源閱覽室Arp病毒防治方法[J].科技信息,2009（9）:765.

[4]楊凡.圖書館電子閱覽室ARP病毒的分析與防治[J].科技情報開發(fā)與經濟,2009（7）:7-9.

[5]王暤,熊華東.對ARP病毒的快速定位與防范[J].江西電力職業(yè)技術學院學報,2009（3）:65-67.

（編輯：楊馥紅）

B

1673-8454（2010）19-0033-02