于德海 于文靜 林 瑜

（中國人民解放軍海軍航空工程學院訓練部教育技術(shù)中心 山東 煙臺 264001）

1 ARP病毒的主要癥狀

ARP病毒通過網(wǎng)絡(luò)中廣播虛假的ARP協(xié)議包來實現(xiàn)攻擊網(wǎng)絡(luò)的目的，我們稱這種現(xiàn)象為ARP欺騙。ARP欺騙分為兩種：一種是對路由器ARP表的欺騙。欺騙的原理是截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC地址，造成正常PC無法收到信息，用戶無法通過路由器上網(wǎng)；另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。欺騙的原理是偽造網(wǎng)關(guān)，建立一個假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)送數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在終端用戶看來，就是上不了網(wǎng)，網(wǎng)絡(luò)掉線了。而且在重啟計算機或在MS-DOS窗口下運行命令 ARP–d命令，又可以恢復上網(wǎng)了。凡是這種癥狀的基本上就是感染了ARP病毒[1]-[3]。

判斷是否是中了ARP病毒，最簡單的方法是利用“ARP–a”命令來查看，如果發(fā)現(xiàn)有兩個不同主機的 MAC地址一樣，或者直接 ping網(wǎng)關(guān)IP地址，然后用“ARP–a”查看，如果顯示的網(wǎng)關(guān)IP地址與原有網(wǎng)關(guān) IP地址不一樣，則證明是中了 ARP病毒。另外，還可以在“進程”選項卡中查看是否含有一個名為“MIR0.dat”的進程。如果有，則說明已經(jīng)中毒。在其上單擊鼠標右鍵，在彈出菜單中選擇【結(jié)束進程】命令來中止ARP病毒進程。

2 個人ARP病毒的防范措施

關(guān)閉Windows自動播放功能對防范ARP病毒攻擊十分必要和重要。

2.1 使用組策略編輯器

點擊開始→運行→輸入gpedit.msc，打開組策略編輯器，瀏覽到計算機配置→管理模板→系統(tǒng)，在右邊窗格中雙擊“關(guān)閉自動播放”，對話框中選擇所有驅(qū)動器，確定即可。

2.2 使用金山毒霸提供的禁止自動播放功能

啟動毒霸主程序，工具菜單下找到綜合設(shè)置，在其它設(shè)置中選中禁止U盤和硬盤的自動播放功能。（圖2）

3 網(wǎng)管人員根治ARP病毒的方法

3.1 基于交換機的防御

圖2 金山毒霸禁止自動播放

清除ARP病毒的根本方法就是對交換機進行ARP配置，由于任何ARP包,都必須經(jīng)由交換機轉(zhuǎn)發(fā),才能到達被攻擊目標，只要交換機拒收非法的ARP包,那么ARP攻擊就不能造成任何影響，一般交換機都具備防ARP功能。

（1）在交換機上做端口、I P與MAC地址綁定

感染ARP病毒的計算機會將該機器的MAC地址映射到網(wǎng)關(guān)的 IP地址上,并且向網(wǎng)段內(nèi)的所有計算機發(fā)出大量的ARP欺騙包。因此會使很多計算機誤以為染毒計算機就是網(wǎng)關(guān),所以會造成大量計算機訪問Internet時中斷。有條件的話,可以在三層交換機上將所連接的計算機做I P與MAC地址的綁定以達到ARP病毒防御的目的。

下面以 H3C交換機為例,在交換機的 E thernet1/0/6口上綁定 I P地址為 192.168.1.2,MAC地址為00-17-31-33-58-a4。

[SwitchA]interface E t hernet1/0/6

[SwitchA-Ethernet1/0/6]ip source static binding ipaddress 192.168.1.2 mac-address 00-17-31-33-58-a4

[SwitchA-Ethernet1/0/6]quit

采用上面的方法配置好所有計算機。

（2）在交換機上劃分VLAN減小沖突域

通過交換機上的 VLAN劃分可以減小沖突域達到縮減ARP廣播區(qū)域的目的。劃分H3C交換機端口Ethernet1/0/1到 VLAN5,端口 Ethernet1/0/2到 VLAN10。

[SwitchA]vlan 5

[SwitchA-vlan5]port Ethernet 1/0/1

[SwitchA]vlan 10

[SwitchA-vlan10]port Ethernet 1/0/2

（3）通過訪問控制列表 ACL防御 ARP欺騙

對于大多數(shù)三層交換機,可通過配置過濾源 I P是網(wǎng)關(guān)的ARP報文的ACL規(guī)則來做到防御。ACL規(guī)則如下:

[SwitchA]fire wall enable

[SwitchA]acl number 5000

[SwitchA-acl-adv-5000]rule 0 deny 0806 ffff 2464010101 ffffffff 40

[SwitchA-acl-adv-5000]rule 1 permit 0806 ffff 24000fe9a08000 ffffffffffff 34

rule0禁止switchA的所有端口接收冒充網(wǎng)關(guān)的ARP報文,其中 64010101是網(wǎng)關(guān) I P地址 100.1.1.1的16進制表示形式。

rule1允許通過網(wǎng)關(guān)發(fā)送的 ARP報文,000fe9a08000網(wǎng)關(guān)的mac地址。

注意：配置Rule時的配置順序，上述配置為先下發(fā)后生效的情況。

[Switch]packet-filter user-group5000（下發(fā) ACL5000的規(guī)則。）

這樣只有switchA上連網(wǎng)關(guān)設(shè)備才能夠發(fā)送網(wǎng)關(guān)的ARP報文，其它主機都不能發(fā)送假冒網(wǎng)關(guān)的ARP相應報文。

3.2 基于服務器與客戶端的防御

在服務器與客戶端上安裝 ARP防火墻來阻止ARP欺騙,但是ARP防火墻要在全網(wǎng)每臺主機上安裝,要不然起不到很好的效果。ARP防火墻有很多,有安全 360ARP防火墻、彩影ARP防火墻、金山ARP防火墻等。

3.3 發(fā)現(xiàn)染毒計算機與病毒清除

（1）染毒計算機的定位

A.主動定位方式

所有的 ARP攻擊源的網(wǎng)卡會處于混雜模式(promiscuous)可以通過 ARPKiller工具掃描網(wǎng)內(nèi)有哪臺機器的網(wǎng)卡是處于混雜模式的,從而判斷這臺機器有可能就是元兇。

B.被動定位方式

在局域網(wǎng)發(fā)生 ARP攻擊時,查看三層交換機的動態(tài)ARP表中的內(nèi)容,確定攻擊源的MAC地址;也可以在局域網(wǎng)中部署 Sniffer工具,定位 ARP攻擊源的 MAC。在網(wǎng)絡(luò)不正常的時候,也可以直接 Ping網(wǎng)關(guān) IP,完成 Ping后,用 ARP-a查看網(wǎng)關(guān) IP對應的 MAC地址,此 MAC地址應該為欺騙的MAC地址。

（2）ARP 病毒的清除

首先，斷開染毒主機與網(wǎng)絡(luò)的連接,運行 msconfig命令,在“服務”欄目下停掉可疑啟動項,在“啟動”欄目下停掉可疑啟動項，并記下文件路徑,在正常模式下,病毒文件一般刪除不了,或者刪除后,又馬上產(chǎn)生,應切換到安全模式下進行。病毒文件一般存放在 c:wi ndows或c:windowssystem32下,進入安全模式后,打開以上文件夾,點擊菜單欄“查看”-“詳細信息”,然后，按“修改日期”排序,查找最近日期的可執(zhí)行文件及相關(guān)的DLL文件,對可疑文件進行刪除。病毒文件一般將自己設(shè)為“隱藏”屬性,應點擊菜單欄“工具”-“文件選項#”,打開“顯示所有文件和文件夾”選項。完成以上操作后,全盤殺毒,重啟主機,確認病毒完全處理完畢,才可以恢復網(wǎng)絡(luò)連接。

通過對ARP病毒原理和癥狀的分析，本文提出了個人防范ARP病毒的一些有效措施，針對局域網(wǎng)中的ARP病毒特點，研究了根治ARP病毒的方法。病毒的變異和入侵是千變?nèi)f化的，要想有效的防范網(wǎng)絡(luò)病毒，還有許多工作需要研究。

［1］范建華.TCP/IP詳解[M].北京：機械工業(yè)出版社，2003.

［2］寇曉蕤.網(wǎng)絡(luò)協(xié)議分析[M].北京：機械工業(yè)出版社，2009.

［3］李利軍.2008網(wǎng)管員必讀[M].北京：電子影像出版社，2008.

［4］胡冬嚴.ARP病毒的攻擊原理和防護 [J].吉林省教育學院學報，2011，26(5)：217-218.

［5］胡建龍，孫驀，張帆.校園網(wǎng)ARP病毒攻擊原理與防御[J].情報雜志，2009，28:155-156.

［6］段煜暉.局域網(wǎng)內(nèi)ARP病毒的綜合防治[J].河南機電高等專科學校學報，2010，18(4):39-40.