摘 要： ARP病毒是對(duì)局域網(wǎng)影響較大的病毒之一，給個(gè)人用戶和網(wǎng)絡(luò)管理員都帶來莫大的麻煩。如何識(shí)別ARP病毒，以及采用什么樣的方法來進(jìn)行預(yù)防和解決，是個(gè)人用戶和網(wǎng)管們都必須掌握的。本文介紹了ARP病毒的簡(jiǎn)單原理、ARP病毒的癥狀，以及解決ARP病毒的一些常用的方法。
　　關(guān)鍵詞： ARP病毒 工作原理 處理方法
　　
　　最近一段時(shí)間，我校局域網(wǎng)感染了ARP病毒，導(dǎo)致一部分機(jī)器無(wú)法上網(wǎng)，影響了正常的網(wǎng)絡(luò)使用。ARP病毒的清理和防范都比較困難，給個(gè)人用戶甚至是網(wǎng)管都帶來很大的麻煩。下面我就簡(jiǎn)單地介紹一下ARP病毒的一些原理和簡(jiǎn)單的預(yù)防措施。
　　一、何為ARP病毒（攻擊）
　　其實(shí)ARP病毒并不是某一種病毒的名稱，而是對(duì)利用ARP協(xié)議的漏洞進(jìn)行傳播的一類病毒的總稱。
　　ARP協(xié)議是“Address Resolution Protocol”（地址解析協(xié)議）的縮寫，它是TCP/IP協(xié)議組的一個(gè)協(xié)議，是用于進(jìn)行把網(wǎng)絡(luò)地址翻譯成物理地址（又稱MAC地址）。
　　通常此類攻擊的手段有兩種：路由欺騙和網(wǎng)關(guān)欺騙。是一種入侵電腦的木馬病毒。對(duì)電腦用戶私密信息的威脅很大。ARP病毒主要就是冒充網(wǎng)關(guān)，將局域網(wǎng)內(nèi)的信息攔截，或者攔截外網(wǎng)的數(shù)據(jù)，通過中了ARP病毒的機(jī)器（其冒充網(wǎng)關(guān)）中轉(zhuǎn)一下（順便添加木馬）發(fā)送到各個(gè)終端，導(dǎo)致信息無(wú)法發(fā)送到要求的地方去。
　　二、ARP病毒的癥狀
　　1.有時(shí)候無(wú)法正常上網(wǎng)，有時(shí)候又好了，包括訪問網(wǎng)上鄰居也是如此。
　　2.當(dāng)局域內(nèi)的某臺(tái)計(jì)算機(jī)存在ARP的病毒時(shí)，它就會(huì)持續(xù)地向網(wǎng)內(nèi)所有的計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備發(fā)送大量的非法ARP欺騙數(shù)據(jù)包，阻塞網(wǎng)絡(luò)通道，造成網(wǎng)絡(luò)設(shè)備的承載過重，網(wǎng)速時(shí)快時(shí)慢，極其不穩(wěn)定，但單機(jī)進(jìn)行數(shù)據(jù)測(cè)試時(shí)一切正常。
　　3.使用ARP查詢的時(shí)候會(huì)發(fā)現(xiàn)不正常的MAC地址，或者是錯(cuò)誤的MAC地址對(duì)應(yīng)，還有就是一個(gè)MAC地址對(duì)應(yīng)多個(gè)IP的情況也會(huì)有出現(xiàn)。
　　一些安裝了殺毒軟件的用戶，常常會(huì)出現(xiàn)ARP攻擊的提示，也說明你的機(jī)器正在遭受ARP的攻擊。
　　三、ARP病毒的工作原理
　　局域網(wǎng)主機(jī)上網(wǎng)的一般步驟：
　　1.主機(jī)發(fā)送請(qǐng)求→服務(wù)器（或網(wǎng)關(guān)）轉(zhuǎn)發(fā)→互聯(lián)網(wǎng)
　　2.互聯(lián)網(wǎng)返回信息→服務(wù)器（或網(wǎng)關(guān)）轉(zhuǎn)發(fā)→主機(jī)
　　3.主機(jī)得到信息，完成一次信息交流
　　圖示如下：
　　當(dāng)局域網(wǎng)存在ARP攻擊時(shí)，整個(gè)順序可能會(huì)被打亂。染毒的主機(jī)會(huì)不停地向局域網(wǎng)中的其他機(jī)器發(fā)ARP包，告訴局域網(wǎng)中的主機(jī)錯(cuò)誤的服務(wù)器（網(wǎng)關(guān)）地址，以后主機(jī)請(qǐng)求信息不會(huì)向服務(wù)器（網(wǎng)關(guān)）發(fā)送，而是向錯(cuò)誤的地址發(fā)送，就會(huì)導(dǎo)致信息的時(shí)斷時(shí)續(xù)，網(wǎng)速很慢，或者信息丟失，直接打不開網(wǎng)頁(yè)。
　　圖示如下：
　　四、常用的處理方法
　　解決ARP病毒攻擊的方法有多種，下面列舉幾種常用的方法。
　?。ㄒ唬┦艿紸RP攻擊的電腦，可以在DOS方式下清除ARP緩存。
　　一般來說，ARP欺騙都是通過發(fā)送虛假的MAC地址與IP地址的對(duì)應(yīng)ARP數(shù)據(jù)包來迷惑網(wǎng)絡(luò)設(shè)備，用虛假的或錯(cuò)誤的MAC地址與IP地址對(duì)應(yīng)關(guān)系取代正確的對(duì)應(yīng)關(guān)系。若是一些初級(jí)的ARP欺騙，可以通過ARP的指令來清空本機(jī)的ARP緩存對(duì)應(yīng)關(guān)系，讓網(wǎng)絡(luò)設(shè)備從網(wǎng)絡(luò)中重新獲得正確的對(duì)應(yīng)關(guān)系，方法如下：
　　第一步：通過點(diǎn)擊桌面上任務(wù)欄的“開始”→“運(yùn)行”，然后輸入cmd后回車，進(jìn)入cmd命令行模式；
　　第二步：在命令行模式下輸入arp -a命令來查看當(dāng)前本機(jī)儲(chǔ)存在本地系統(tǒng)ARP緩存中IP和MAC對(duì)應(yīng)關(guān)系的信息；
　　第三步：使用arp -d命令，將儲(chǔ)存在本機(jī)系統(tǒng)中的ARP緩存信息清空。這樣錯(cuò)誤的ARP緩存信息就被刪除了，本機(jī)將重新從網(wǎng)絡(luò)中獲得正確的ARP信息，達(dá)到局域網(wǎng)機(jī)器間互訪和正常上網(wǎng)的目的。如果遇到使用ARP欺騙工具來進(jìn)行攻擊的情況，使用上述的方法就完全可以解決。但如果是感染ARP欺騙病毒，病毒每隔一段時(shí)間自動(dòng)發(fā)送ARP欺騙數(shù)據(jù)包，這時(shí)使用清空ARP緩存的方法將無(wú)能為力了。
　　（二）指定ARP對(duì)應(yīng)關(guān)系：其實(shí)該方法就是強(qiáng)制指定ARP對(duì)應(yīng)關(guān)系。由于絕大部分ARP欺騙病毒都是針對(duì)網(wǎng)關(guān)MAC地址進(jìn)行攻擊的，使本機(jī)上ARP緩存中存儲(chǔ)的網(wǎng)關(guān)設(shè)備的信息出現(xiàn)紊亂。這樣當(dāng)機(jī)器要上網(wǎng)發(fā)送數(shù)據(jù)包給網(wǎng)關(guān)時(shí)就會(huì)因?yàn)榈刂峰e(cuò)誤而失敗，造成計(jì)算機(jī)無(wú)法上網(wǎng)。
　　第一步：如果網(wǎng)關(guān)地址的MAC信息為00-08-0F-67-02-7c，對(duì)應(yīng)的IP地址為192.168.1.1。指定ARP對(duì)應(yīng)關(guān)系就是指這些地址。在感染了病毒的機(jī)器上，點(diǎn)擊桌面→任務(wù)欄的“開始”→“運(yùn)行”，輸入cmd后回車，進(jìn)入cmd命令行模式；
　　第二步：使用arp -s命令來添加一條ARP地址對(duì)應(yīng)關(guān)系，例如arp -s 192.168.1.1 00-08-0F-67-02-7c命令。這樣就將網(wǎng)關(guān)地址的IP與正確的MAC地址綁定好了，本機(jī)網(wǎng)絡(luò)連接將恢復(fù)正常；
　　第三步：因?yàn)槊看沃匦聠?dòng)計(jì)算機(jī)的時(shí)候，ARP緩存信息都會(huì)被全部清除。所以我們應(yīng)該把這個(gè)ARP靜態(tài)地址添加指令寫到一個(gè)批處理文件（例如：bat）中，然后將這個(gè)文件放到系統(tǒng)的啟動(dòng)項(xiàng)中。當(dāng)程序隨系統(tǒng)的啟動(dòng)而加載的話，就可以免除因?yàn)锳RP靜態(tài)映射信息丟失的困擾。
　?。ㄈ┨砑勇酚尚畔?yīng)對(duì)ARP欺騙。
　　一般的ARP欺騙都是針對(duì)網(wǎng)關(guān)的，那么我們是否可以通過給本機(jī)添加路由來解決此問題呢？只要添加了路由，那么上網(wǎng)時(shí)都通過此路由出去即可，自然也不會(huì)被ARP欺騙數(shù)據(jù)包干擾了。
　　第一步：先通過點(diǎn)擊桌面上任務(wù)欄的“開始”→“運(yùn)行”，然后輸入cmd后回車，進(jìn)入cmd(黑色背景)命令行模式；
　　第二步：手動(dòng)添加路由，詳細(xì)的命令如下：刪除默認(rèn)的路由: route delete 0.0.0.0;添加路由：route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.99 metric 1;確認(rèn)修改：route change。
　?。ㄋ模┦褂脷⒍拒浖砬宄鼳RP病毒，同時(shí)對(duì)本機(jī)進(jìn)行網(wǎng)關(guān)地址（MAC地址）綁定。
　　這里主要講述使用“360安全衛(wèi)士”進(jìn)行服務(wù)器（網(wǎng)關(guān)地址）綁定的方法，來解決ARP攻擊。
　　其步驟如下：
　　在“網(wǎng)關(guān)MAC”里填寫：00-08-0F-67-02-7c（減號(hào)也要寫上），
　　然后單擊“確定”；
　?。?）最后單擊“保存”，就實(shí)現(xiàn)了服務(wù)器MAC地址綁定，可以有效地預(yù)防ARP攻擊。
　　通過這樣的方法綁定了以后，基本上就會(huì)免受ARP病毒的攻擊，而且360安全衛(wèi)士是免費(fèi)軟件，可以從網(wǎng)絡(luò)上下載安裝，網(wǎng)址是www.#。
　　ARP病毒一直是局域網(wǎng)中危害較大的病毒之一，但它的清除和防治相對(duì)又較專業(yè)，因此造成了它在局域網(wǎng)中的橫行。本文講了一些ARP病毒的普及知識(shí)，簡(jiǎn)單的防治辦法，希望對(duì)大家有所幫助。