單廣翠　陳瑾

摘 要：隨著計算機網絡技術的不斷發(fā)展，局域網安全問題越來越受到人們的重視和關注，局域網內病毒的傳播嚴重影響著網絡信息的安全性，其中最具代表性的病毒就是ARP病毒。由于ARP病毒在局域網內的傳播及對其他計算機的攻擊性，為了確保信息的安全與暢通，ARP病毒的預防及清除工作已經成為了網絡安全中的重要事情。

關鍵詞：局域網；網絡安全；ARP；防范

中圖分類號：TP393.08 文獻標識碼：A

1 引言（Introduction）

隨著計算機和網絡技術的發(fā)展，互聯(lián)網已經深入到了我們工作、生活的各個領域。無論是工作單位還是家庭，都不止一臺計算機，因此我們都是在小型、中型局域網內使用計算機。局域網的安全嚴重影響著計算機的使用，對局域網安全威脅最大的是局域網病毒。一旦病毒發(fā)作并在局域網內傳播，輕則影響數臺計算機的使用，嚴重的可使整個局域網陷入癱瘓狀態(tài)。這種病毒的典型代表就是ARP病毒。

ARP病毒并不是一種病毒的名稱，而是針對利用ARP協(xié)議的漏洞進行傳播的一類病毒的總稱，簡稱為ARP病毒。這是一種入侵電腦的木馬病毒，對電腦用戶的私密信息威脅很大。

2 ARP協(xié)議（Address resolution protocol）

ARP是地址解析協(xié)議，是一種將電腦的IP地址轉化成物理地址的協(xié)議[1]。具體來說就是將網絡層（IP層）地址解析成為數據連接層（MAC層）的MAC地址。

3 ARP的工作原理（Working principle of ARP）

如果兩臺主機在同一網段內，如主機A要與主機B進行信息交換。檢查ARP緩存表中是否有主機B對應的MAC地址，如果有則直接建立通信；如果沒有對應的MAC地址則需要向局域網內的所有主機發(fā)送ARP請求，該請求包含主機A的IP地址、MAC地址，主機B的IP地址，局域網內的所有主機都會收到此請求，但只有主機B的IP地址與請求中攜帶的IP地址相同，主機B收到后，回復主機A，該回復包含主機A、B的IP地址、MAC地址，主機A收到回復后，更新自己的ARP緩存表，與主機B建立通信。

如果兩臺主機不在同一網段內，則需要通過主機所在的網關建立通信。如主機A要與主機C進行信息交換。主機A檢查ARP緩存表里是否有本地網關的MAC地址，如果沒有需要通過上述方法獲得MAC地址，然后與網關1建立通信連接。網關1與網關2是通過網絡中的路由器進行信息傳遞的，網關2收到后，查看信息包的接受者，即主機C，同樣的原理獲取主機C的MAC地址并建立通信，將信息包發(fā)送給主機C。

4 ARP病毒的欺騙原理（Spoofing principle of ARP viruses）

主機間的數據傳輸依靠的是MAC地址，IP地址與MAC地址間的對應關系存放在ARP緩存表中，正常情況下緩存表能夠保證數據傳輸的有效性[2]。但ARP緩存表在實現(xiàn)機制上存在漏洞，一臺主機不論自己是否發(fā)送過相應的請求，只要收到ARP應答，就會直接更新自己的ARP緩存表，將收到的MAC地址與IP地址建立對應關系。這就使得兩臺主機的通信內容可以被其他主機獲取。

例如主機A、C進行通信，主機B作為第三方可以截獲他們的通信內容。主機B向主機A發(fā)送ARP應答，將網關1的MAC地址變成主機B的MAC地址，主機A收到后直接將ARP緩存表中的網關1的MAC地址替換成03-03-03-03-03-03。同樣的道理主機B代替主機A與網關1建立通信，使網關1將ARP緩存表中主機A的MAC地址替換成03-03-03-03-03-03。這時主機A要與主機C通信，發(fā)送給網關1的數據包會直接發(fā)送給主機B，主機B將數據包截獲后再發(fā)送給網關1，同樣當主機C發(fā)送的數據包到達網關1后，網關1會將數據包發(fā)送給主機B，主機B再轉發(fā)給主機A完成通信過程。作為欺騙者主機B在主機A與網關1的通信過程中承擔了數據中轉的任務，實現(xiàn)了ARP欺騙攻擊。

5 ARP病毒的癥狀（Symptom of ARP viruses）

計算機感染ARP病毒后網絡連接正常，能PING通局域網內其他主機但無法PING通網關、無法打開網頁；由于ARP欺騙的木馬程序發(fā)作時發(fā)出了大量的數據包，導致網絡運行不穩(wěn)定，頻繁斷網、IE瀏覽器出錯以及常用軟件出現(xiàn)故障等問題[3]。

6 ARP病毒的清除（Removal of ARP viruses）

當計算機出現(xiàn)上述癥狀時可判斷感染了ARP病毒，此時應手動切斷網絡鏈接，以免病毒利用局域網攻擊其他計算機，影響網絡運行，在DOS模式下用ARP專用殺毒軟件進行殺毒。

點擊開始→運行，輸入cmd，打開命令控制臺窗口。如果計算機還能上網，手動切斷網絡鏈接，命令控制臺窗口中輸入arp-a，查看本地網關的IP地址、MAC地址。如果計算機不能上網，命令控制臺窗口中輸入arp-d，將本機arp緩存表清空，使計算機暫時恢復上網功能，再切斷網絡鏈接，再運行arp-a，查看網關的IP地址、MAC地址。

命令控制臺窗口中輸入arp-s，手動將網關的IP地址和MAC地址綁定，使計算機不受病毒影響，計算機重啟后需再次綁定。將命令放在autoexec.bat中，每次開機自動運行，無需手動操作。

7 結論（Conclusion）

局域網的安全性是人們使用網絡正常工作的前提，我們應正視網絡中的潛在威脅，了解他們的工作原理，從技術層面上找到相應的解決方案[4]。在實際工作中不斷的總結經驗，尋找規(guī)律，將各類威脅、病毒阻擋在局域網之外，確保網絡的安全與暢通。

參考文獻（References）

[1] 王秀和，楊明.計算機網絡安全技術淺析[J].中國教育技術設備，2007，7（5）：104-106.

[2] 王杰.計算機網絡安全的理論與實踐[J].中國教育技術設備，2008，12（5）：331-335.

[3] 楊永強，辛淑霞.常用網絡安全防范措施[J].科技資訊，2008，15（8）：267.

[4] 肖會.局域網的安全與病毒防治[J].科技致富向導，2009，3（4）：119-204.

作者簡介：

單廣翠（1983-），女，碩士，講師.研究領域：網絡管理、計算機教學.endprint

摘 要：隨著計算機網絡技術的不斷發(fā)展，局域網安全問題越來越受到人們的重視和關注，局域網內病毒的傳播嚴重影響著網絡信息的安全性，其中最具代表性的病毒就是ARP病毒。由于ARP病毒在局域網內的傳播及對其他計算機的攻擊性，為了確保信息的安全與暢通，ARP病毒的預防及清除工作已經成為了網絡安全中的重要事情。

關鍵詞：局域網；網絡安全；ARP；防范

中圖分類號：TP393.08 文獻標識碼：A

1 引言（Introduction）

隨著計算機和網絡技術的發(fā)展，互聯(lián)網已經深入到了我們工作、生活的各個領域。無論是工作單位還是家庭，都不止一臺計算機，因此我們都是在小型、中型局域網內使用計算機。局域網的安全嚴重影響著計算機的使用，對局域網安全威脅最大的是局域網病毒。一旦病毒發(fā)作并在局域網內傳播，輕則影響數臺計算機的使用，嚴重的可使整個局域網陷入癱瘓狀態(tài)。這種病毒的典型代表就是ARP病毒。

ARP病毒并不是一種病毒的名稱，而是針對利用ARP協(xié)議的漏洞進行傳播的一類病毒的總稱，簡稱為ARP病毒。這是一種入侵電腦的木馬病毒，對電腦用戶的私密信息威脅很大。

2 ARP協(xié)議（Address resolution protocol）

ARP是地址解析協(xié)議，是一種將電腦的IP地址轉化成物理地址的協(xié)議[1]。具體來說就是將網絡層（IP層）地址解析成為數據連接層（MAC層）的MAC地址。

3 ARP的工作原理（Working principle of ARP）

如果兩臺主機在同一網段內，如主機A要與主機B進行信息交換。檢查ARP緩存表中是否有主機B對應的MAC地址，如果有則直接建立通信；如果沒有對應的MAC地址則需要向局域網內的所有主機發(fā)送ARP請求，該請求包含主機A的IP地址、MAC地址，主機B的IP地址，局域網內的所有主機都會收到此請求，但只有主機B的IP地址與請求中攜帶的IP地址相同，主機B收到后，回復主機A，該回復包含主機A、B的IP地址、MAC地址，主機A收到回復后，更新自己的ARP緩存表，與主機B建立通信。

如果兩臺主機不在同一網段內，則需要通過主機所在的網關建立通信。如主機A要與主機C進行信息交換。主機A檢查ARP緩存表里是否有本地網關的MAC地址，如果沒有需要通過上述方法獲得MAC地址，然后與網關1建立通信連接。網關1與網關2是通過網絡中的路由器進行信息傳遞的，網關2收到后，查看信息包的接受者，即主機C，同樣的原理獲取主機C的MAC地址并建立通信，將信息包發(fā)送給主機C。

4 ARP病毒的欺騙原理（Spoofing principle of ARP viruses）

主機間的數據傳輸依靠的是MAC地址，IP地址與MAC地址間的對應關系存放在ARP緩存表中，正常情況下緩存表能夠保證數據傳輸的有效性[2]。但ARP緩存表在實現(xiàn)機制上存在漏洞，一臺主機不論自己是否發(fā)送過相應的請求，只要收到ARP應答，就會直接更新自己的ARP緩存表，將收到的MAC地址與IP地址建立對應關系。這就使得兩臺主機的通信內容可以被其他主機獲取。

例如主機A、C進行通信，主機B作為第三方可以截獲他們的通信內容。主機B向主機A發(fā)送ARP應答，將網關1的MAC地址變成主機B的MAC地址，主機A收到后直接將ARP緩存表中的網關1的MAC地址替換成03-03-03-03-03-03。同樣的道理主機B代替主機A與網關1建立通信，使網關1將ARP緩存表中主機A的MAC地址替換成03-03-03-03-03-03。這時主機A要與主機C通信，發(fā)送給網關1的數據包會直接發(fā)送給主機B，主機B將數據包截獲后再發(fā)送給網關1，同樣當主機C發(fā)送的數據包到達網關1后，網關1會將數據包發(fā)送給主機B，主機B再轉發(fā)給主機A完成通信過程。作為欺騙者主機B在主機A與網關1的通信過程中承擔了數據中轉的任務，實現(xiàn)了ARP欺騙攻擊。

5 ARP病毒的癥狀（Symptom of ARP viruses）

計算機感染ARP病毒后網絡連接正常，能PING通局域網內其他主機但無法PING通網關、無法打開網頁；由于ARP欺騙的木馬程序發(fā)作時發(fā)出了大量的數據包，導致網絡運行不穩(wěn)定，頻繁斷網、IE瀏覽器出錯以及常用軟件出現(xiàn)故障等問題[3]。

6 ARP病毒的清除（Removal of ARP viruses）

當計算機出現(xiàn)上述癥狀時可判斷感染了ARP病毒，此時應手動切斷網絡鏈接，以免病毒利用局域網攻擊其他計算機，影響網絡運行，在DOS模式下用ARP專用殺毒軟件進行殺毒。

點擊開始→運行，輸入cmd，打開命令控制臺窗口。如果計算機還能上網，手動切斷網絡鏈接，命令控制臺窗口中輸入arp-a，查看本地網關的IP地址、MAC地址。如果計算機不能上網，命令控制臺窗口中輸入arp-d，將本機arp緩存表清空，使計算機暫時恢復上網功能，再切斷網絡鏈接，再運行arp-a，查看網關的IP地址、MAC地址。

命令控制臺窗口中輸入arp-s，手動將網關的IP地址和MAC地址綁定，使計算機不受病毒影響，計算機重啟后需再次綁定。將命令放在autoexec.bat中，每次開機自動運行，無需手動操作。

7 結論（Conclusion）

局域網的安全性是人們使用網絡正常工作的前提，我們應正視網絡中的潛在威脅，了解他們的工作原理，從技術層面上找到相應的解決方案[4]。在實際工作中不斷的總結經驗，尋找規(guī)律，將各類威脅、病毒阻擋在局域網之外，確保網絡的安全與暢通。

參考文獻（References）

[1] 王秀和，楊明.計算機網絡安全技術淺析[J].中國教育技術設備，2007，7（5）：104-106.

[2] 王杰.計算機網絡安全的理論與實踐[J].中國教育技術設備，2008，12（5）：331-335.

[3] 楊永強，辛淑霞.常用網絡安全防范措施[J].科技資訊，2008，15（8）：267.

[4] 肖會.局域網的安全與病毒防治[J].科技致富向導，2009，3（4）：119-204.

作者簡介：

單廣翠（1983-），女，碩士，講師.研究領域：網絡管理、計算機教學.endprint

摘 要：隨著計算機網絡技術的不斷發(fā)展，局域網安全問題越來越受到人們的重視和關注，局域網內病毒的傳播嚴重影響著網絡信息的安全性，其中最具代表性的病毒就是ARP病毒。由于ARP病毒在局域網內的傳播及對其他計算機的攻擊性，為了確保信息的安全與暢通，ARP病毒的預防及清除工作已經成為了網絡安全中的重要事情。

關鍵詞：局域網；網絡安全；ARP；防范

中圖分類號：TP393.08 文獻標識碼：A

1 引言（Introduction）

隨著計算機和網絡技術的發(fā)展，互聯(lián)網已經深入到了我們工作、生活的各個領域。無論是工作單位還是家庭，都不止一臺計算機，因此我們都是在小型、中型局域網內使用計算機。局域網的安全嚴重影響著計算機的使用，對局域網安全威脅最大的是局域網病毒。一旦病毒發(fā)作并在局域網內傳播，輕則影響數臺計算機的使用，嚴重的可使整個局域網陷入癱瘓狀態(tài)。這種病毒的典型代表就是ARP病毒。

ARP病毒并不是一種病毒的名稱，而是針對利用ARP協(xié)議的漏洞進行傳播的一類病毒的總稱，簡稱為ARP病毒。這是一種入侵電腦的木馬病毒，對電腦用戶的私密信息威脅很大。

2 ARP協(xié)議（Address resolution protocol）

ARP是地址解析協(xié)議，是一種將電腦的IP地址轉化成物理地址的協(xié)議[1]。具體來說就是將網絡層（IP層）地址解析成為數據連接層（MAC層）的MAC地址。

3 ARP的工作原理（Working principle of ARP）

如果兩臺主機在同一網段內，如主機A要與主機B進行信息交換。檢查ARP緩存表中是否有主機B對應的MAC地址，如果有則直接建立通信；如果沒有對應的MAC地址則需要向局域網內的所有主機發(fā)送ARP請求，該請求包含主機A的IP地址、MAC地址，主機B的IP地址，局域網內的所有主機都會收到此請求，但只有主機B的IP地址與請求中攜帶的IP地址相同，主機B收到后，回復主機A，該回復包含主機A、B的IP地址、MAC地址，主機A收到回復后，更新自己的ARP緩存表，與主機B建立通信。

如果兩臺主機不在同一網段內，則需要通過主機所在的網關建立通信。如主機A要與主機C進行信息交換。主機A檢查ARP緩存表里是否有本地網關的MAC地址，如果沒有需要通過上述方法獲得MAC地址，然后與網關1建立通信連接。網關1與網關2是通過網絡中的路由器進行信息傳遞的，網關2收到后，查看信息包的接受者，即主機C，同樣的原理獲取主機C的MAC地址并建立通信，將信息包發(fā)送給主機C。

4 ARP病毒的欺騙原理（Spoofing principle of ARP viruses）

主機間的數據傳輸依靠的是MAC地址，IP地址與MAC地址間的對應關系存放在ARP緩存表中，正常情況下緩存表能夠保證數據傳輸的有效性[2]。但ARP緩存表在實現(xiàn)機制上存在漏洞，一臺主機不論自己是否發(fā)送過相應的請求，只要收到ARP應答，就會直接更新自己的ARP緩存表，將收到的MAC地址與IP地址建立對應關系。這就使得兩臺主機的通信內容可以被其他主機獲取。

例如主機A、C進行通信，主機B作為第三方可以截獲他們的通信內容。主機B向主機A發(fā)送ARP應答，將網關1的MAC地址變成主機B的MAC地址，主機A收到后直接將ARP緩存表中的網關1的MAC地址替換成03-03-03-03-03-03。同樣的道理主機B代替主機A與網關1建立通信，使網關1將ARP緩存表中主機A的MAC地址替換成03-03-03-03-03-03。這時主機A要與主機C通信，發(fā)送給網關1的數據包會直接發(fā)送給主機B，主機B將數據包截獲后再發(fā)送給網關1，同樣當主機C發(fā)送的數據包到達網關1后，網關1會將數據包發(fā)送給主機B，主機B再轉發(fā)給主機A完成通信過程。作為欺騙者主機B在主機A與網關1的通信過程中承擔了數據中轉的任務，實現(xiàn)了ARP欺騙攻擊。

5 ARP病毒的癥狀（Symptom of ARP viruses）

計算機感染ARP病毒后網絡連接正常，能PING通局域網內其他主機但無法PING通網關、無法打開網頁；由于ARP欺騙的木馬程序發(fā)作時發(fā)出了大量的數據包，導致網絡運行不穩(wěn)定，頻繁斷網、IE瀏覽器出錯以及常用軟件出現(xiàn)故障等問題[3]。

6 ARP病毒的清除（Removal of ARP viruses）

當計算機出現(xiàn)上述癥狀時可判斷感染了ARP病毒，此時應手動切斷網絡鏈接，以免病毒利用局域網攻擊其他計算機，影響網絡運行，在DOS模式下用ARP專用殺毒軟件進行殺毒。

點擊開始→運行，輸入cmd，打開命令控制臺窗口。如果計算機還能上網，手動切斷網絡鏈接，命令控制臺窗口中輸入arp-a，查看本地網關的IP地址、MAC地址。如果計算機不能上網，命令控制臺窗口中輸入arp-d，將本機arp緩存表清空，使計算機暫時恢復上網功能，再切斷網絡鏈接，再運行arp-a，查看網關的IP地址、MAC地址。

命令控制臺窗口中輸入arp-s，手動將網關的IP地址和MAC地址綁定，使計算機不受病毒影響，計算機重啟后需再次綁定。將命令放在autoexec.bat中，每次開機自動運行，無需手動操作。

7 結論（Conclusion）

局域網的安全性是人們使用網絡正常工作的前提，我們應正視網絡中的潛在威脅，了解他們的工作原理，從技術層面上找到相應的解決方案[4]。在實際工作中不斷的總結經驗，尋找規(guī)律，將各類威脅、病毒阻擋在局域網之外，確保網絡的安全與暢通。

參考文獻（References）

[1] 王秀和，楊明.計算機網絡安全技術淺析[J].中國教育技術設備，2007，7（5）：104-106.

[2] 王杰.計算機網絡安全的理論與實踐[J].中國教育技術設備，2008，12（5）：331-335.

[3] 楊永強，辛淑霞.常用網絡安全防范措施[J].科技資訊，2008，15（8）：267.

[4] 肖會.局域網的安全與病毒防治[J].科技致富向導，2009，3（4）：119-204.

作者簡介：

單廣翠（1983-），女，碩士，講師.研究領域：網絡管理、計算機教學.endprint