現今， 網吧或企業網絡中感染ARP病毒的情況極為多見， 給網絡的正常使用造成了很大的影響， 在清理和防范都比較困難， 給不少的網絡管理員造成了很大的困擾， 很多網絡管理員都在尋找一個穩定、快速的解決之道。 下面飛魚星技術工程師通過對ARP病毒的深度解析后， 把處理此類問題的一些經驗在這里與大家分享。

什么是ARP和ARP病毒

　　ARP協議是“Address Resolution Protocol”（地址解析協議）的縮寫。 在局域網中， 網絡中實際傳輸的是“幀”， 幀里面是有目標主機的MAC地址的。 在以太網中， 一個主機要和另一個主機進行直接通信， 必須要知道目標主機的MAC地址。 然而怎么獲取呢？需通過地址解析協議獲得。 所謂“地址解析”就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。 ARP協議的基本功能就是通過目標設備的IP地址， 查詢目標設備的MAC地址， 以保證通信的順利進行。

　　ARP協議本身并不是病毒， 但很多木馬程序、病毒都利用了該協議， 就成為讓人憎恨的ARP病毒。 在一般的網絡中， 路由器和PC均帶有ARP緩存， 因此這兩類設備最容易受到ARP攻擊。 如同路由器受到ARP攻擊時數據包不能到達PC一樣， 上網PC受到ARP攻擊時， 數據包也不會發送到路由器上， 而是發送到一個錯誤的地方， 當然也就無法通過路由器上網了。

ARP欺騙攻擊的癥狀

1、計算機網絡連接正常， 有時候PC無法訪問外網， 重新啟動路由器又好了， 過一會又不行了；

2、用戶私密信息（如網銀、QQ、網游等帳號）被竊取；

3、局域網內的ARP廣播包巨增， 使用ARP查詢時發現不正常的MAC地址， 或錯誤的MAC地址， 還有一個MAC對應多個IP的情況；局域網內出現網絡擁塞， 甚至一些網絡設備當主機。

ARP欺騙攻擊的原理

ARP欺騙攻擊的一般有以下兩個特點：

第一， 以太網數據包頭的源地址、目標地址和ARP數據包的協議地址不匹配；

第二， ARP數據包的發送和目標地址不在自己網絡網卡MAC數據庫內， 或者與自己網絡MAC數據庫MAC/IP不匹配。

ARP欺騙攻擊的解決辦法

　　針對ARP欺騙攻擊的防御， 飛魚星科技于2005年率先提出針對ARP欺騙攻擊的主動防御理念， 隨后， 國內同類產品也提出了類似方式防御， 即：增大路由器ARP信息主動廣播密度， 從而減少PC遭受ARP欺騙攻擊的可能。

　　現市面上某些產品或軟件加強了ARP主動廣播的密度， 意圖通過高密度廣播達到減緩或抑制內網PC遭受ARP欺騙的目的， 但實際運用效果來看， 加強廣播密度的做法：一方面， 高密度的內網廣播， 給網絡帶來了繁重的負擔， 甚至產生廣播風暴， 導致整個網絡的癱瘓；另一方面， 如果內網中毒過重， 那單純依靠某臺設備的高密度廣播也是有限的， 隨著內網中毒PC數量的增加， ARP欺騙攻擊廣播勢必會壓過路由器或軟件主動廣播的密度， 從而斷網問題仍然懸而未決， 用戶怨聲載道。

　　因此， 為減少網絡廣播壓力， 有效抑制網絡廣播風暴， 飛魚星工程師推薦用戶采用雙向IP/MAC地址綁定的方式來解決和防止ARP欺騙攻擊所導致網絡的時斷時續。

1、在PC上綁定路由器的IP和MAC地址：

方法一、安裝智能網關IP/MAC地址綁定軟件

推薦使用：“網關智能綁定精靈 正式版 2.0”， 通過該軟件的下載和安裝， PC重啟后自動綁定網關IP/MAC地址， 軟件還提供兩個附加IP/MAC地址的手動綁定策略（支持綁定服務器等附加綁定）， 針對本地ARP信息變更， 提供報警提示服務）

方法二、手動綁定網關IP/MAC

（1）首先， 獲得路由器的內網的MAC地址（例如， 飛魚星高性能寬帶路由器局域網口的IP地址為：192.168.160.1， MAC地址為：00-3c-01-50-3f-66）。

（2）用記事本編寫一個批處理文件Varp.bat內容如下：

@echo off

arp -d

arp -s  192.168.160.1  00-3c-01-50-3f-66

（將文件中的網關IP地址和MAC地址更改為您自己的網關局域網口的IP地址和MAC地址即可。 ）

將此批處理文件拖動（移動）到“開始”-->“程序”-->“啟動”中。

2、在路由器上綁定內網所有PC的IP和MAC地址：

　　以飛魚星高性能寬帶路由器為例， 在設備配置頁面“網絡安全”的“IP-MAC綁定” 中的“掃描MAC”， 掃描到的未綁定主機通過“>>>”功能鍵添加掃描地址至綁定列表中。 （如圖一所示）

（圖一）

　　雙向地址綁定結合飛魚星高性能寬帶路由器完善的攻擊防御體系， 讓您的網絡更安全， 更穩定。 （如圖二所示）

（圖二）

3、找到感染ARP病毒的機器

　　通過飛魚星路由器配置界面的“系統狀態”-->“系統日志”， 查看ARP欺騙攻擊的對應日志信息。 （如圖三所示）

（圖三）

　　通過飛魚星路由器后臺命令提示符下管理， 查看路由器ARP信息， 最終查找到攻擊來源MAC地址對應IP地址， 從而及時、有效的解決故障機問題。 （如圖四所示）

（圖四）

　　對于一些不適合傳統IP/MAC雙向綁定的網絡環境， 例如客人流動頻繁的商務酒店、經常克隆/還原系統的網吧、頻繁添加電腦的企業和學校。 ARP信任機制在無雙向綁定的情況下， 可自動學習、判斷和更新內網主機的ARP信息， 確保路由器獲得真實可靠的用戶ARP信息， 既保證上網的便捷性， 又保證上網的安全性。

　　最后， 在不斷的深入研究之后， 飛魚星科技推出了全新的安全聯動解決方案， 通過三層設備（飛魚星路由器）和二層設備（飛魚星交換機）的協同安全聯動， 輕松解決因內網個別電腦中毒， 攻擊其他電腦導致整網癱瘓的問題， 基于硬件端口的防御方式， 整個網絡將不會受到任何威脅。 同時高性能的自防御系統， 可有效的防御網絡中其他的常見攻擊。 同時， 簡單、易操作的理念將大大減輕網管員的工作量， 使得網管員有更多時間考慮網絡的日常維護和網絡規劃， 不再一天到晚疲于應付安全事件的發生。

其他排查辦法：

（1）在未綁定PC上Ping路由器網關的IP地址， 然后使用“arp -a”命令， 查看網關對應的MAC地址是否與實際情況相符， 如有不符， 可去查找與該MAC地址對應的PC。

（2）使用抓包工具， 分析所得到的ARP數據報。 有些ARP病毒是會把通往網關的路徑指向自己， 有些是發出虛假ARP回應包來混淆網絡通信。 第一種處理比較容易， 第二種處理比較困難， 如果殺毒軟件不能正確識別病毒的話， 往往需要手工查找感染病毒的電腦和手工處理病毒， 比較困難。

（3）使用MAC地址掃描工具， Nbtscan掃描全網段IP地址和MAC地址對應表， 有助于判斷感染ARP病毒對應MAC地址和IP地址。

10:25 2009-1-12