2008年對于反病毒戰線來說， 絕對不是個安寧的一年， 網絡病毒的大規模發作， 給全國的網民帶來的， 絕不僅僅是中毒后重做系統這么簡單， 重要數據丟失， 網上銀行被竊， 網游帳號裝備被偷等等， 網絡病毒的危害性， 已經遠遠超過了人們的想象， 而做為絕大多數網民的上網場所， 網吧以及企業的局域網絡， 則首當其沖成為了網絡病毒的重災區。

網絡病毒之所以能以驚人的速度傳播， 是因為它們都有極強的利用漏洞攻擊網絡上其他機器的能力， 而局域網ARP漏洞攻擊， 則是目前暴發流行的各種網絡病毒最常用的招數， 包括目前正在大規模暴發的“機器狗”， 也正是利用ARP漏洞在局域網中傳染開去。

ARP（Address Resolution Protocol）又被稱為地址轉換協議， 是用來實現 IP 地址與本地網絡認識的物理地址（以太網 MAC 地址）之間的映射。 在以太網絡中有一張表格， 通常稱為 ARP 緩沖（ARP cache）， 來維持每個 MAC 地址與其相應的 IP 地址之間的對應關系。 ARP 提供一種形成該對應關系的規則以及提供雙向地址轉換。 ARP協議很像一個思想不堅定容易被騙的人， 就像一個快遞員， 要送信給"張三"， 只在馬路上問"張三住那兒？"， 并投遞給最近和他說"我就是！"或"張三住那間！"， 來決定如何投遞一樣。 在一個人人誠實的地方， 快遞員的工作還是能正常進行；但若是旁人看快遞物品值錢， 想要欺騙取得的話， 快遞員這種工作方式就會帶來混亂了。

常見ARP攻擊對象有兩種， 一是網絡網關， 二是局域網上的計算機。 攻擊網絡網關就好比發送錯誤的地址信息給快遞員， 讓快遞員失去正確目標， 所有信件無法正常送達；而攻擊一般計算機就是直接和人謊稱自己就是快遞員， 讓用戶把需要傳送的物品傳送給發動攻擊的計算機。 由于一般的計算機及路由器的ARP協議的意志都不堅定， 因此只要有惡意計算機在局域網持續發出錯誤的ARP訊息， 就會讓計算機及路由器信以為真， 作出錯誤的傳送網絡包動作。 一般的ARP欺騙攻擊就是以這樣的方式， 造成網絡運作不正常， 達到盜取用戶密碼或破壞網絡運作的目的。 而要從根本上徹底解決這種欺騙攻擊， 唯一的辦法就是對局域網中的每臺機器包括網關在內進行ARP地址雙向綁定。

首先說網關的綁定， 這個比較簡單， 一般的網關路由器或者代理軟件均有ARP綁定功能， 以筆者使用的路由器為例， 綁定的界面簡單直觀

選擇靜態ARP綁定設置后出現表單

在此填入需要綁定的IP地址和MAC地址， 然后保存即可。

若需要對成批的地址進行綁定， 也可以選擇ARP映射表， 會列出局域網中所有正在使用的機器的IP和MAC， 方便我們成批的添加綁定

點取“全部導入”， 然后切換回“靜態地址綁定”頁面， 將要綁定的地址勾中即可

在此特別提請注意的是：網關自己的IP和MAC地址也需要在這里做好綁定。

至此網關部分的ARP綁定工作已經完成， 然而只在網關做綁定， 防護是不完整的， 我們還需要對局域網中的每一臺客戶機進行單獨的綁定。

客戶機的綁定工作分成兩部分， 一部分是綁定網關， 另一部分是綁定自己。

綁定網關的操作比較簡單， 以WINXP為例， 綁定的命令是：

Arp –s (ip) (mac)

比如：arp –s 192.168.0.1 00-14-2A-5F-99-E1

192.168.0.1 為網關路由器的IP地址， 00-14-2A-5F-99-E1 為路由器的MAC地址。

建議將這條命令做成批處理放在啟動組里， 方便系統啟動時自動運行。

接下來需要綁定的是客戶機自己的IP和MAC， 從原理上講和綁定路由器是一樣的操作， 不過考慮到局域網中的客戶機一般很多， 要一臺一臺的查IP和MAC工作量很繁重， 所以我們利用一個批處理來自動完成對每一臺客戶機的綁定：

@echo off

if exist ipconfig.txt del ipconfig.txt

ipconfig /all >ipconfig.txt

if exist phyaddr.txt del phyaddr.txt

find "Physical Address" ipconfig.txt >phyaddr.txt

for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M

if exist IPAddr.txt del IPaddr.txt

find "IP Address" ipconfig.txt >IPAddr.txt

for /f "skip=2 tokens=15" %%I in (IPAddr.txt) do set IP=%%I

arp -s %IP% %Mac%

del ipaddr.txt

del ipconfig.txt

del phyaddr.txt

exit

同樣也建議將這個批處理放在系統的啟動組里， 方便系統啟動時自動運行。

接下來可以檢查下我們的工作成果， 在CMD命令行下打 arp –a ， 提示如下：

Internet Address Physical Address Type

192.168.0.1 00-14-2A-5F-99-E1 static

192.168.0.9 00-0a-eb-4e-6f-67 static

綁定狀態為“STATIC”說明綁定成功為靜態， 至此大功告成！

其實網絡病毒并不可怕， 只要我們做好防護工作， 打好系統補丁， 即使有一天“狼”真的來了， 我們也能將它拒之門外， 確保一方網絡平安。