l        ARP病毒防制方法函待加強

ARP病毒問題已經講了很長一段時間了， 大家對于ARP病毒的防制也總結了不少的經驗， 不斷在網上發更新防制方法。 但是新的ARP病毒的變種更加猖獗， 更加充斥我們網絡的不同角落給我們的管理工作帶來不大不小的問題， 同時也影響到網絡的正常運行， 所以對ARP病毒的防護仍然是一個熱點問題。

近日， 又聽到有許多網管抱怨傳統的綁定方法有時候不能做到防制或者不能根本解決問題， 例舉一些在日常處理中經常會出現的問題：

1、在PC上綁定安全網關的IP和MAC地址或者做一個批處理文件來進行綁定， ARP病毒可以自己動改寫錯誤網關MAC地址造成網絡中網關錯誤， 造成局部或者大面積掉線問題。

2、在路由器做MAC綁定， 沒有從根本上解決ARP防護,當中ARP病毒的機器將其數據發到偽造的網關同樣會造成掉線等相關問題。

3、使用監視軟件， 但是ARP病毒的發作是沒有規律可言的， 網管不能可時時都去注意這樣的問題。

4、客戶機安裝時綁定IP-MAC軟件， 根據CPU利用率而定， 因為需要時時網絡連通， 當病毒發作的時候會突然掉線。

5、某些軟件通過做幾個假的DLL文件欺騙探測軟件， 但是某些ARP病毒軟件不需要探測就可以進行ARP攻擊。

以上幾個常用的方法其起到的作用是有限的， 但是都會存在這樣或者那樣的弊端， 我們必須尋求更好的解決辦法， 下面我們來介紹幾招新的升級版的防治辦法， 這些都是Qno俠諾工程師們長期服務在一線工作中所積累寶貴經驗。

l        解決客戶實例

對于合肥有一家網吧有做了ARP綁定， 亦無法抵擋ARP攻擊， 我們Qno的工程師有聯系到客戶看他的電腦， 我看到的批處理如下， 并且PC 端通過Arp –a命令來確認并沒有綁定。 原因在與其echo后面的中文的敘述沒有用“ ”來做標示， 造成其批處理文件無法執行， 其用戶本機上根本沒做相應的綁定工作， 如圖1。

@echo OFF

ping XXX.XXX.XXX.XXX(保證客戶網絡安全， 其IP地址數字用X代替)

if %~n0==arp exit

if %~n0==Arp exit

if %~n0==ARP exit

echo 正在獲取本機信息..... 

:IP

FOR /f "skip=13 tokens=15 usebackq " %%i in (`ipconfig /all`) do Set IP=

%%i && GOTO MAC

:MAC

echo IP:%IP%

FOR /f "skip=13 tokens=12 usebackq " %%i in (`ipconfig /all`) do Set

MAC=%%i && GOTO GateIP

:GateIP

echo MAC:%MAC%

arp -s %IP% %MAC%

echo 正在獲取網關信息.....

FOR /f "skip=17 tokens=13 usebackq " %%i in (`ipconfig /all`) do Set

GateIP=%%i && GOTO GateMac

:GateMac

echo IP:%GateIP%

FOR /f "skip=3 tokens=2 usebackq " %%i in (`arp -a %GateIP%`) do Set

GateMAC=%%i && GOTO Start

:Start

echo MAC:%GateMAC%

arp -d

arp -s %GateIP% %GateMAC%

echo 操作完成!!!

exit

圖1

Qno俠諾工程師通過對批處理文件做相應的修改， 再檢查路由器上的綁定， 之后這個網吧就沒有發現掉線問題了， 至今網絡運行正常， 所以可看出通過雙向綁定是完全可以解決ARP病毒防制的， 確實是一個行之有效的辦法， 完全可以解決ARP病毒造成網絡吊線、IP沖突的現象， 使ARP病毒無能為力。 同時建議用戶在做雙向綁定后， 通過Arp –a的命令檢查綁定是否有效， 和路由器上的綁定是否有錯誤， 這樣來進一步確保防制ARP病毒的攻擊， 下面強調防制幾個注意的問題。

1、執行完之后要用 arp -a 看 type 是 static 還是 dynamic。

2、不要用復雜的腳本， 最簡單的即可防止別人中了， 自己不受影響， 一般網吧都有還原卡， 網管可以用軟件監察， 發現有中了ARP， 提醒一下客人以防盜取帳號密碼。

3、目前防毒軟件也沒有對此有很好的防范。

4、ARP稱之為病毒， 但實質上對于ARP協議來說， 只是完善和加強（就好象信用卡在中國需要加密碼， 在外國只需要簽名一樣， 但不是信用機制出了問題）。

5、不要指望能過廣播發包， 最終受影響的是自己的網絡。 具體的ARP的解決方法

Qno俠諾工程師一般會提前做好防制工作， 同時需要在客戶端和路由器上做雙向的綁定工作， 這樣的話無論ARP病毒是偽造本機的IP/MAC或者網關的地址都不會出現上網掉線或者大面積斷線等問題了

1、激活防止ARP病毒攻擊：

進入路由器“防火墻配置”的“基本頁面”， 激活“防止ARP病毒攻擊”， 如圖2

圖2   中文路由器Web管理頁面

2、對每臺pc上綁定網關的IP和其MAC地址

通過arp –s令或者批處理來實現pc的綁定工作。

如圖3， arp –s做綁定。

圖3

針對網絡內的其他主機用同樣的方法輸入相應的主機IP以及MAC地址完成IP與MAC綁定。 但是此動作， 如果重啟了電腦， 作用就會消失， 所以可以把此命令做成一個批處理文件， 放在操作系統的啟動里面：

   @echo off

arp -d

arp -s路由器LAN IP  路由器LAN MAC

對于已經中了ARP攻擊的內網， 要找到攻擊源。 方法：在PC上不了網或者ping丟包的時候， 在DOS下打 arp –a命令， 看顯示的網關的MAC地址是否和路由器真實的MAC相同。 如果不是， 則查找這個MAC地址所對應的PC， 這臺PC就是攻擊源。

3、在路由器端綁定用戶IP/MAC地址：

進入路由器“DHCP功能”的“DHCP配置”， 輸入內網電腦的IP/MAC,并激活， 如圖4

圖4

點擊顯示新加入的IP地址后彈出IP與MAC綁定列表， 輸入計算機“名稱”和“激活”上“√”選， 再在右上角點確定， 如圖5。

圖5

此時你所綁定的選項就會出現在IP與MAC綁定列表框里， 如圖5再點擊“確認/Apply”綁完成。

圖6

Qno俠諾技術工程師建議通過一些手段來進一步控制ARP的攻擊。

1、病毒源， 對病毒源頭的機器進行處理， 殺毒或重新裝系統。

2、網吧管理員檢查局域網病毒， 安裝殺毒軟件。

3、給系統安裝補丁程序。

4、給系統管理員帳戶設置足夠復雜的強密碼。

5、經常更新殺毒軟件， 安裝并使用網絡防火墻軟件。

6、關閉一些不需要的服務， 條件允許的可關閉一些沒有必要的共享， 也包括C$、D$等管理共享。 完全單機的用戶也可直接關閉Server服務

7、建議用戶不要隨便點擊打開QQ、MSN等聊天工具上發來的鏈接信息， 以免病毒的傳播。

l        總結

我們通過以上綜合的方法來解決ARP病毒攻擊是行之有效的。 雖然ARP病毒版本不斷更新、不斷升級， 給企業用戶及網吧不斷帶來新的沖擊與危害， 但是如果能夠提前能夠提前做好防制工作， 相信ARP的危害會減少到最小的程度。