浅谈ARP病毒在局域网中的分析处理及防御

1、 本文将对局域网中发生的arp病毒故障现象及故障诊断进行介绍，同时介绍arp协议的工作原理及常见的arp病毒的攻击方式，以及如何处理和防御arp病毒攻击的方法，以达到全面防御维护局域网网络安全的目的。 关键词：地址解析协议，arp欺骗，网络安全 目目 录录 一、一、arparp病毒的故障现象病毒的故障现象四、四、arparp病毒的故障诊断病毒的故障诊断二、二、arparp协议的工作原理协议的工作原理三、三、arparp病毒攻击方式病毒攻击方式五、五、arparp病毒的故障处病毒的故障处理理六、预防措施六、预防措施 我们知道，当我们在浏览器里面输入网址时，dns服务器会自动把它解析为ip地址，浏

2、览器实际上查找的是ip地址而不是网址。那么ip地址是如何转换为第二层物理地址（即mac地址）的呢？在局域网中，这是通过arp协议来完成的。arp协议对网络安全具有重要的意义。 通过伪造ip地址和mac地址实现arp欺骗，能够在网络中产生大量的arp通信量，使网络阻塞。 一、一、arparp病毒的故障现象病毒的故障现象 arp病毒现象表现为：计算机网络连接正常，网络运行不稳定，无法ping通网关的ip地址、但可以ping通自己的ip地址，上网时会突然掉线，过一段时间后又会恢复正常。比如出现用户频繁断网，ie浏览器频繁出错等现象。重启电脑或在 ms-dos窗口下运行命令arp -d后，又可恢复上网

3、。二、二、arp协议的工作原理协议的工作原理1、什么是arp协议 ip数据包常通过以太网发送。以太网设备并不识别32位ip地址，它们是以48位以太网地址传输以太网数据包的。因此，必须把目的ip地址转换成目的mac 地址。在这两种地址之间存在着某种对应的映射，常常需要查看一张表。地址解析协议(address resolution protocol，arp)就是用来确定这些映像的协议。 在局域网中，就是通过arp协议来完成ip地址转换为第二层物理地址（即mac地址）的。网络中实际传输的是“帧”，帧里面是有目标主机的mac地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的m

4、ac地址。这个目标mac地址是通过地址解析协议即arp协议获得的。所谓“地址解析”就是主机在发送帧前将目标ip地址转换成目标mac地址的过程。arp协议的基本功能就是通过目标设备的ip地址，查询目标设备的mac地址，以保证通信的顺利进行。 每台安装有tcp/ip协议的计算机主机里都有一个arp缓存表，表中的ip地址 mac地址是一一对应的，如表 1 所示： 表 1 地址解析协议缓存地址表 值得注意的一点是：arp 缓存表采用了一种老化机制，在一定的时间内如果某一条记录没有被使用过就会被删除。这样可以大大减少arp 缓存表的长度，加快查询速度。 主机ip地址mac地址a192.168.1.1 a

5、a-aa-aa-aa-aa-aa b192.168.1.2bb-bb-bb-bb-bb-bb c192.168.1.3cc-cc-cc-cc-cc-cc 2、什么是arp欺骗 arp欺骗是一种利用计算机病毒使计算机网络无法正常运行的计算机攻击手段。包括进行对主机发动ip冲突攻击、数据包轰炸，切断局域网上任何一台主机的网络连接等。主要有以盗取数据为主要目的的arp欺骗攻击，感染的计算机试图通过“arp 欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。 arp的攻击问题影响很大，局域网内一旦有arp的攻击存在，会欺骗局域网内所有的主机和网关，让所有上网的流量必须经

6、过arp攻击者控制的主机。其它用户原来直接通过网关上网，现在却转由通过被控主机转发上网。由于被控主机性能和程序性能的影响，这种转发并不会非常流畅，因此就会导致用户上网的速度变慢甚至频繁断线。另外arp欺骗的木马程序发作的时候会发出大量的数据包导致局域网网络拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。arp欺骗木马只需成功感染一台电脑，就可能导致整个局域网无法上网，严重的可能带来整个网络的瘫痪。 3、arp协议的工作原理协议的工作原理 首先，每台主机都会在自己的arp缓冲区中建立一个 arp列表，以表示ip地址和mac地址的对应关系。当源主机需要将一个数据包要发送到目的主机时，会首

7、先检查自己 arp列表中是否存在该 ip地址对应的mac地址，如果有就直接将数据包发送到这个mac地址；如果没有，就向本地网段发起一个arp请求的广播包，查询此目的主机对应的mac地址。此arp请求数据包里包括源主机的ip地址、硬件地址、以及目的主机的ip地址。 网络中所有的主机收到这个arp请求后，会检查数据包中的目的ip是否和自己的ip地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的mac地址和ip地址添加到自己的arp列表中，如果arp表中已经存在该ip的信息，则将其覆盖，然后给源主机发送一个 arp响应数据包，告诉对方自己是它需要查找的mac地址；源主机收到这个arp

8、响应数据包后，将得到的目的主机的ip地址和mac地址添加到自己的arp列表中，并利用此信息开始数据的传输。三、arp病毒攻击方式 从影响网络连接通畅的方式来看，arp攻击分为两种，一种是arp泛洪；另一种是arp欺骗。 arp 泛洪：受arp病毒感染的主机不断向本地网络内其他主机发送大量的错误arp应答报文，导致受攻击主机的arp表中的真实的arp条目被刷新掉。因为错误的arp条目占用了整个arp表。所以，受攻击主机就不能完成正确的二层寻址，也就不能实现internet的访问。这种攻击的现象是，受攻击主机即不能访问本地网络，也不能访问外部网络。 arp欺骗：受arp病毒感染的主机伪造ip地址为

9、网关地址，mac地址为本机mac地址的虚假arp应答报文发送给本地网络内的主机，以刷新受攻击主机的正确的网关的arp条目，诱使受攻击主机将原本发往网关的数据包发送到感染arp病毒的主机上。攻击者通常利用这种方法来窃取被攻击者的数据包中的信息。这种攻击的现象是，受攻击主机访问外部网络时断时续，但是访问本地网络时不受影响。 四、四、arparp病毒的故障诊断病毒的故障诊断 如果用户发现计算机网络连接正常，网络运行不稳定，频繁断网。可以通过如下操作进行诊断： 点击“开始”按钮 选择“运行” 输入cmd 再输入“arp -d”-点击“确定”按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受

10、arp欺骗所致。 注：可以先用arp -a命令查看一下，再用arp -d清除主机arp表。主机的arp表被清空。如果这时可以正常上网，过一段时间又不能上网，再重复前面的过程又可以上网。则说明受到arp攻击。五、arp病毒的故障处理（一）、（一）、从交换机上进行ip地址与mac地址绑定设置 从交换机的角度，可以使用命令进行ip 地址和 mac地址的绑定。以中兴zxr10 解决方案为例，中兴zxr10在交换机上提供 ip 地址和 mac 地址的绑定功能，并建立绑定关系。在进行 arp 绑定前首先要确定网络是正常运行的，然后再进行arp 绑定设置。这样可以有效地提高网络安全性和稳定性。 当更换电脑网

11、卡时要更新静态 arp 映射表。否则由于更换了网卡的主机的 mac 地址与 arp 表中的不一致，也会导致无法上网，应相应的给予修改。（二）、从（二）、从客户端主机进行 arp 绑定设置处理方法 步骤一：在能上网的时候点击“开始开始”按钮 选择“运行运行” 输入cmd 输入“arp arp -a a” 则会显示网关的正确mac 地址和ip地址（记录下来为以后查杀arp病毒做准备）。如果不能上网，则先运行一次“arp -d”，将arp缓存中的内容清空，计算机可暂时上网。 步骤二：已经有网关正确的mac地址和ip地址，手工将mac 地址和ip地址绑定，计算机可以免受arp攻击的干扰。手工绑定可在m

12、s-dos下运行以下命令：“arp -s 网关ip地址 网关mac地址” 例如：在运行中输入cmd 输入“arp -a”命令，则会显示局域网网关的ip 地址和mac地址，如下图： internet address physical address type 60.2.11.1 00-19-c6-07-5a-21 dynamici（动态） 那么手工绑定的命令为：“arp -s 60.2.11.1 00-19-c6-07-5a-2100-19-c6-07-5a-21”（注意要写自己局域网网关的ip地址和mac地址）。绑定完可再用“arp -a ”命令查看arp 缓存表，则会发现网关类型变成了静态：

13、 internet address physical address type 60.2.11.1 00-19-c6-07-5a-21 static（静态） 但是，需要说明的是手工绑定在计算机关机重开机后就会失效，需要再绑定。我们可以编写一个批处理文件，放到启动项中，这样每次开机都会运行这个程序，可以防止arp 攻击。请按照以下步骤操作：1) 编写一个批处理文件arp.bat内容如下：如图所示：echo offarp -darp -s 60.2.11.1 00-19-c6-07-5a-21 将文件中的网关ip地址和mac地址更改为您自己的网关ip地址和mac地址即可。 2）保存文件夹（自启动文

14、件夹）：c:documents and settingsall users开始菜单程序启动 (注意,一定是all users目录下) 3）重起计算机 4）操作完成后可以看到:桌面开始菜单所有程序启动arp.bat ，切记不要删! 注：此方法要是换网段的话要重新设置。所以要彻底消除攻击则要找出被病毒感染的计算机，杀除arp病毒，方可解决。（三）、（三）、找出受病毒感染的计算机找出受病毒感染的计算机并查杀病毒并查杀病毒 目前关于arp类的防护软件出的比较多，结合使用软件可以找到受病毒感染计算机的mac 地址和ip地址，也就找到了该计算机。 anti arp snifferanti arp snif

15、fer是一款检测网络内存在arp木马欺骗的工具。当怀疑网络内存在arp木马时，可使用此工具来进行自我保护。或者设置为自动运行，可以免受arp欺骗木马的感染。 网络内存在arp 欺骗木马时的症状通常如下：物理网络正常的情况下，网络不稳定，上网时断时续。或者是突然不能连接互连网。这时您可以使用anti arp sniffer来进行自我保护。 更深入一步，也可以检测到感染arp欺骗木马的主机地址和mac地址，这时我们可以和网管人员一起来找出病源，专门针对该机器进行病毒的查杀。首先要升级防病毒软件的病毒定义码，使得防病毒软件的病毒库为最新。然后断开网线，查杀病毒。六、预防措施： 机器被感染病毒，主要是防范意识薄弱，即使你的机器现在清除了该病毒，但以后仍然会感染新的病毒（包括该病毒变种及其他病毒）。为了有效防范来自病毒、黑客的网络攻击，要养成良好的使用习惯。 1、不要随便点