ARP病毒,網(wǎng)絡(luò)掉線罪魁禍?zhǔn)着c處理之道

現(xiàn)今， 網(wǎng)吧或企業(yè)網(wǎng)絡(luò)中感染ARP病毒的情況極為多見， 給網(wǎng)絡(luò)的正常使用造成了很大的影響， 在清理和防范都比較困難， 給不少的網(wǎng)絡(luò)管理員造成了很大的困擾， 很多網(wǎng)絡(luò)管理員都在尋找一個(gè)穩(wěn)定、快速的解決之道。 下面飛魚星技術(shù)工程師通過對(duì)ARP病毒的深度解析后， 把處理此類問題的一些經(jīng)驗(yàn)在這里與大家分享。

什么是ARP和ARP病毒

　　ARP協(xié)議是“Address Resolution Protocol”（地址解析協(xié)議）的縮寫。 在局域網(wǎng)中， 網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖?ldquo;幀”， 幀里面是有目標(biāo)主機(jī)的MAC地址的。 在以太網(wǎng)中， 一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信， 必須要知道目標(biāo)主機(jī)的MAC地址。 然而怎么獲取呢？需通過地址解析協(xié)議獲得。 所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程。 ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址， 查詢目標(biāo)設(shè)備的MAC地址， 以保證通信的順利進(jìn)行。

　　ARP協(xié)議本身并不是病毒， 但很多木馬程序、病毒都利用了該協(xié)議， 就成為讓人憎恨的ARP病毒。 在一般的網(wǎng)絡(luò)中， 路由器和PC均帶有ARP緩存， 因此這兩類設(shè)備最容易受到ARP攻擊。 如同路由器受到ARP攻擊時(shí)數(shù)據(jù)包不能到達(dá)PC一樣， 上網(wǎng)PC受到ARP攻擊時(shí)， 數(shù)據(jù)包也不會(huì)發(fā)送到路由器上， 而是發(fā)送到一個(gè)錯(cuò)誤的地方， 當(dāng)然也就無法通過路由器上網(wǎng)了。

ARP欺騙攻擊的癥狀

1、計(jì)算機(jī)網(wǎng)絡(luò)連接正常， 有時(shí)候PC無法訪問外網(wǎng)， 重新啟動(dòng)路由器又好了， 過一會(huì)又不行了；

2、用戶私密信息（如網(wǎng)銀、QQ、網(wǎng)游等帳號(hào)）被竊�。�

3、局域網(wǎng)內(nèi)的ARP廣播包巨增， 使用ARP查詢時(shí)發(fā)現(xiàn)不正常的MAC地址， 或錯(cuò)誤的MAC地址， 還有一個(gè)MAC對(duì)應(yīng)多個(gè)IP的情況；局域網(wǎng)內(nèi)出現(xiàn)網(wǎng)絡(luò)擁塞， 甚至一些網(wǎng)絡(luò)設(shè)備當(dāng)主機(jī)。

ARP欺騙攻擊的原理

ARP欺騙攻擊的一般有以下兩個(gè)特點(diǎn)：

第一， 以太網(wǎng)數(shù)據(jù)包頭的源地址、目標(biāo)地址和ARP數(shù)據(jù)包的協(xié)議地址不匹配；

第二， ARP數(shù)據(jù)包的發(fā)送和目標(biāo)地址不在自己網(wǎng)絡(luò)網(wǎng)卡MAC數(shù)據(jù)庫(kù)內(nèi)， 或者與自己網(wǎng)絡(luò)MAC數(shù)據(jù)庫(kù)MAC/IP不匹配。

ARP欺騙攻擊的解決辦法

　　針對(duì)ARP欺騙攻擊的防御， 飛魚星科技于2005年率先提出針對(duì)ARP欺騙攻擊的主動(dòng)防御理念， 隨后， 國(guó)內(nèi)同類產(chǎn)品也提出了類似方式防御， 即：增大路由器ARP信息主動(dòng)廣播密度， 從而減少PC遭受ARP欺騙攻擊的可能。

　　現(xiàn)市面上某些產(chǎn)品或軟件加強(qiáng)了ARP主動(dòng)廣播的密度， 意圖通過高密度廣播達(dá)到減緩或抑制內(nèi)網(wǎng)PC遭受ARP欺騙的目的， 但實(shí)際運(yùn)用效果來看， 加強(qiáng)廣播密度的做法：一方面， 高密度的內(nèi)網(wǎng)廣播， 給網(wǎng)絡(luò)帶來了繁重的負(fù)擔(dān)， 甚至產(chǎn)生廣播風(fēng)暴， 導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓；另一方面， 如果內(nèi)網(wǎng)中毒過重， 那單純依靠某臺(tái)設(shè)備的高密度廣播也是有限的， 隨著內(nèi)網(wǎng)中毒PC數(shù)量的增加， ARP欺騙攻擊廣播勢(shì)必會(huì)壓過路由器或軟件主動(dòng)廣播的密度， 從而斷網(wǎng)問題仍然懸而未決， 用戶怨聲載道。

　　因此， 為減少網(wǎng)絡(luò)廣播壓力， 有效抑制網(wǎng)絡(luò)廣播風(fēng)暴， 飛魚星工程師推薦用戶采用雙向IP/MAC地址綁定的方式來解決和防止ARP欺騙攻擊所導(dǎo)致網(wǎng)絡(luò)的時(shí)斷時(shí)續(xù)。

1、在PC上綁定路由器的IP和MAC地址：

方法一、安裝智能網(wǎng)關(guān)IP/MAC地址綁定軟件

推薦使用：“網(wǎng)關(guān)智能綁定精靈 正式版 2.0”， 通過該軟件的下載和安裝， PC重啟后自動(dòng)綁定網(wǎng)關(guān)IP/MAC地址， 軟件還提供兩個(gè)附加IP/MAC地址的手動(dòng)綁定策略（支持綁定服務(wù)器等附加綁定）， 針對(duì)本地ARP信息變更， 提供報(bào)警提示服務(wù)）

方法二、手動(dòng)綁定網(wǎng)關(guān)IP/MAC

（1）首先， 獲得路由器的內(nèi)網(wǎng)的MAC地址（例如， 飛魚星高性能寬帶路由器局域網(wǎng)口的IP地址為：192.168.160.1， MAC地址為：00-3c-01-50-3f-66）。

（2）用記事本編寫一個(gè)批處理文件Varp.bat內(nèi)容如下：

@echo off

arp -d

arp -s  192.168.160.1  00-3c-01-50-3f-66

（將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為您自己的網(wǎng)關(guān)局域網(wǎng)口的IP地址和MAC地址即可。 ）

將此批處理文件拖動(dòng)（移動(dòng)）到“開始”-->“程序”-->“啟動(dòng)”中。

2、在路由器上綁定內(nèi)網(wǎng)所有PC的IP和MAC地址：

　　以飛魚星高性能寬帶路由器為例， 在設(shè)備配置頁(yè)面“網(wǎng)絡(luò)安全”的“IP-MAC綁定” 中的“掃描MAC”， 掃描到的未綁定主機(jī)通過“>>>”功能鍵添加掃描地址至綁定列表中。 （如圖一所示）

（圖一）

　　雙向地址綁定結(jié)合飛魚星高性能寬帶路由器完善的攻擊防御體系， 讓您的網(wǎng)絡(luò)更安全， 更穩(wěn)定。 （如圖二所示）

（圖二）

3、找到感染ARP病毒的機(jī)器

　　通過飛魚星路由器配置界面的“系統(tǒng)狀態(tài)”-->“系統(tǒng)日志”， 查看ARP欺騙攻擊的對(duì)應(yīng)日志信息。 （如圖三所示）

（圖三）

　　通過飛魚星路由器后臺(tái)命令提示符下管理， 查看路由器ARP信息， 最終查找到攻擊來源MAC地址對(duì)應(yīng)IP地址， 從而及時(shí)、有效的解決故障機(jī)問題。 （如圖四所示）

（圖四）

　　對(duì)于一些不適合傳統(tǒng)IP/MAC雙向綁定的網(wǎng)絡(luò)環(huán)境， 例如客人流動(dòng)頻繁的商務(wù)酒店、經(jīng)常克隆/還原系統(tǒng)的網(wǎng)吧、頻繁添加電腦的企業(yè)和學(xué)校。 ARP信任機(jī)制在無雙向綁定的情況下， 可自動(dòng)學(xué)習(xí)、判斷和更新內(nèi)網(wǎng)主機(jī)的ARP信息， 確保路由器獲得真實(shí)可靠的用戶ARP信息， 既保證上網(wǎng)的便捷性， 又保證上網(wǎng)的安全性。

　　最后， 在不斷的深入研究之后， 飛魚星科技推出了全新的安全聯(lián)動(dòng)解決方案， 通過三層設(shè)備（飛魚星路由器）和二層設(shè)備（飛魚星交換機(jī)）的協(xié)同安全聯(lián)動(dòng)， 輕松解決因內(nèi)網(wǎng)個(gè)別電腦中毒， 攻擊其他電腦導(dǎo)致整網(wǎng)癱瘓的問題， 基于硬件端口的防御方式， 整個(gè)網(wǎng)絡(luò)將不會(huì)受到任何威脅。 同時(shí)高性能的自防御系統(tǒng)， 可有效的防御網(wǎng)絡(luò)中其他的常見攻擊。 同時(shí)， 簡(jiǎn)單、易操作的理念將大大減輕網(wǎng)管員的工作量， 使得網(wǎng)管員有更多時(shí)間考慮網(wǎng)絡(luò)的日常維護(hù)和網(wǎng)絡(luò)規(guī)劃， 不再一天到晚疲于應(yīng)付安全事件的發(fā)生。

其他排查辦法：

（1）在未綁定PC上Ping路由器網(wǎng)關(guān)的IP地址， 然后使用“arp -a”命令， 查看網(wǎng)關(guān)對(duì)應(yīng)的MAC地址是否與實(shí)際情況相符， 如有不符， 可去查找與該MAC地址對(duì)應(yīng)的PC。

（2）使用抓包工具， 分析所得到的ARP數(shù)據(jù)報(bào)。 有些ARP病毒是會(huì)把通往網(wǎng)關(guān)的路徑指向自己， 有些是發(fā)出虛假ARP回應(yīng)包來混淆網(wǎng)絡(luò)通信。 第一種處理比較容易， 第二種處理比較困難， 如果殺毒軟件不能正確識(shí)別病毒的話， 往往需要手工查找感染病毒的電腦和手工處理病毒， 比較困難。

（3）使用MAC地址掃描工具， Nbtscan掃描全網(wǎng)段IP地址和MAC地址對(duì)應(yīng)表， 有助于判斷感染ARP病毒對(duì)應(yīng)MAC地址和IP地址。

10:25 2009-1-12