迅速找出局域網(wǎng)中的ARP病毒

在局域網(wǎng)環(huán)境中上網(wǎng)的朋友會經(jīng)常碰到無故斷線的情況， 并且檢查電腦也檢查不出什么原因。 其實(shí)出現(xiàn)這種情況， 大部分情況下都是局域網(wǎng)中的某一臺電腦感染了ARP類型的病毒所至。 感染病毒， 電腦一一殺毒， 電腦過多的情況下顯然很費(fèi)時(shí)費(fèi)力。 現(xiàn)在就告訴你這三招兩式， 快速找出局域網(wǎng)中的“毒瘤”。

小提示： ARP：Address Resolution Protocol的縮寫， 即地址解析協(xié)議。 ARP負(fù)責(zé)將電腦的IP地址轉(zhuǎn)換為對應(yīng)的物理地址， 即網(wǎng)卡的MAC地址。 當(dāng)發(fā)生ARP欺騙時(shí)， 相關(guān)主機(jī)會收到錯誤的數(shù)據(jù)， 從而造成斷網(wǎng)的情況發(fā)生。

一、查看防火墻日志

局域網(wǎng)中有電腦感染ARP類型病毒后， 一般從防火墻的日志中可以初步判斷出感染病毒的主機(jī)。

感染病毒的機(jī)器的典型特征便是會不斷的發(fā)出大量數(shù)據(jù)包， 如果在日志中能看到來自同一IP的大量數(shù)據(jù)包， 多半情況下是這臺機(jī)器感染病毒了。

這里以Nokia IP40防火墻為例， 進(jìn)入防火墻管理界面后， 查看日志項(xiàng)， 在“Event Log”標(biāo)簽下可以明顯看到內(nèi)網(wǎng)中有一臺機(jī)器不斷的有數(shù)據(jù)包被防火墻攔截， 并且間隔的時(shí)間都很短。 目標(biāo)地址為公司W(wǎng)EB服務(wù)器的外網(wǎng)IP地址， 設(shè)置過濾策略時(shí)對WEB服務(wù)器特意加強(qiáng)保護(hù)， 所以可以看到這些項(xiàng)目全部是紅色標(biāo)示出來的(圖1)。

圖1

到WEB服務(wù)器的數(shù)據(jù)包被攔截了， 那些沒有攔截的數(shù)據(jù)包呢?自然是到達(dá)了目的地， 而“目的”主機(jī)自然會不間斷的掉線了。

由于內(nèi)網(wǎng)采用的DHCP服務(wù)器的方法， 所以只知道IP地址還沒有用， 必須知道對應(yīng)的MAC地址， 才能查到病毒源。 我們可以利用NBTSCAN來查找IP所對應(yīng)的MAC地址。 如果是知道MAC地址， 同樣可以使用NBBSCAN來得到IP地址(圖2)。

圖2

由此可見， 防火墻日志， 有些時(shí)候還是可以幫上點(diǎn)忙的。

小提示：如果沒有專業(yè)的防火墻， 那么直接在一臺客戶機(jī)上安裝天網(wǎng)防火墻之類的軟件產(chǎn)品， 同樣能夠看到類似的提醒。

二、利用現(xiàn)有工具

如果覺得上面的方法有點(diǎn)麻煩， 且效率低下的話， 那么使用專業(yè)的ARP檢測工具是最容易不過的事了。 這里就請出簡單易用， 但功能一點(diǎn)也不含糊的ARP 防火墻。

ARP防火墻可以快速的找出局域網(wǎng)中ARP攻擊源， 并且保護(hù)本機(jī)與網(wǎng)關(guān)之間的通信， 保護(hù)本機(jī)的網(wǎng)絡(luò)連接， 避免因ARP攻擊而造成掉線的情況發(fā)生。

軟件運(yùn)行后會自動檢測網(wǎng)關(guān)IP及MAC地址并自動保護(hù)電腦。 如果軟件自動獲取的地址有錯誤， 可單擊“停止保護(hù)”按鈕， 填入正確的IP地址后， 單擊“枚取MAC”按鈕， 成功獲取MAC地址后， 單擊“自動保護(hù)”按鈕開始保護(hù)電腦。

當(dāng)本機(jī)接收到ARP欺騙數(shù)據(jù)包時(shí)， 軟件便會彈出氣泡提示， 并且指出機(jī)器的MAC地址(圖3)。

圖3

單擊“停止保護(hù)”按鈕， 選中“欺騙數(shù)據(jù)詳細(xì)記錄”中的條目， 再單擊“追捕攻擊者”按鈕， 在彈出的對話框中單擊確定按鈕。

軟件便開始追捕攻擊源， 稍等之后， 軟件會提示追捕到的攻擊者的IP地址(圖4)。

圖4

其實(shí)大多數(shù)時(shí)候， 不用手工追捕， 軟件會自動捕獲到攻擊源的MAC地址及IP地址。

還等什么?找到那顆“毒瘤”， 將其斷網(wǎng)， 殺毒。 局域網(wǎng)總算清靜了!

三、有效防守

俗話說， 進(jìn)攻才是最好的防守。 雖然通過上面的方法可以找到病毒源， 并最終解決問題， 不過長期有人打電話抱怨“又?jǐn)嗑�了……”。 總是這樣擦屁股， 似乎不是長久之際， 因此有效保護(hù)每一臺機(jī)器不被ARP欺騙攻擊才是上策。

比較有效的方法之一便是在每一臺機(jī)器上安裝ARP防火墻， 設(shè)置開機(jī)自啟動， 并且在“攔截本機(jī)發(fā)送的攻擊包”項(xiàng)打勾(圖5)， 這樣不僅可以保護(hù)不受攻擊， 還可以防止本機(jī)已感染病毒的情況下， 發(fā)送欺騙數(shù)據(jù)攻擊別的機(jī)器的情況發(fā)生。

圖5

另外， 如果你只是在一個(gè)較小的局域網(wǎng)環(huán)境中， 并且也不想安裝ARP防火墻增加系統(tǒng)開銷， 可以手工綁定自己的MAC地址及IP地址， 這樣就也可以避免被ARP欺騙數(shù)據(jù)攻擊。

首先使用IPCONFIG命令查看本機(jī)網(wǎng)卡的MAC地址及IP地址。 然后輸入“arp -d”將緩存數(shù)據(jù)清空， 再執(zhí)行“arp –s IP地址 Mac地址”綁定MAC地址及IP地址(圖6)。

圖6

使用這種方法綁定的弱點(diǎn)便是， 機(jī)器重新啟動之后， 綁定便會失效， 需要重新綁定。 因此可將上面的命令行做成一個(gè)批處理文件， 并將快捷方式拖放到開始菜單的“啟動”項(xiàng)目中， 這樣就可以實(shí)現(xiàn)每次開機(jī)自動綁定了。

所謂“道高一尺， 魔高一丈”， 技術(shù)總是在不斷更新， 病毒也在不斷的發(fā)展。 使用可防御ARP攻擊的三層交換機(jī)， 綁定端口MAC-IP， 合理劃分VLAN， 徹底阻止盜用IP、MAC地址， 杜絕ARP的攻擊， 才是最佳的防范策略。 對于經(jīng)常爆發(fā)病毒的網(wǎng)絡(luò)， 可以進(jìn)行Internet訪問控制， 限制用戶對網(wǎng)絡(luò)的訪問。 因?yàn)榇蟛糠諥RP攻擊程序網(wǎng)絡(luò)下載到客戶端， 如果能夠加強(qiáng)用戶上網(wǎng)的訪問控制， 就能很好的阻止這類問題的發(fā)生。