防治ARP欺騙病毒

由于篇幅關(guān)系我們不可能在這里大幅講解ARP欺騙病毒的工作原理和擴散機理， 筆者只是對ARP欺騙病毒進行一個大概介紹。 所謂ARP欺騙病毒實際上就是一臺感染了病毒的計算機不斷的冒充網(wǎng)關(guān)的IP地址， 不停的告訴網(wǎng)絡(luò)中所有計算機網(wǎng)關(guān)地址對應的MAC信息是感染病毒機器的MAC， 這樣由于他的發(fā)包量大大大于網(wǎng)關(guān)實際發(fā)送的ARP信息數(shù)據(jù)。 由于ARP欺騙病毒的傳播是需要通過交換機發(fā)送虛假廣播信息的， 而虛假數(shù)據(jù)信息內(nèi)容中源或目的地址IP信息一定包括192.168.1.254， 而對應的MAC地址一定不是正確的2222-2222-2222， 因此這類虛假數(shù)據(jù)會被之前我們在交換機上設(shè)置的訪問控制列表或過濾策略所屏蔽， 再結(jié)合自動關(guān)閉對應端口徹底避免ARP欺騙蠕蟲病毒的傳播。 ARP工具下載：www.arpun.com 之后感染了病毒的計算機將無法上網(wǎng)， 他一定會聯(lián)系網(wǎng)絡(luò)管理員， 從而幫助我們快速定位問題計算機， 在第一時間解決問題。

                  不過如果企業(yè)網(wǎng)絡(luò)中采取的拓撲是在一個交換機端口下還連接有諸如HUB的設(shè)備的話， 那么如果連接HUB設(shè)備的下屬計算機中有感染ARP欺騙病毒的話， 交換機端口依然會自動關(guān)閉， 整個HUB設(shè)備下連計算機都將無法上網(wǎng)， 所以建議大家還是盡量采用交換機來連接企業(yè)計算機。

                   這種防范措施是需要結(jié)合ACL訪問控制列表以及路由策略等多個路由交換設(shè)備功能的， 首先要保證路由交換設(shè)備支持這些功能， 另外還要進行合理的設(shè)置， 不能夠過濾掉正確的數(shù)據(jù)包。 當然本文內(nèi)容只是筆者在多次對抗ARP欺騙病毒后產(chǎn)生的一個防范思路， 希望可以和更多的朋友一起探討， 了解更多的建議， 大家共同進步將ARP欺騙病毒徹底查殺。