ARP病毒攻擊的防范與處理

如果在使用網(wǎng)絡(luò)時速度越來越慢， 直至掉線， 而過一段時間后又可能恢復(fù)正常， 或者， 重啟路由器后又可正常上網(wǎng)。 故障出現(xiàn)時， 網(wǎng)關(guān)ping 不通或有數(shù)據(jù)丟失， 那么很有可能是受到了ARP病毒攻擊。 下面我就談?wù)剬�這種情況處理的一些意見。

一、首先診斷是否為ARP病毒攻擊

1、當(dāng)發(fā)現(xiàn)上網(wǎng)明顯變慢， 或者突然掉線時， 我們可以用arp-命令來檢查ARP表：（點擊 開始 按鈕->選擇運行->輸入 cmd 點擊 確定 按鈕， 在窗口中輸入 arp -a 命令）如果發(fā)現(xiàn)網(wǎng)關(guān)的MAC地址發(fā)生了改變， 或者發(fā)現(xiàn)有很多IP指向同一個物理地址， 那么肯定就是ARP欺騙所致。

2、利用Anti ARP Sniffer軟件查看（詳細(xì)使用略）。

二、找出ARP病毒主機

1、用“arp –d”命令， 只能臨時解決上網(wǎng)問題， 要從根本上解決問題， 就得找到病毒主機。 通過上面的arp –a命令， 可以判定改變了的網(wǎng)關(guān)MAC地址或多個IP指向的物理地址， 就是病毒機的MAC地址。 哪么對應(yīng)這個MAC地址的主機又是哪一臺呢， windows中有ipconfig/all命令查看每臺的信息， 但如果電腦數(shù)目多話， 一臺臺查下去不是辦法， 因此可以下載一個叫“NBTSCAN”的軟件， 它可以取到PC的真實IP地址和MAC地址。

命令：“nbtscan -r 192.168.80.0/24”（搜索整個192.168.80.0/24網(wǎng)段, 即 192.168.80.1-192.168.80.254）；或“nbtscan 192.168.80.25-137”搜索192.168.80.25-137 網(wǎng)段， 即192.168.80.25-192.168.80.137。 輸出結(jié)果第一列是IP地址， 最后一列是MAC地址。 這樣就可找到病毒主機的IP地址。

2、如果手頭一下沒這個軟件怎么辦呢？這時也可在客戶機運行路由跟蹤命令如：tracert –d www.163.com， 馬上就發(fā)現(xiàn)第一條不是網(wǎng)關(guān)機的內(nèi)網(wǎng)ip， 而是本網(wǎng)段內(nèi)的另外一臺機器的IP， 再下一跳才是網(wǎng)關(guān)的內(nèi)網(wǎng)IP；正常情況是路由跟蹤執(zhí)行后的輸出第一條應(yīng)該是默認(rèn)網(wǎng)關(guān)地址， 由此判定第一跳的那個非網(wǎng)關(guān)IP 地址的主機就是罪魁禍?zhǔn)住?

當(dāng)然找到了IP之后， 接下來是要找到這個IP具體所對應(yīng)的機子了， 如果你每臺電腦編了號， 并使用固定IP， IP的設(shè)置也有規(guī)律的話， 那么就很快找到了。 但如果不是上面這種情況， IP設(shè)置又無規(guī)律， 或者IP是動態(tài)獲取的那該怎么辦呢？難道還是要一個個去查？非也！你可以這樣：把一臺機器的IP地址設(shè)置成與作祟機相同的相同， 然后造成IP地址沖突， 使中毒主機報警然后找到這個主機。

三、處理病毒主機

1、用殺毒軟件查毒， 殺毒。

2、建議重裝系統(tǒng)， 一了百了。 （當(dāng)然你應(yīng)注意除系統(tǒng)盤外其他盤有無病毒）

四、如何防范ARP病毒攻擊

1、從影響網(wǎng)絡(luò)連接通暢的方式來看， ARP欺騙分為二種， 一種是對路由器ARP表的欺騙；另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。 第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。 它通知路由器一系列錯誤的內(nèi)網(wǎng)MAC地址， 并按照一定的頻率不斷進(jìn)行， 使真實的地址信息無法通過更新保存在路由器中， 結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC地址， 造成正常PC無法收到信息。 第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。 它的原理是建立假網(wǎng)關(guān)， 讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)， 而不是通過正常的路由器途徑上網(wǎng)。 在PC看來， 就是上不了網(wǎng)了， “網(wǎng)絡(luò)掉線了”。 因此很多人建議用戶采用雙向綁定的方法解決并且防止ARP欺騙， 這個確實是最好解決的辦法， 但如果電腦數(shù)量多的情況下， 在路由器上作綁定工作量將很大， 我個人認(rèn)為主要做好在PC上綁定路由器的IP和MAC地址就行了， 在PC上綁定可以按下面方法做：

1）首先， 獲得路由器的內(nèi)網(wǎng)的MAC地址（例如網(wǎng)關(guān)地址172.16.1.254的MAC地址為0022aa0022ee）。

2）編寫一個批處理文件rarp.bat內(nèi)容如下：

@echo off

arp -d

arp -s 172.16.1.254 00-22-aa-00-22-ee

將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為您自己的網(wǎng)關(guān)IP地址和MAC地址即可。 將這個批處理軟件拖到“windows--開始--程序--啟動”中。

這樣即減輕了一臺臺設(shè)置的麻煩， 也避免了由于電腦重新啟動使得數(shù)據(jù)又要重做的麻煩。 當(dāng)然最好電腦要有還原卡和保護(hù)系統(tǒng)， 使得這個批處理不會被隨意刪除掉。

2、作為網(wǎng)絡(luò)管理員， 我認(rèn)為應(yīng)該充分利用一些工具軟件， 備一些常用的工具， 就ARP而言， 推薦在手頭準(zhǔn)備這樣幾個軟件：

①“Anti ARP Sniffer”（使用Anti ARP Sniffer可以防止利用ARP技術(shù)進(jìn)行數(shù)據(jù)包截取以及防止利用ARP技術(shù)發(fā)送地址沖突數(shù)據(jù)包， 并能查找攻擊主機的IP及MAC地址）。

②“NBTSCAN”（NBTSCAN可以取到PC的真實IP地址和MAC地址， 利用它可以知道局域網(wǎng)內(nèi)每臺IP對應(yīng)的MAC地址）

③“網(wǎng)絡(luò)執(zhí)法官” （一款局域網(wǎng)管理輔助軟件， 采用網(wǎng)絡(luò)底層協(xié)議， 能穿透各客戶端防火墻對網(wǎng)絡(luò)中的每一臺主機、交換機等配有IP的網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)控；采用網(wǎng)卡號（MAC）識別用戶， 主要功能是依據(jù)管理員為各主機限定的權(quán)限， 實時監(jiān)控整個局域網(wǎng)， 并自動對非法用戶進(jìn)行管理， 可將非法用戶與網(wǎng)絡(luò)中某些主機或整個網(wǎng)絡(luò)隔離， 而且無論局域網(wǎng)中的主機運行何種防火墻， 都不能逃避監(jiān)控， 也不會引發(fā)防火墻警告， 提高了網(wǎng)絡(luò)安全性）

3、定時檢查局域網(wǎng)病毒， 對機器進(jìn)行病毒掃描， 平時給系統(tǒng)安裝好補丁程序， 最好是局域網(wǎng)內(nèi)每臺電腦保證有殺毒軟件（可升級）

4、指導(dǎo)好網(wǎng)絡(luò)內(nèi)使用者不要隨便點擊打開QQ、MSN等聊天工具上發(fā)來的鏈接信息， 不要隨便打開或運行陌生、可疑文件和程序， 如郵件中的陌生附件， 外掛程序等。

5、建議對局域網(wǎng)的每一臺電腦盡量作用固定IP， 路由器不啟用DHCP， 對給網(wǎng)內(nèi)的每一臺電腦編一個號， 每一個號對應(yīng)一個唯一的IP， 這樣有利用以后故障的查詢也方便管理。 并利用“NBTSCAN”軟件查出每一IP對應(yīng)的MAC地址， 建立一個“電腦編號-IP地址-MAC地址”一一對應(yīng)的數(shù)據(jù)庫。

--------

如何防止ARP攻擊！

路由共享上網(wǎng)， 2M的5人用！在路由里設(shè)置了靜態(tài)IP-----IP和MAC對應(yīng)！也只設(shè)成有限的幾個！

今天開機上網(wǎng)居然上了一下就上不了！

其中的四個人有嫌疑， IP可以改， MAC也可以改！顯示過攻擊的MAC都有其中的三個人！

自己也開了個AntiArp軟件防護(hù)， 居然沒作用！

以前如果給攻擊了就會提示！---------------------（就是給別人用網(wǎng)管之類的軟件限制不能上網(wǎng)）今天有時就有提示， 有提示也不能上網(wǎng)， 這個軟件等于失效了！

路由的設(shè)置是我控制----------可以排除是路由限制！

我自己動手改網(wǎng)的MAC重新連上有時可以， 有時不可以， 就算可以也是只能上一會就不行！

我想有人先用軟件禁止我上網(wǎng)， 然后改用了我的MAC上網(wǎng)！

這個軟件的功能肯定很強大！用了這個軟件就等于先發(fā)制人！可能所用和網(wǎng)關(guān)通訊的數(shù)據(jù)都給它欺騙了！所以無論我怎么做也沒用！

不明白的是， 開了個AntiArp也沒用！-------------不過也難怪， 軟件的東西出來就就肯定有破解的了， 以前新出的時候可以有軟件去限別人的網(wǎng)速， 后來出了個防ARP欺騙的， 現(xiàn)在我的這個防ARP欺騙（AntiArp）的也不起作用------不會是版本太低吧！郁悶呀！

E天的高手快來支招吧！

------

我覺得局域網(wǎng)內(nèi)應(yīng)該有人使用ARP欺騙的木馬程序（比如：魔獸世界， 勁舞團(tuán)等盜號的軟件， 某些外掛中也被惡意加載了此程序）。

1、不要把你的網(wǎng)絡(luò)安全信任關(guān)系建立在IP基礎(chǔ)上或MAC基礎(chǔ)上， （rarp同樣存在欺騙的問題）， 理想的關(guān)系應(yīng)該建立在IP+MAC基礎(chǔ)上。

2、設(shè)置靜態(tài)的MAC-->IP對應(yīng)表， 不要讓主機刷新你設(shè)定好的轉(zhuǎn)換表。

3、除非很有必要， 否則停止使用ARP， 將ARP做為永久條目保存在對應(yīng)表中。

4、使用ARP服務(wù)器。 通過該服務(wù)器查找自己的ARP轉(zhuǎn)換表來響應(yīng)其他機器的ARP廣播。 確保這臺ARP服務(wù)器不被黑。

5、使用"proxy"代理IP的傳輸。

6、使用硬件屏蔽主機。 設(shè)置好你的路由， 確保IP地址能到達(dá)合法的路徑。 （靜態(tài)配置路由ARP條目）， 注意， 使用交換集線器和網(wǎng)橋無法阻止ARP欺騙。

7、管理員定期用響應(yīng)的IP包中獲得一個rarp請求， 然后檢查ARP響應(yīng)的真實性。

8、管理員定期輪詢， 檢查主機上的ARP緩存。

9、使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)。 注意有使用SNMP的情況下， ARP的欺騙有可能導(dǎo)致陷阱包丟失。

--

每臺主機都有一個臨時存放IP-MAC的對應(yīng)表ARP攻擊就通過更改這個緩存來達(dá)到欺騙的目的,使用靜態(tài)的ARP來綁定正確的MAC是一個有效的方法.在命令行下使用arp -a可以查看當(dāng)前的ARP緩存表.以下是本機的ARP表 ：

C:\Documents and Settings\cnqing>arp -a

Interface: 192.168.0.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.0.1 00-03-6b-7f-ed-02 dynamic

其中代表動態(tài)緩存,即收到一個相關(guān)ARP包就會修改這項.如果是個非法的含有不正確的網(wǎng)關(guān)的ARP包,這個表就會自動更改.這樣我們就不能找到正確的網(wǎng)關(guān)MAC,就不能正常和其他主機通信.靜態(tài)表的建立用ARP -S IP MAC.

執(zhí)行arp -s 192.168.0.1 00-03-6b-7f-ed-02后,我們再次查看ARP緩存表.

C:\Documents and Settings\cnqing>arp -a

Interface: 192.168.0.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.0.1 00-03-6b-7f-ed-02 static

此時"TYPE"項變成了"static",靜態(tài)類型.這個狀態(tài)下,是不會在接受到ARP包時改變本地緩存的.從而有效的防止ARP攻擊.靜態(tài)的ARP條目在每次重啟后都要消失需要重新設(shè)置. 此時我們就可以自己寫一個批處理文件， 文件內(nèi)容如下：

@echo off

arp -d

arp -s 192.168.0.1 00-03-6b-7f-ed-02

寫好之后我們把它存儲為 rarp.bat， 再把此文件放到開始菜單-程序-啟動欄， 這樣每次啟動機器時， 就自動執(zhí)行此批處理文件。 菜單-程序-啟動欄默認(rèn)目錄：C:\Documents and Settings\All Users\「開始」菜單\程序\啟動。

---

arp 修改和顯示“地址解析協(xié)議”

 Arp

顯示和修改“地址解析協(xié)議 (ARP)”緩存中的項目。 ARP 緩存中包含一個或多個表， 它們用于存儲 IP 地址及其經(jīng)過解析的以太網(wǎng)或令牌環(huán)物理地址。 計算機上安裝的每一個以太網(wǎng)或令牌環(huán)網(wǎng)絡(luò)適配器都有自己單獨的表。 如果在沒有參數(shù)的情況下使用， 則 arp 命令將顯示幫助信息。

語法

arp[-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]]

參數(shù)

-a[ InetAddr] [ -N IfaceAddr]

顯示所有接口的當(dāng)前 ARP 緩存表。 要顯示特定 IP 地址的 ARP 緩存項， 請使用帶有 InetAddr 參數(shù)的 arp -a， 此處的 InetAddr 代表 IP 地址。 如果未指定 InetAddr， 則使用第一個適用的接口。 要顯示特定接口的 ARP 緩存表， 請將 -N IfaceAddr 參數(shù)與 -a 參數(shù)一起使用， 此處的 IfaceAddr 代表指派給該接口的 IP 地址。 -N 參數(shù)區(qū)分大小寫。

-g[ InetAddr] [ -N IfaceAddr]

與 -a 相同。

-d InetAddr [IfaceAddr]

刪除指定的 IP 地址項， 此處的 InetAddr 代表 IP 地址。 對于指定的接口， 要刪除表中的某項， 請使用 IfaceAddr 參數(shù)， 此處的 IfaceAddr 代表指派給該接口的 IP 地址。 要刪除所有項， 請使用星號 (*) 通配符代替 InetAddr。

-s InetAddr EtherAddr [IfaceAddr]

向 ARP 緩存添加可將 IP 地址 InetAddr 解析成物理地址 EtherAddr 的靜態(tài)項。 要向指定接口的表添加靜態(tài) ARP 緩存項， 請使用 IfaceAddr 參數(shù)， 此處的 IfaceAddr 代表指派給該接口的 IP 地址。

/?

在命令提示符下顯示幫助。

注釋

? InetAddr 和 IfaceAddr 的 IP 地址用帶圓點的十進(jìn)制記數(shù)法表示。

? EtherAddr 的物理地址由六個字節(jié)組成， 這些字節(jié)用十六進(jìn)制記數(shù)法表示并且用連字符隔開（比如， 00-AA-00-4F-2A-9C）。

? 通過 -s 參數(shù)添加的項屬于靜態(tài)項， 它們不會 ARP 緩存超時。 如果終止 TCP/IP 協(xié)議后再啟動， 這些項會被刪除。 要創(chuàng)建永久的靜態(tài) ARP 緩存項， 請將適當(dāng)?shù)?arp 命令置于批處理文件中， 并使用“任務(wù)計劃”在啟動時運行該批處理文件。

示例

要顯示所有接口的 ARP 緩存表， 可鍵入：

arp -a

對于指派的 IP 地址為 10.0.0.99 的接口， 要顯示其 ARP 緩存表， 可鍵入：

arp -a -N 10.0.0.99

要添加將 IP 地址 10.0.0.80 解析成物理地址 00-AA-00-4F-2A-9C 的靜態(tài) ARP 緩存項， 可鍵入：

arp -s 10.0.0.80 00-AA-00-4F-2A-9C