高校公共机房ARP病毒的分析与防范策略

邹丽英，孙小权

（浙江工业大学之江学院，浙江 杭州 310024）

高校公共机房ARP病毒的分析与防范策略

邹丽英，孙小权

（浙江工业大学之江学院，浙江 杭州 310024）

本文介绍了ARP病毒的表现，阐述了ARP欺骗产生的原理和欺骗手段,提出高校机房ARP病毒的防范策略并结合实际给出了解决方案。

ARP病毒；网络安全；校园网防范策略

一、ARP病毒的表现

ARP欺骗是局域网内爆发的一种木马病毒，病毒发作时其症状为：

（1）网络异常，具体表现为：掉线、IP地址冲突等；

（2）数据窃取，具体表现为个人隐私泄漏（如MSN聊天记录、邮件等）、帐号被盗（如QQ帐号、银行帐号等）；

（3）数据被篡改，具体表现为：网络速度、网络访问行为（打开网页、打开某些应用程序）受第三方非法控制。

ARP病毒严重影响了学校的正常教学工作,并且给校园网络带来很大的安全隐患。因此,有效地防范ARP网络攻击已成为确保网络畅通的必要条件。

二、ARP病毒原理

ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的低层协议。该协议负责将某个IP地址解析成对应的MAC地址。一旦这个环节出现问题，就不能正常和目标主机进行通信，甚至可能导致整个网络瘫痪。

ARP病毒属于木马类病毒，一般表现为该广播域内的计算机无法正确地获得网关和其他客户机的网卡真实的MAC地址，导致无法进行正常的网络通信。在局域网中的任何一台主机中，都有一个ARP缓存表，里面存放着IP地址和MAC地址的对应关系，ARP病毒通过伪造IP地址和MAC地址实现ARP欺骗，并在网络中产生大量的ARP通信量使网络阻塞或者进行ARP重定向和嗅探攻击，为伪造源MAC地址发送ARP响应包，也就是当这台中毒主机向同局域网中另外的主机发送数据的时候，会根据ARP缓存表里假的地址进行发送，发一个假的ARP应答包，当另外一台主机接受到这个假的ARP应答包时，会将其写入到ARP缓存表中。这样当主机互相通信时，会先到ARP缓存表中查找对方的ARP信息，因此它会将数据发送到MAC地址的机器上，对ARP高速缓存机制攻击。攻击者只要持续不断地发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC地址，造成网络中断，ARP欺骗就成功了。

通过前文对ARP欺骗原理的分析可知，ARP病毒在进行欺骗时会采取两种手段，一种是对路由器ARP表的欺骗，另一种是对同网段内主机ARP缓存的欺骗。因此，要防止ARP病毒造成的危害，关键是要防止ARP欺骗的这两种手段。

（1）防止ARP病毒对路由器（核心交换机）ARP表的欺骗。对于这种欺骗，可以采用在路由器（核心交换机）上绑定VLAN接口IP地址 （网关地址）和MAC地址的方法，将网关IP和MAC地址设为静态条目，不再响应ARP应答数据，这样就能保证网关IP地址和MAC地址对应条目不被欺骗所替换。

（2）防止ARP病毒对内网主机ARP缓存的欺骗。对于这种欺骗，可以采用端口隔离的方法将计算机隔离开来，这样每台计算机都不再响应其他计算机的ARP应答包，而只响应网关发来的应答包，就能完全杜绝其他计算机对自己ARP缓存的欺骗。

三、ARP病毒防范策略

为了防范ARP病毒攻击，除了需做双向的绑定外，应时刻关注ARP病毒方面的有关报道，加强防范措施，保障图书馆电子阅览室等公共机房的网络畅通，使读者有一个良好的上网环境。

1.网络管理防范策略

（1）建立抽查制度,管理员定期抽查客户机ARP缓存。清空ARP缓存：很多人曾经使用ARP的指令法解决过ARP欺骗问题，该方法是针对ARP欺骗原理进行解决的。一般来说ARP欺骗都是通过发送虚假的MAC地址与IP地址的对应ARP数据包来迷惑网络设备，用虚假的或错误的MAC地址与IP地址对应关系取代正确的对应关系。若是一些初级的ARP欺骗，可以通过ARP的指令来清空本机的ARP缓存对应关系，让网络设备从网络中重新获得正确的对应关系，具体解决过程如下：

第一步：通过点击桌面上任务栏的“开始”-＞“运行”，然后输入cmd后回车，进入cmd（黑色背景）命令行模式；

第二步：在命令行模式下输入arp-a命令来查看当前本机储存在本地系统ARP缓存中IP和MAC对应关系的信息；

第三步：使用arp-d命令，将储存在本机系统中的ARP缓存信息清空，这样错误的ARP缓存信息就被删除了，本机将重新从网络中获得正确的ARP信息，达到局域网机器间互访和正常上网的目的。如果是遇到使用ARP欺骗工具来进行攻击的情况，使用上述的方法完全可以解决。但如果是感染ARP欺骗病毒，病毒每隔一段时间自动发送ARP欺骗数据包，这时使用清空ARP缓存的方法将无能为力了。

（2）强制指定ARP对应关系。下面介绍另一种解决感染ARP欺骗病毒的方法：在网关、服务器上做好客户机的IP与MAC地址绑定。由于绝大部分ARP欺骗病毒都是针对网关MAC地址进行攻击的，使本机上ARP缓存中存储的网关设备的信息出现紊乱，这样当机器要上网发送数据包给网关时就会因为地址错误而失败，造成计算机无法上网。

第一步：我们假设网关地址的MAC信息为50-78-4c-68-d0-a5，对应的IP地址为192.168.3.4。指定ARP对应关系就是指这些地址。在感染了病毒的机器上，点击桌面上任务栏的“开始”-＞“运行”，输入cmd后回车，进入cmd命令行模式；

第二步：使用arp-s命令来添加一条ARP地址对应关系，例如arp-s192.168.3.450-78-4c-68-d0-a5命令。这样就将网关地址的IP与正确的MAC地址绑定好了，本机网络连接将恢复正常；

第三步：因为每次重新启动计算机的时候，ARP缓存信息都会被全部清除。所以我们应该把这个ARP静态地址添加指令写到一个批处理文件（例如：bat）中，然后将这个文件放到系统的启动项中。当程序随系统的启动而加载时，就可以免除ARP静态映射信息丢失的困扰了。

（3）添加路由信息应对ARP欺骗。一般的ARP欺骗都是针对网关的，那么我们是否可以通过给本机添加路由来解决此问题呢？只要添加了路由，上网时都通过路由出去即可，自然也不会被ARP欺骗数据包干扰。

第一步：通过点击桌面上任务栏的“开始”-＞“运行”，然后输入cmd后回车，进入cmd（黑色背景）命令行模式；

第二步：手动添加路由，详细的命令如下：删除默认的路由:route delete0.0.0.0；添加路由：route add-p0.0.0.0 mask0.0.0.0192.168.3.1 metric1；确认修改：route change。

此方法对网关固定的情况比较适合，如果将来更改了网关，则需要更改所有客户端的路由配置。

（4）安装杀毒软件：定期检查局域网病毒和恶意软件，安装杀毒软件（如诺顿、金山、瑞星等）和360安全卫士及360安全卫士ARP防火墙，及时更新杀毒软件病毒库，定期对公共机房电脑进行查毒、杀毒，对机器进行病毒扫描并给系统安装补丁程序。安装监控软件对机房网络进行监控，对流量异常的机器，立即断网并查毒，及时对杀毒软件进行升级，另外建议有条件的高校可以使用网络版的防病毒软件。

（5）使用ARP类专杀工具查杀：下载并安装ARP病毒攻击免疫补丁、木马病毒查杀软件“木马杀客”和防止ARP地址欺骗软件ANTIARP。

2.客户端防范策略

（1）为客户端绑定正确的网关MAC地址。可以通过自建批处理文件的办法为客户机绑定静态IP。也可以为每台客户机安装ARP防火墙，保证输入正确的网关MAC地址,同时将软件设置为开机自动运行。

（2）做好系统补丁的升级工作。可建立专门的补丁升级服务器,为客户机自动定时升级最新版的系统补丁。

（3）安装杀毒软件并定期更新病毒库。杀毒软件是机房客户机必备的软件之一,病毒库的及时升级也是防范病毒的一个重要环节。

（4）做好系统和重要数据的备份,以便出现问题时能够及时回复,降低损失。

四、结束语

ARP病毒问题一直是困扰着高校公共机房管理者的一个难题。但其并不是无法解决的问题，通过建立完善的预防机制，统一的客户机管理，能够最大程度地减少ARP病毒发作的几率。随着网络产品的不断更新，新技术的出现，机房工作人员已经可以从源头上抑制ARP病毒的传播，从而保障校园网正常、安全地运行。

[1]李金徽.高校公共机房ARP病毒防范策略[J].吉林师范大学学报,2009（2）:131-133.

[2]吴煜煌.校园网中ARP病毒欺骗的防御及措施[J].计算技术与信息发展,2009（3）:70.

[3]刘宇飞,樊力.浅析电子资源阅览室Arp病毒防治方法[J].科技信息,2009（9）:765.

[4]杨凡.图书馆电子阅览室ARP病毒的分析与防治[J].科技情报开发与经济,2009（7）:7-9.

[5]王暤,熊华东.对ARP病毒的快速定位与防范[J].江西电力职业技术学院学报,2009（3）:65-67.

（编辑：杨馥红）

B

1673-8454（2010）19-0033-02