局域网内ARP病毒的防范

单广翠　陈瑾

摘 要：随着计算机网络技术的不断发展，局域网安全问题越来越受到人们的重视和关注，局域网内病毒的传播严重影响着网络信息的安全性，其中最具代表性的病毒就是ARP病毒。由于ARP病毒在局域网内的传播及对其他计算机的攻击性，为了确保信息的安全与畅通，ARP病毒的预防及清除工作已经成为了网络安全中的重要事情。

关键词：局域网；网络安全；ARP；防范

中图分类号：TP393.08 文献标识码：A

1 引言（Introduction）

随着计算机和网络技术的发展，互联网已经深入到了我们工作、生活的各个领域。无论是工作单位还是家庭，都不止一台计算机，因此我们都是在小型、中型局域网内使用计算机。局域网的安全严重影响着计算机的使用，对局域网安全威胁最大的是局域网病毒。一旦病毒发作并在局域网内传播，轻则影响数台计算机的使用，严重的可使整个局域网陷入瘫痪状态。这种病毒的典型代表就是ARP病毒。

ARP病毒并不是一种病毒的名称，而是针对利用ARP协议的漏洞进行传播的一类病毒的总称，简称为ARP病毒。这是一种入侵电脑的木马病毒，对电脑用户的私密信息威胁很大。

2 ARP协议（Address resolution protocol）

ARP是地址解析协议，是一种将电脑的IP地址转化成物理地址的协议[1]。具体来说就是将网络层（IP层）地址解析成为数据连接层（MAC层）的MAC地址。

3 ARP的工作原理（Working principle of ARP）

如果两台主机在同一网段内，如主机A要与主机B进行信息交换。检查ARP缓存表中是否有主机B对应的MAC地址，如果有则直接建立通信；如果没有对应的MAC地址则需要向局域网内的所有主机发送ARP请求，该请求包含主机A的IP地址、MAC地址，主机B的IP地址，局域网内的所有主机都会收到此请求，但只有主机B的IP地址与请求中携带的IP地址相同，主机B收到后，回复主机A，该回复包含主机A、B的IP地址、MAC地址，主机A收到回复后，更新自己的ARP缓存表，与主机B建立通信。

如果两台主机不在同一网段内，则需要通过主机所在的网关建立通信。如主机A要与主机C进行信息交换。主机A检查ARP缓存表里是否有本地网关的MAC地址，如果没有需要通过上述方法获得MAC地址，然后与网关1建立通信连接。网关1与网关2是通过网络中的路由器进行信息传递的，网关2收到后，查看信息包的接受者，即主机C，同样的原理获取主机C的MAC地址并建立通信，将信息包发送给主机C。

4 ARP病毒的欺骗原理（Spoofing principle of ARP viruses）

主机间的数据传输依靠的是MAC地址，IP地址与MAC地址间的对应关系存放在ARP缓存表中，正常情况下缓存表能够保证数据传输的有效性[2]。但ARP缓存表在实现机制上存在漏洞，一台主机不论自己是否发送过相应的请求，只要收到ARP应答，就会直接更新自己的ARP缓存表，将收到的MAC地址与IP地址建立对应关系。这就使得两台主机的通信内容可以被其他主机获取。

例如主机A、C进行通信，主机B作为第三方可以截获他们的通信内容。主机B向主机A发送ARP应答，将网关1的MAC地址变成主机B的MAC地址，主机A收到后直接将ARP缓存表中的网关1的MAC地址替换成03-03-03-03-03-03。同样的道理主机B代替主机A与网关1建立通信，使网关1将ARP缓存表中主机A的MAC地址替换成03-03-03-03-03-03。这时主机A要与主机C通信，发送给网关1的数据包会直接发送给主机B，主机B将数据包截获后再发送给网关1，同样当主机C发送的数据包到达网关1后，网关1会将数据包发送给主机B，主机B再转发给主机A完成通信过程。作为欺骗者主机B在主机A与网关1的通信过程中承担了数据中转的任务，实现了ARP欺骗攻击。

5 ARP病毒的症状（Symptom of ARP viruses）

计算机感染ARP病毒后网络连接正常，能PING通局域网内其他主机但无法PING通网关、无法打开网页；由于ARP欺骗的木马程序发作时发出了大量的数据包，导致网络运行不稳定，频繁断网、IE浏览器出错以及常用软件出现故障等问题[3]。

6 ARP病毒的清除（Removal of ARP viruses）

当计算机出现上述症状时可判断感染了ARP病毒，此时应手动切断网络链接，以免病毒利用局域网攻击其他计算机，影响网络运行，在DOS模式下用ARP专用杀毒软件进行杀毒。

点击开始→运行，输入cmd，打开命令控制台窗口。如果计算机还能上网，手动切断网络链接，命令控制台窗口中输入arp-a，查看本地网关的IP地址、MAC地址。如果计算机不能上网，命令控制台窗口中输入arp-d，将本机arp缓存表清空，使计算机暂时恢复上网功能，再切断网络链接，再运行arp-a，查看网关的IP地址、MAC地址。

命令控制台窗口中输入arp-s，手动将网关的IP地址和MAC地址绑定，使计算机不受病毒影响，计算机重启后需再次绑定。将命令放在autoexec.bat中，每次开机自动运行，无需手动操作。

7 结论（Conclusion）

局域网的安全性是人们使用网络正常工作的前提，我们应正视网络中的潜在威胁，了解他们的工作原理，从技术层面上找到相应的解决方案[4]。在实际工作中不断的总结经验，寻找规律，将各类威胁、病毒阻挡在局域网之外，确保网络的安全与畅通。

参考文献（References）

[1] 王秀和，杨明.计算机网络安全技术浅析[J].中国教育技术设备，2007，7（5）：104-106.

[2] 王杰.计算机网络安全的理论与实践[J].中国教育技术设备，2008，12（5）：331-335.

[3] 杨永强，辛淑霞.常用网络安全防范措施[J].科技资讯，2008，15（8）：267.

[4] 肖会.局域网的安全与病毒防治[J].科技致富向导，2009，3（4）：119-204.

作者简介：

单广翠（1983-），女，硕士，讲师.研究领域：网络管理、计算机教学.endprint

摘 要：随着计算机网络技术的不断发展，局域网安全问题越来越受到人们的重视和关注，局域网内病毒的传播严重影响着网络信息的安全性，其中最具代表性的病毒就是ARP病毒。由于ARP病毒在局域网内的传播及对其他计算机的攻击性，为了确保信息的安全与畅通，ARP病毒的预防及清除工作已经成为了网络安全中的重要事情。

关键词：局域网；网络安全；ARP；防范

中图分类号：TP393.08 文献标识码：A

1 引言（Introduction）

随着计算机和网络技术的发展，互联网已经深入到了我们工作、生活的各个领域。无论是工作单位还是家庭，都不止一台计算机，因此我们都是在小型、中型局域网内使用计算机。局域网的安全严重影响着计算机的使用，对局域网安全威胁最大的是局域网病毒。一旦病毒发作并在局域网内传播，轻则影响数台计算机的使用，严重的可使整个局域网陷入瘫痪状态。这种病毒的典型代表就是ARP病毒。

ARP病毒并不是一种病毒的名称，而是针对利用ARP协议的漏洞进行传播的一类病毒的总称，简称为ARP病毒。这是一种入侵电脑的木马病毒，对电脑用户的私密信息威胁很大。

2 ARP协议（Address resolution protocol）

ARP是地址解析协议，是一种将电脑的IP地址转化成物理地址的协议[1]。具体来说就是将网络层（IP层）地址解析成为数据连接层（MAC层）的MAC地址。

3 ARP的工作原理（Working principle of ARP）

如果两台主机在同一网段内，如主机A要与主机B进行信息交换。检查ARP缓存表中是否有主机B对应的MAC地址，如果有则直接建立通信；如果没有对应的MAC地址则需要向局域网内的所有主机发送ARP请求，该请求包含主机A的IP地址、MAC地址，主机B的IP地址，局域网内的所有主机都会收到此请求，但只有主机B的IP地址与请求中携带的IP地址相同，主机B收到后，回复主机A，该回复包含主机A、B的IP地址、MAC地址，主机A收到回复后，更新自己的ARP缓存表，与主机B建立通信。

如果两台主机不在同一网段内，则需要通过主机所在的网关建立通信。如主机A要与主机C进行信息交换。主机A检查ARP缓存表里是否有本地网关的MAC地址，如果没有需要通过上述方法获得MAC地址，然后与网关1建立通信连接。网关1与网关2是通过网络中的路由器进行信息传递的，网关2收到后，查看信息包的接受者，即主机C，同样的原理获取主机C的MAC地址并建立通信，将信息包发送给主机C。

4 ARP病毒的欺骗原理（Spoofing principle of ARP viruses）

主机间的数据传输依靠的是MAC地址，IP地址与MAC地址间的对应关系存放在ARP缓存表中，正常情况下缓存表能够保证数据传输的有效性[2]。但ARP缓存表在实现机制上存在漏洞，一台主机不论自己是否发送过相应的请求，只要收到ARP应答，就会直接更新自己的ARP缓存表，将收到的MAC地址与IP地址建立对应关系。这就使得两台主机的通信内容可以被其他主机获取。

例如主机A、C进行通信，主机B作为第三方可以截获他们的通信内容。主机B向主机A发送ARP应答，将网关1的MAC地址变成主机B的MAC地址，主机A收到后直接将ARP缓存表中的网关1的MAC地址替换成03-03-03-03-03-03。同样的道理主机B代替主机A与网关1建立通信，使网关1将ARP缓存表中主机A的MAC地址替换成03-03-03-03-03-03。这时主机A要与主机C通信，发送给网关1的数据包会直接发送给主机B，主机B将数据包截获后再发送给网关1，同样当主机C发送的数据包到达网关1后，网关1会将数据包发送给主机B，主机B再转发给主机A完成通信过程。作为欺骗者主机B在主机A与网关1的通信过程中承担了数据中转的任务，实现了ARP欺骗攻击。

5 ARP病毒的症状（Symptom of ARP viruses）

计算机感染ARP病毒后网络连接正常，能PING通局域网内其他主机但无法PING通网关、无法打开网页；由于ARP欺骗的木马程序发作时发出了大量的数据包，导致网络运行不稳定，频繁断网、IE浏览器出错以及常用软件出现故障等问题[3]。

6 ARP病毒的清除（Removal of ARP viruses）

当计算机出现上述症状时可判断感染了ARP病毒，此时应手动切断网络链接，以免病毒利用局域网攻击其他计算机，影响网络运行，在DOS模式下用ARP专用杀毒软件进行杀毒。

点击开始→运行，输入cmd，打开命令控制台窗口。如果计算机还能上网，手动切断网络链接，命令控制台窗口中输入arp-a，查看本地网关的IP地址、MAC地址。如果计算机不能上网，命令控制台窗口中输入arp-d，将本机arp缓存表清空，使计算机暂时恢复上网功能，再切断网络链接，再运行arp-a，查看网关的IP地址、MAC地址。

命令控制台窗口中输入arp-s，手动将网关的IP地址和MAC地址绑定，使计算机不受病毒影响，计算机重启后需再次绑定。将命令放在autoexec.bat中，每次开机自动运行，无需手动操作。

7 结论（Conclusion）

局域网的安全性是人们使用网络正常工作的前提，我们应正视网络中的潜在威胁，了解他们的工作原理，从技术层面上找到相应的解决方案[4]。在实际工作中不断的总结经验，寻找规律，将各类威胁、病毒阻挡在局域网之外，确保网络的安全与畅通。

参考文献（References）

[1] 王秀和，杨明.计算机网络安全技术浅析[J].中国教育技术设备，2007，7（5）：104-106.

[2] 王杰.计算机网络安全的理论与实践[J].中国教育技术设备，2008，12（5）：331-335.

[3] 杨永强，辛淑霞.常用网络安全防范措施[J].科技资讯，2008，15（8）：267.

[4] 肖会.局域网的安全与病毒防治[J].科技致富向导，2009，3（4）：119-204.

作者简介：

单广翠（1983-），女，硕士，讲师.研究领域：网络管理、计算机教学.endprint

摘 要：随着计算机网络技术的不断发展，局域网安全问题越来越受到人们的重视和关注，局域网内病毒的传播严重影响着网络信息的安全性，其中最具代表性的病毒就是ARP病毒。由于ARP病毒在局域网内的传播及对其他计算机的攻击性，为了确保信息的安全与畅通，ARP病毒的预防及清除工作已经成为了网络安全中的重要事情。

关键词：局域网；网络安全；ARP；防范

中图分类号：TP393.08 文献标识码：A

1 引言（Introduction）

随着计算机和网络技术的发展，互联网已经深入到了我们工作、生活的各个领域。无论是工作单位还是家庭，都不止一台计算机，因此我们都是在小型、中型局域网内使用计算机。局域网的安全严重影响着计算机的使用，对局域网安全威胁最大的是局域网病毒。一旦病毒发作并在局域网内传播，轻则影响数台计算机的使用，严重的可使整个局域网陷入瘫痪状态。这种病毒的典型代表就是ARP病毒。

ARP病毒并不是一种病毒的名称，而是针对利用ARP协议的漏洞进行传播的一类病毒的总称，简称为ARP病毒。这是一种入侵电脑的木马病毒，对电脑用户的私密信息威胁很大。

2 ARP协议（Address resolution protocol）

ARP是地址解析协议，是一种将电脑的IP地址转化成物理地址的协议[1]。具体来说就是将网络层（IP层）地址解析成为数据连接层（MAC层）的MAC地址。

3 ARP的工作原理（Working principle of ARP）

如果两台主机在同一网段内，如主机A要与主机B进行信息交换。检查ARP缓存表中是否有主机B对应的MAC地址，如果有则直接建立通信；如果没有对应的MAC地址则需要向局域网内的所有主机发送ARP请求，该请求包含主机A的IP地址、MAC地址，主机B的IP地址，局域网内的所有主机都会收到此请求，但只有主机B的IP地址与请求中携带的IP地址相同，主机B收到后，回复主机A，该回复包含主机A、B的IP地址、MAC地址，主机A收到回复后，更新自己的ARP缓存表，与主机B建立通信。

如果两台主机不在同一网段内，则需要通过主机所在的网关建立通信。如主机A要与主机C进行信息交换。主机A检查ARP缓存表里是否有本地网关的MAC地址，如果没有需要通过上述方法获得MAC地址，然后与网关1建立通信连接。网关1与网关2是通过网络中的路由器进行信息传递的，网关2收到后，查看信息包的接受者，即主机C，同样的原理获取主机C的MAC地址并建立通信，将信息包发送给主机C。

4 ARP病毒的欺骗原理（Spoofing principle of ARP viruses）

主机间的数据传输依靠的是MAC地址，IP地址与MAC地址间的对应关系存放在ARP缓存表中，正常情况下缓存表能够保证数据传输的有效性[2]。但ARP缓存表在实现机制上存在漏洞，一台主机不论自己是否发送过相应的请求，只要收到ARP应答，就会直接更新自己的ARP缓存表，将收到的MAC地址与IP地址建立对应关系。这就使得两台主机的通信内容可以被其他主机获取。

例如主机A、C进行通信，主机B作为第三方可以截获他们的通信内容。主机B向主机A发送ARP应答，将网关1的MAC地址变成主机B的MAC地址，主机A收到后直接将ARP缓存表中的网关1的MAC地址替换成03-03-03-03-03-03。同样的道理主机B代替主机A与网关1建立通信，使网关1将ARP缓存表中主机A的MAC地址替换成03-03-03-03-03-03。这时主机A要与主机C通信，发送给网关1的数据包会直接发送给主机B，主机B将数据包截获后再发送给网关1，同样当主机C发送的数据包到达网关1后，网关1会将数据包发送给主机B，主机B再转发给主机A完成通信过程。作为欺骗者主机B在主机A与网关1的通信过程中承担了数据中转的任务，实现了ARP欺骗攻击。

5 ARP病毒的症状（Symptom of ARP viruses）

计算机感染ARP病毒后网络连接正常，能PING通局域网内其他主机但无法PING通网关、无法打开网页；由于ARP欺骗的木马程序发作时发出了大量的数据包，导致网络运行不稳定，频繁断网、IE浏览器出错以及常用软件出现故障等问题[3]。

6 ARP病毒的清除（Removal of ARP viruses）

当计算机出现上述症状时可判断感染了ARP病毒，此时应手动切断网络链接，以免病毒利用局域网攻击其他计算机，影响网络运行，在DOS模式下用ARP专用杀毒软件进行杀毒。

点击开始→运行，输入cmd，打开命令控制台窗口。如果计算机还能上网，手动切断网络链接，命令控制台窗口中输入arp-a，查看本地网关的IP地址、MAC地址。如果计算机不能上网，命令控制台窗口中输入arp-d，将本机arp缓存表清空，使计算机暂时恢复上网功能，再切断网络链接，再运行arp-a，查看网关的IP地址、MAC地址。

命令控制台窗口中输入arp-s，手动将网关的IP地址和MAC地址绑定，使计算机不受病毒影响，计算机重启后需再次绑定。将命令放在autoexec.bat中，每次开机自动运行，无需手动操作。

7 结论（Conclusion）

局域网的安全性是人们使用网络正常工作的前提，我们应正视网络中的潜在威胁，了解他们的工作原理，从技术层面上找到相应的解决方案[4]。在实际工作中不断的总结经验，寻找规律，将各类威胁、病毒阻挡在局域网之外，确保网络的安全与畅通。

参考文献（References）

[1] 王秀和，杨明.计算机网络安全技术浅析[J].中国教育技术设备，2007，7（5）：104-106.

[2] 王杰.计算机网络安全的理论与实践[J].中国教育技术设备，2008，12（5）：331-335.

[3] 杨永强，辛淑霞.常用网络安全防范措施[J].科技资讯，2008，15（8）：267.

[4] 肖会.局域网的安全与病毒防治[J].科技致富向导，2009，3（4）：119-204.

作者简介：

单广翠（1983-），女，硕士，讲师.研究领域：网络管理、计算机教学.endprint