淺析局域網ＡＲＰ病毒入侵與解決方案

摘要：ARP病毒不斷地影響著局域網，導致計算機網絡極不穩定，嚴重地影響到廣大用戶的網絡安全和正常使用。文中從ARP病毒表面現象、攻擊原理、病毒定位及解決方案等方面進行論述，以求徹底解決ARP病毒對局域網的影響。

關鍵詞：ARP病毒；局域網；網絡安全

中圖分類號：TP309文獻標識碼：A文章編號：1009-3044(2008)26-1658-01

ARP of Viruses and LAN Solutions

HU Yun-dong

(Journal of Chizhou Vocational Technical College， Chizhou 247000， China)

Abstract: ARP virus continue to affect the local area network，leading to the computer network instability，seriously affecting the majority of users of network security and normal use.ARP from the text of the virus symptoms，the principle of attacks，viruses and targeted solutions to the areas discussed，in order to completely solve the ARP virus on the LAN impact.

Key words: ARP virus; local area network; network security

近期局域網經常出現網速比較慢并經常伴隨網絡中斷等現象，使廣大用戶上網受到很大的影響，通過電信運行商檢測線路后發現，當把路由器內網關閉時，發現外網線路一切正常，而開啟后，則再次出現上述網絡故障。經過檢測，初步判斷故障問題主要集中在內網計算機用戶上，結合目前網絡上流行的病毒情況，懷疑可能與ARP病毒有關。下面就從ARP病毒表面現象、攻擊原理、病毒定位及解決方案等幾方面進行剖析，以求消除ARP病毒對局域網安全所造成的影響。

1 ARP病毒表面現象

常見ARP攻擊對象有兩種，一是網絡網關，也就是路由器，二是局域網上的計算機，也就是一般用戶。攻擊網絡網關就好比發送錯誤的地址信息給快遞員，讓快遞員整個工作大亂，所有信件無法正常送達；而攻擊一般計算機就是直接和一般人謊稱自己就是快遞員，讓一般用戶把需要傳送的物品傳送給發動ARP攻擊的計算機。由于一般的計算機及路由器的ARP協議的意志都不堅定，因此只要有惡意計算機在局域網中持續發出錯誤的ARP信息，就會讓計算機及路由器信以為真，做出錯誤的傳送網絡包動作。具體情況表現在：1） 網絡運行不穩定，經常出現網絡閃斷，丟包現象比較嚴重；2） 內網單機或局部掉線，重啟、禁用本地連接后可以恢復網絡連接；3） 全部掉線，必須重新啟動路由器才可上網；4） 內網上網用戶丟號問題嚴重，頻繁出現丟號現象。

2 ARP病毒攻擊原理

ARP（Address Resolution Protocol）是地址解析協議，是一種將IP地址轉化成物理地址（MAC地址）的協議。ARP是系統進行通訊的基礎，是以信任為基礎的，如果破壞了這種信任，那就形成ARP欺騙。一般計算機中的原始的ARP協議，很像一個思想不堅定，容易被其它人影響的人，ARP欺騙/攻擊就是利用這個特性，誤導計算機做出錯誤的行為。

在局域網中，ARP協議對網絡安全具有重要的意義。通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP數據包致使網絡阻塞或者出現ARP重定向和嗅探攻擊。

每個主機都用一個ARP高速緩存存放最近IP地址到MAC地址之間的映射記錄，并且每條映射記錄的生存時間一般為60秒，起始時間從被創建時開始算起。默認情況下，ARP從緩存中讀取IP-MAC映射記錄，而緩存中的IP-MAC映射記錄是根據ARP響應包動態變化的。因此，只要網絡上有ARP響應包發送到本機，即會更新ARP高速緩存中的IP-MAC映射記錄。攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC映射記錄，當向局域網中大量發送虛假的ARP信息后，就會造成局域網中機器的ARP緩存表出現崩潰，導致網絡中斷。

另外，當局域網內某臺主機運行ARP欺騙的木馬程序時，會欺騙局域網內所有主機和路由器，讓所有上網的計算機數據包全部經過病毒主機。原來直接通過路由器上網現在轉由通過病毒主機上網，此時就會出現斷線，致使用戶必須重新進行登錄一些帳號和密碼，這樣病毒主機就可以盜號了。同時，由于ARP欺騙的木馬程序發作的時候會發出大量的數據包導致局域網通訊擁塞，造成用戶會上網速度越來越慢。

3 ARP病毒快速定位

如何能夠快速檢測定位出局域網中的ARP病毒電腦？面對著局域網中成百臺電腦，一個一個地檢測顯然不是好辦法。其實我們只要利用ARP 病毒的基本原理：發送偽造的ARP欺騙廣播，中毒電腦自身偽裝成網關的特性，就可以快速鎖定中毒電腦。

可以設想用程序來實現以下功能：在網絡正常的時候， 牢牢記住正確的網關IP地址和MAC地址，并且實時監控來自全網的ARP數據包。當有某個ARP數據包廣播時，發現正確網關IP地址對應的MAC地址竟然是其它電腦的MAC地址的時候，斷定ARP欺騙發生了。再根據網絡正常時候的IP－MAC映射記錄查詢該電腦，定位出其IP地址，這樣就定位出中毒電腦了。

很多管理員認為有高級功能防火墻，可以得到相應的保護，恰恰相反，防火墻會誤以為這是正常的請求數據包，不予攔截。由此而見，需要我們找到問題根源，找到源頭，才能真正解決問題所在。當局域網內出現上面癥狀后，可使用以下三種方法來檢測ARP中毒電腦：

方法一：使用Sniffer抓包

在網絡內任意一臺主機上運行抓包軟件，捕獲所有到達本機的數據包。如果發現有某個IP不斷發送ARPRequest請求包，那么這臺電腦一般就是病毒源。

原理：無論何種ARP病毒變種，行為方式有兩種，一是欺騙網關，二是欺騙網內的所有主機。最終的結果是，在網關的ARP緩存表中，網內所有活動主機的MAC地址均為中毒主機的MAC地址；網內所有主機的ARP緩存表中，網關的MAC地址也成為中毒主機的MAC地址。前者保證了從網關到網內主機的數據包被發到中毒主機，后者相反，使得主機發往網關的數據包均發送到中毒主機。

方法二：使用ARP -a命令

任意選兩臺不能上網的主機，在DOS命令窗口下運行ARP -a命令。例如在結果中，兩臺電腦除了網關的IP，MAC地址對應項，都包含了192.168.168.24的這個IP，則可以斷定192.168.168.24這臺主機就是病毒源。

原理：一般情況下，網內的主機只和網關通信。正常情況下，一臺主機的ARP緩存中應該只有網關的MAC地址。如果有其他主機的MAC地址，說明本地主機和這臺主機最后有過數據通信發生。如果某臺主機（例如上面的192.168.168.24）既不是網關也不是服務器，但和網內的其他主機都有通信活動，且此時又是ARP病毒發作時期，那么，病毒源也就是它了。

方法三：使用Tracert命令

在任意一臺受影響的主機上，跟蹤一個外網地址，例如在DOS命令窗口下運行如下命令：Tracert 202.96.134.133。假定設置的缺省網關為192.168.168.254，第一跳卻是192.168.168.24，那么，192.168.168.24就是病毒源。

原理：中毒主機在受影響主機和網關之間，扮演了“中間人”的角色。所有本應該到達網關的數據包，由于錯誤的MAC地址，均被發到了中毒主機。此時，中毒主機越俎代庖，起了缺省網關的作用。

4 ARP病毒解決方案

現在最常用的解決方法是“ARP雙向綁定”。由于ARP攻擊往往不是病毒造成的，而是合法運行的程序(外掛、網頁)造成的，所以殺毒軟件多數時候束手無策。所謂“雙向綁定”，就是在路由器上綁定ARP表的同時，在每臺電腦上也綁定ARP表項。“ARP雙向綁定”能夠防御輕微的、手段不高明的ARP攻擊。ARP攻擊程序如果沒有試圖去更改綁定的ARP表項，那么ARP攻擊就不會成功；如果攻擊手段不劇烈，也欺騙不了路由器，這樣我們就能夠防住ARP攻擊。

但是，現在ARP攻擊的程序往往都是合法運行的，所以能夠合法的更改電腦的ARP表項。在現在ARP雙向綁定流行起來之后，攻擊程序的作者也提高了攻擊手段，攻擊的方法更綜合，僅僅進行雙向綁定已經不能夠應付兇狠的ARP攻擊了，于是我們在路由器中加入了“ARP攻擊主動防御”的功能。這個功能是在路由器ARP綁定的基礎上實現的，原理是：當內網受到錯誤的ARP廣播包攻擊時，路由器立即廣播正確的ARP包去修正和消除攻擊包的影響。這樣我們就解決了掉線的問題，但是在最兇悍的ARP攻擊發生時，仍然發生了問題——當ARP攻擊很頻繁的時候，就需要路由器發送更頻繁的正確的ARP數據包去消除影響。雖然不掉線了，但是卻出現了上網“卡”的問題。所以，單純依靠路由器實現“ARP攻擊主動防御”，也只能夠解決80%的問題。

要真正消除ARP攻擊的隱患，安枕無憂，必須轉而對“局域網核心” ——交換機下手，即使用可防御ARP攻擊的三層交換機，并且在每臺交換機上綁定端口MAC-IP，合理劃分VLAN，過濾掉所有非法的ARP包。因為任何ARP包，都必須經由交換機轉發，才能達到被攻擊目標，只要交換機拒收非法的ARP包，那么ARP攻擊就不能造成任何影響。這樣一個真正嚴密的防止ARP攻擊的方案，就可以讓ARP攻擊足不能出戶，在局域網內完全消除了。

總之，ARP欺騙是目前網絡管理，特別是局域網管理中最讓人頭疼的攻擊，他的攻擊技術含量低，隨便一個人都可以通過攻擊軟件來完成ARP欺騙攻擊。ARP攻擊防制是一個任重而道遠的過程，必須高度重視這個問題，隨時警惕ARP攻擊，以減少危害，降低經濟損失。