關于校園網中ＡＲＰ病毒的防范

摘要： 在校園網中通常是通過ARP協議來完成IP地址轉換為第二層物理地址（即MAC地址），ARP協議對網絡安全具有非常重要的意義。ARP病毒通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量，致使網絡發生阻塞。

關鍵詞： 校園網 ARP病毒 防護措施

近期，一種新型的“ARP”木馬病毒正在校園網中擴散，感染此木馬病毒的計算機通過欺騙手段截獲所在網絡內其它計算機的通信信息，干擾其它計算機的正常上網，并導致部分用戶網絡中斷，嚴重影響了校園網的正常運轉。

一、遭受ARP攻擊后現象

當用戶計算機出現以下現象時，可能已經受到網內其他中“ARP欺騙”病毒計算機的攻擊。

1.用戶頻繁斷網、上網時感覺網絡經常掉線，重新開機或修復本地連接后網絡恢復正常，但幾分鐘后網絡再次中斷。

2.IE瀏覽器在使用過程中頻繁出錯或自動關閉網頁。

3.一些常用軟件經常出現故障或非正常自動關閉。

4.網上銀行、游戲及QQ賬號頻繁丟失。

5.網速時快時慢，極不穩定，但單機進行光纖數據測試時一切正常。

6.局域網內頻繁性區域或整體掉線，重啟計算機或網絡設備后恢復正常。

二、ARP協議及欺騙原理

ARP協議是“Address Resolution Protocol”（地址解析協議）的縮寫，網絡中實際傳輸的是“幀”，幀里面是有目標主機的MAC地址。在以太網中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址，但這個目標MAC地址是如何獲得的呢？它就是通過地址解析協議來獲取，所謂“地址解析”就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的順利進行。

每臺安裝有TCP/IP協議的電腦里都有一個ARP緩存表，表里的IP地址與MAC地址一一對應，如下表所示：

我們以主機A（192.168.16.1）向主機B（192.168.16.2）發送數據為例，當發送數據時，主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了，也就知道了目標MAC地址，則直接把目標MAC地址寫入幀里面發送就可以了。如果在ARP緩存表中沒有找到相對應的IP地址，主機A就會在網絡上發送一個廣播，目標MAC地址是FF.FF.FF.FF.FF.FF，這表示向同一網段內的所有主機發出詢問“192.168.16.2的MAC地址是什么？”網絡上其他主機并不響應ARP詢問，只有主機B接收到這個幀時，才向主機A回應“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。這樣，主機A就知道了主機B的MAC地址，它就可以向主機B發送信息了。同時它還更新了自己的ARP緩存表，下次再向主機B發送信息時，直接從ARP緩存表里查找就可以了。ARP緩存表采用了老化機制，在一段時間內如果表中的某一行沒有使用，就會被刪除，這樣可以大大減少ARP緩存表的長度，加快查詢速度。

從上面可以看出，ARP協議的基礎就是信任局域網內所有的人，那么就很容易實現在以太網上的ARP欺騙。如對目標A進行欺騙，A去Ping主機C卻發送到了DD-DD-DD-DD-DD-DD這個地址上，把C的MAC地址騙為DD-DD-DD-DD-DD-DD，于是A發送到C上的數據包都變成發送給D的了，這樣D能夠接收到A發送的數據，即嗅探成功。

A對這個變化一點都沒有意識到，但是接下來的事情就讓A產生了懷疑，因為A和C連接不上。D對接收到A發送給C的數據包可沒有轉交給C，做“man in the middle”，進行ARP重定向，打開D的IP轉發功能，將A發送過來的數據包轉發給C，好比一個路由器一樣。

D直接進行整個包的修改轉發，在捕獲到A發送給C的數據包后，進行全部修改后再轉發給C，而C接收到的數據包完全認為是從A發送來的。不過，C發送的數據包又直接傳遞給A，倘若再次進行對C的ARP欺騙，D就完全成為A與C的中間橋梁了，而對于A和C之間的通訊就了如指掌。

三、ARP病毒發作機理

當局域網內某臺主機運行ARP欺騙的木馬程序時，會欺騙局域網內所有主機和路由器，讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過路由器上網現在轉由通過病毒主機上網，切換的時候用戶會斷一次線。

由于ARP欺騙的木馬程序發作的時候會發出大量的數據包，以及其自身處理能力的限制，導致校園網通訊擁塞，用戶會感覺上網速度越來越慢，當ARP欺騙的木馬程序停止運行時，用戶會恢復從路由器上網，切換過程中用戶會再斷一次線。

四、ARP病毒的防護措施

1.靜態綁定網關MAC

方法一：手工綁定

（1）確定用戶計算機所在網段。打開命令提示符窗口，輸入ipconfig命令，查出用戶正常分配到的IP地址：本機IP：10.13.2.62，網關IP：10.13.2.254。

（2）查出用戶網段網關的IP、Mac。通過“安全衛士360”里的arp防火墻可以查詢到自己所在網段的網關的IP及MAC地址。

（3）用命令“arp-s網關IP網關MAC”靜態綁定網關IP和MAC。

即在命令提示符窗口中輸入以下命令：

arp–a//列出本機緩存的所有arp信息

arp–d//清空ARP緩存信息

arp-s10.13.2.25100-0b-46-01-01-00//靜態綁定網關MAC地址

方法二：腳本綁定

整理全校網絡網關的地址表，做成批處理文件。

echo off

cls

arp-d

arp-s 172.16.2.1 00-0d-bd-f1-2e-00

arp-s 172.16.3.1 00-07-50-7d-d7-08

arp-s 172.16.4.1 00-07-50-7d-d7-07

：

echo on

2.使用第三方工具

推薦使用ARP防火墻單機版。

五、校園網用戶解決方法及安全建議

1.做好IP－MAC地址的綁定工作，在交換機和客戶端都要綁定，這是使局域網免疫ARP病毒侵擾的好辦法。

2.全網所有的電腦都打上MS06-014和MS07-017這兩個補丁，這樣可以免疫絕大多數網頁木馬，防止在瀏覽網頁的時候感染病毒。

3.禁用系統的自動播放功能，防止病毒從U盤、移動硬盤、MP3等移動存儲設備進入到計算機。

4.在網絡正常時候保存好全網的IP－MAC地址對照表，這樣便于在電腦中毒時查找ARP。

5.部署網絡流量檢測設備，時刻監視全網的ARP廣播包，查看其MAC地址是否正確。

6.安裝殺毒軟件，及時升級病毒庫，定期全網殺毒。

參考文獻：

［1］張建忠.徐敬東.計算機網絡實驗指導書.清華大學出版社.

［2］張金輝.Internet核心協議權威指南.中國電力出版社.

［3］程勝利.計算機病毒及其防治技術.清華大學出版社.

［4］張友生.計算機病毒與木馬程序剖析.北京科海電子出版社.