ARP病毒的原理與防治

　　摘 要： ARP病毒是對局域網影響較大的病毒之一，給個人用戶和網絡管理員都帶來莫大的麻煩。如何識別ARP病毒，以及采用什么樣的方法來進行預防和解決，是個人用戶和網管們都必須掌握的。本文介紹了ARP病毒的簡單原理、ARP病毒的癥狀，以及解決ARP病毒的一些常用的方法。
　　關鍵詞： ARP病毒 工作原理 處理方法
　　
　　最近一段時間，我校局域網感染了ARP病毒，導致一部分機器無法上網，影響了正常的網絡使用。ARP病毒的清理和防范都比較困難，給個人用戶甚至是網管都帶來很大的麻煩。下面我就簡單地介紹一下ARP病毒的一些原理和簡單的預防措施。
　　一、何為ARP病毒（攻擊）
　　其實ARP病毒并不是某一種病毒的名稱，而是對利用ARP協議的漏洞進行傳播的一類病毒的總稱。
　　ARP協議是“Address Resolution Protocol”（地址解析協議）的縮寫，它是TCP/IP協議組的一個協議，是用于進行把網絡地址翻譯成物理地址（又稱MAC地址）。
　　通常此類攻擊的手段有兩種：路由欺騙和網關欺騙。是一種入侵電腦的木馬病毒。對電腦用戶私密信息的威脅很大。ARP病毒主要就是冒充網關，將局域網內的信息攔截，或者攔截外網的數據，通過中了ARP病毒的機器（其冒充網關）中轉一下（順便添加木馬）發送到各個終端，導致信息無法發送到要求的地方去。
　　二、ARP病毒的癥狀
　　1.有時候無法正常上網，有時候又好了，包括訪問網上鄰居也是如此。
　　2.當局域內的某臺計算機存在ARP的病毒時，它就會持續地向網內所有的計算機及網絡設備發送大量的非法ARP欺騙數據包，阻塞網絡通道，造成網絡設備的承載過重，網速時快時慢，極其不穩定，但單機進行數據測試時一切正常。
　　3.使用ARP查詢的時候會發現不正常的MAC地址，或者是錯誤的MAC地址對應，還有就是一個MAC地址對應多個IP的情況也會有出現。
　　一些安裝了殺毒軟件的用戶，常常會出現ARP攻擊的提示，也說明你的機器正在遭受ARP的攻擊。
　　三、ARP病毒的工作原理
　　局域網主機上網的一般步驟：
　　1.主機發送請求→服務器（或網關）轉發→互聯網
　　2.互聯網返回信息→服務器（或網關）轉發→主機
　　3.主機得到信息，完成一次信息交流
　　圖示如下：
　　當局域網存在ARP攻擊時，整個順序可能會被打亂。染毒的主機會不停地向局域網中的其他機器發ARP包，告訴局域網中的主機錯誤的服務器（網關）地址，以后主機請求信息不會向服務器（網關）發送，而是向錯誤的地址發送，就會導致信息的時斷時續，網速很慢，或者信息丟失，直接打不開網頁。
　　圖示如下：
　　四、常用的處理方法
　　解決ARP病毒攻擊的方法有多種，下面列舉幾種常用的方法。
　　（一）受到ARP攻擊的電腦，可以在DOS方式下清除ARP緩存。
　　一般來說，ARP欺騙都是通過發送虛假的MAC地址與IP地址的對應ARP數據包來迷惑網絡設備，用虛假的或錯誤的MAC地址與IP地址對應關系取代正確的對應關系。若是一些初級的ARP欺騙，可以通過ARP的指令來清空本機的ARP緩存對應關系，讓網絡設備從網絡中重新獲得正確的對應關系，方法如下：
　　第一步：通過點擊桌面上任務欄的“開始”→“運行”，然后輸入cmd后回車，進入cmd命令行模式；
　　第二步：在命令行模式下輸入arp -a命令來查看當前本機儲存在本地系統ARP緩存中IP和MAC對應關系的信息；
　　第三步：使用arp -d命令，將儲存在本機系統中的ARP緩存信息清空。這樣錯誤的ARP緩存信息就被刪除了，本機將重新從網絡中獲得正確的ARP信息，達到局域網機器間互訪和正常上網的目的。如果遇到使用ARP欺騙工具來進行攻擊的情況，使用上述的方法就完全可以解決。但如果是感染ARP欺騙病毒，病毒每隔一段時間自動發送ARP欺騙數據包，這時使用清空ARP緩存的方法將無能為力了。
　　（二）指定ARP對應關系：其實該方法就是強制指定ARP對應關系。由于絕大部分ARP欺騙病毒都是針對網關MAC地址進行攻擊的，使本機上ARP緩存中存儲的網關設備的信息出現紊亂。這樣當機器要上網發送數據包給網關時就會因為地址錯誤而失敗，造成計算機無法上網。
　　第一步：如果網關地址的MAC信息為00-08-0F-67-02-7c，對應的IP地址為192.168.1.1。指定ARP對應關系就是指這些地址。在感染了病毒的機器上，點擊桌面→任務欄的“開始”→“運行”，輸入cmd后回車，進入cmd命令行模式；
　　第二步：使用arp -s命令來添加一條ARP地址對應關系，例如arp -s 192.168.1.1 00-08-0F-67-02-7c命令。這樣就將網關地址的IP與正確的MAC地址綁定好了，本機網絡連接將恢復正常；
　　第三步：因為每次重新啟動計算機的時候，ARP緩存信息都會被全部清除。所以我們應該把這個ARP靜態地址添加指令寫到一個批處理文件（例如：bat）中，然后將這個文件放到系統的啟動項中。當程序隨系統的啟動而加載的話，就可以免除因為ARP靜態映射信息丟失的困擾。
　　（三）添加路由信息應對ARP欺騙。
　　一般的ARP欺騙都是針對網關的，那么我們是否可以通過給本機添加路由來解決此問題呢？只要添加了路由，那么上網時都通過此路由出去即可，自然也不會被ARP欺騙數據包干擾了。
　　第一步：先通過點擊桌面上任務欄的“開始”→“運行”，然后輸入cmd后回車，進入cmd(黑色背景)命令行模式；
　　第二步：手動添加路由，詳細的命令如下：刪除默認的路由: route delete 0.0.0.0;添加路由：route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.99 metric 1;確認修改：route change。
　　（四）使用殺毒軟件來清除ARP病毒，同時對本機進行網關地址（MAC地址）綁定。
　　這里主要講述使用“360安全衛士”進行服務器（網關地址）綁定的方法，來解決ARP攻擊。
　　其步驟如下：
　　在“網關MAC”里填寫：00-08-0F-67-02-7c（減號也要寫上），
　　然后單擊“確定”；
　　（8）最后單擊“保存”，就實現了服務器MAC地址綁定，可以有效地預防ARP攻擊。
　　通過這樣的方法綁定了以后，基本上就會免受ARP病毒的攻擊，而且360安全衛士是免費軟件，可以從網絡上下載安裝，網址是www.360.cn。
　　ARP病毒一直是局域網中危害較大的病毒之一，但它的清除和防治相對又較專業，因此造成了它在局域網中的橫行。本文講了一些ARP病毒的普及知識，簡單的防治辦法，希望對大家有所幫助。