ARP病毒的防治

摘 要：ARP病毒是利用ARP協議缺陷通過欺騙手段進行攻擊的一種常見病毒，目前ARP病毒廣泛傳播在互聯網中，傳播方式多樣、破壞性強，特別是對公共機房影響較大。根據ARP協議及其病毒原理和傳播途徑，闡述了機房防御病毒原理，提出建立ARP表、客戶機路由器端雙向綁定、RoutIP追查病毒防御策略。

關鍵詞：ARP；病毒防治；ARP協議

中圖分類號：TP393.18 文獻標識碼：A 文章編號：1674-7712 （2014） 24-0000-02

一、ARP協議及病毒

眾所周知，計算機在網絡上通信需要分配一個ip地址，而計算機網卡設備只有一個物理地址（MAC地址），要讓計算機之間互相通信，就不要進行地址的轉換，將IP地址轉換成MAC地址，這項工作就是由ARP協議承擔的。

ARP全稱Address Resolution Protocol，地址解析協議。地址解析協議是通過在網絡中發出查詢目標電腦的IP地址的廣播來獲得其MAC地址，并把這些信息緩存在本地，這樣就實現了IP到MAC的映射，保證了計算機間的通信。但由于缺乏認證機制，即無法認證響應廣播的計算機的真實性，這就給ARP病毒有了可乘之機。

ARP病毒正是對利用arp協議的漏洞進行傳播的一類病毒的總稱。。通常此類攻擊的手段有兩種：路由欺騙和網關欺騙。是一種入侵電腦的木馬病毒。對電腦用戶私密信息的威脅很大。

二、病毒原理

ARP病毒主要是通過欺騙的手段完成攻擊。網絡中某臺電腦一旦感染上ARP病毒，它將成為欺騙的工具，成為偽網關，不斷地向網絡發出廣播，通知網絡中的電腦，MAC地址有變動。電腦接收到信息后，在本地緩存表中更新網關的MAC地址。下次通信時，發到網關的信息都會發到偽網關，網絡中的通信包急劇增加，導致網絡慢、斷網等假象。

上圖網絡中有3臺計算機，這些電腦的網關地址都是192.168.1.1。C電腦中毒后，冒充網關地址，造成A和B電腦原本發送給網關的信息，發送給了C。具體過程如下：

（1）主機C向主機A發送一個非法ARP響應將主機A的ARP緩存中B的MAC地址篡改為C的MAC地址。

（2）主機C向主機B發送一個非法ARP響應將主機B的ARP緩存中A的MAC地址篡改為C的MAC地址。

（3）在主機C上啟動IP Forward（IP轉發）功能。于是主機A與主機B之間的通道由主機A到主機B變成主機A到主機C再到主機B，主機C作為“中介”，轉發主機A與主機B通信產生的所有數據包，于是在主機C上利用對主機A和主機B的ARP緩存的修改就可以完成交換網絡下對A與B通信數據的嗅探。

三、攻擊防范

（一）防御原理

防止ARP攻擊是比較困難的，修改協議也是不大可能。但是有一些工作是可以提高本地網絡的安全性。

首先，你要知道，如果一個錯誤的記錄被插入ARP或者IP route表，可以用兩種方式來刪除。

a.使用arp–d host_entry

ARP斷網攻擊

b.自動過期，由系統刪除

這樣，可以采用以下的一些方法：

1.減少過期時間

#ndd–set/dev/arp arp_cleanup_interval 60000

#ndd-set/dev/ip ip_ire_flush_interval 60000

60000=60000毫秒默認是300000

加快過期時間，并不能避免攻擊，但是使得攻擊更加困難，帶來的影響是在網絡中會大量的出現ARP請求和回復，請不要在繁忙的網絡上使用。

2.建立靜態ARP表

這是一種很有效的方法，而且對系統影響不大。缺點是破壞了動態ARP協議。可以建立如下的文件。

test.nsfocus.com 08：00：20：ba：a1：f2

user.nsfocus.com 08：00：20：ee：de：1f

使用arp–f filename加載進去，這樣的ARP映射將不會過期和被新的ARP數據刷新，除非使用arp–d才能刪除。但是一旦合法主機的網卡硬件地址改變，就必須手工刷新這個arp文件。這個方法，不適合于經常變動的網絡環境。

3.禁止ARP

可以通過ipconfig interface–arp完全禁止ARP，這樣，網卡不會發送ARP和接受ARP包。但是使用前提是使用靜態的ARP表，如果不在ARP表中的計算機，將不能通信。這個方法不適用與大多數網絡環境，因為這增加了網絡管理的成本。但是對小規模的安全網絡來說，還是有效可行的。

4 雙向綁定

雙向綁定指的是在路由器上綁定局域網中的每臺電腦的IP和MAC地址，在終端上綁定路由器的IP和MAC地址，原理見圖2。路由器收到信息后向局域網電腦廣播，收到回應，路由器查看回應的電腦MAC地址是否與已綁定的MAC地址相一致，避免路由器受騙；而在終端綁定了路由的IP和MAC地址，即使假網關冒充路由器的IP欺騙終端，也會因為MAC地址的不同露出破綻。

但目前的ARP病毒層出不窮，已經不能單純的依靠傳統的方法去防范，比如簡單的綁定本機ARP表，我們還需要更深入的了解ARP攻擊原理，才能夠通過癥狀分析并解決ARP欺騙的問題。

（二）局域網解決ARP最根本的方法

目前防護局域網中ARP木馬病毒最有效的方法是通過網關和終端雙向綁定ip和mac地址來實現，但是這種方法還是不能有效的阻止ARP對局域網的攻擊，其最重要的原因是在于ARP病毒早已更改了本地電腦的MAC地址，從而導致綁定無效。另一方面就是人為的破壞，比如說局域網中有人使用P2P終結者等諸多情況，都可能導致局域網中充斥著大量的ARP包，這些都將會導致網絡性能的下降。針對這些問題，我們應該如何面對和解決呢？

第一，做好第一道防線，實現路由器和終端雙向綁定IP和MAC地址。實現路由器上的綁定需要在局域網中的每臺電腦上使用“IPConfig”命令獲取本機IP和MAC地址，然后打開瀏覽器，輸入路由器的地址，進入路由器配置界面，在界面中定位到ARP與IP地址綁定位置處，設置“單機的MAC地址和IP地址的匹配規則”，指定局域網中各個計算機的IP地址和其對應MAC地址實現綁定。在終端使用arp–s來綁定路由器的IP和MAC地址。

第二，通過“網絡參數”-“LAN口參數”來查找路由器的MAC地址和IP地址，然后在局域網中的每臺電腦中實現靜態ARP綁定。具體做法：打開“運行”對話框，輸入CMD進入MSdos界面，然后通過輸入如圖所示的命令實現網關IP地址和MAC地址的綁定。

第三，付出少需的代價換來局域網的長久平靜。打開安全防護軟件的ARP防火墻功能。

第四，斬草除根，徹底追蹤查殺ARP病毒。利用局域網ARP欺騙檢測工具來確定ARP攻擊源，然后利用ARP專殺工具進行殺毒。查找并定位到攻擊源地址以后，在相應的計算機上安裝ARP專殺工具進行查殺操作。例如，當我們的機子受到ARP攻擊時，我們查到了攻擊源的MAC地址，將該MAC地址與路由器當中的ARP映射表進行對比來確定攻擊源主機，然后對該主機進入ARP的查殺工作。[1]

四、結束語

ARP病毒的防治要從源頭上做起，采用多種技術方式來提高系統的安全性，同時管理員要加強病毒防范的意識，才能保證機房不被ARP病毒肆虐。文中介紹的防治方法主要針對的是IPV4協議，由于IPV6協議定義了鄰機發現機制（NDD），ARP病毒無法在鏈路層中獲得生存的土壤，防范ARP病毒應更多的關注于網絡層。

參考文獻：

[1]趙春華.ARP欺騙分析?處理及防范[J].金融電子化，2007（12）.

[2]陳偉斌，薛芳，任勤生.ARP欺騙攻擊的整網解決方案研究[J].廈門大學學報（自然科學版），2007（S2）.

[3]陳文波，李善璽.ARP欺騙動態檢測防御系統[J].中國教育網絡，2007（08）.

[4]蔣小平.基于增量模型的變極性測量方法的研究和應用[J].微計算機信息，2005（07）：85-87.

[作者簡介]彭騰（1983-），男，江西吉安人，工程師，碩士，研究方向：軟件工程。