鄒麗英，孫小權(quán)

（浙江工業(yè)大學(xué)之江學(xué)院，浙江 杭州 310024）

高校公共機(jī)房ARP病毒的分析與防范策略

鄒麗英，孫小權(quán)

（浙江工業(yè)大學(xué)之江學(xué)院，浙江 杭州 310024）

本文介紹了ARP病毒的表現(xiàn)，闡述了ARP欺騙產(chǎn)生的原理和欺騙手段,提出高校機(jī)房ARP病毒的防范策略并結(jié)合實際給出了解決方案。

ARP病毒；網(wǎng)絡(luò)安全；校園網(wǎng)防范策略

一、ARP病毒的表現(xiàn)

ARP欺騙是局域網(wǎng)內(nèi)爆發(fā)的一種木馬病毒，病毒發(fā)作時其癥狀為：

（1）網(wǎng)絡(luò)異常，具體表現(xiàn)為：掉線、IP地址沖突等；

（2）數(shù)據(jù)竊取，具體表現(xiàn)為個人隱私泄漏（如MSN聊天記錄、郵件等）、帳號被盜（如QQ帳號、銀行帳號等）；

（3）數(shù)據(jù)被篡改，具體表現(xiàn)為：網(wǎng)絡(luò)速度、網(wǎng)絡(luò)訪問行為（打開網(wǎng)頁、打開某些應(yīng)用程序）受第三方非法控制。

ARP病毒嚴(yán)重影響了學(xué)校的正常教學(xué)工作,并且給校園網(wǎng)絡(luò)帶來很大的安全隱患。因此,有效地防范ARP網(wǎng)絡(luò)攻擊已成為確保網(wǎng)絡(luò)暢通的必要條件。

二、ARP病毒原理

ARP（Address Resolution Protocol，地址解析協(xié)議）是一個位于TCP/IP協(xié)議棧中的低層協(xié)議。該協(xié)議負(fù)責(zé)將某個IP地址解析成對應(yīng)的MAC地址。一旦這個環(huán)節(jié)出現(xiàn)問題，就不能正常和目標(biāo)主機(jī)進(jìn)行通信，甚至可能導(dǎo)致整個網(wǎng)絡(luò)癱瘓。

ARP病毒屬于木馬類病毒，一般表現(xiàn)為該廣播域內(nèi)的計算機(jī)無法正確地獲得網(wǎng)關(guān)和其他客戶機(jī)的網(wǎng)卡真實的MAC地址，導(dǎo)致無法進(jìn)行正常的網(wǎng)絡(luò)通信。在局域網(wǎng)中的任何一臺主機(jī)中，都有一個ARP緩存表，里面存放著IP地址和MAC地址的對應(yīng)關(guān)系，ARP病毒通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，并在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞或者進(jìn)行ARP重定向和嗅探攻擊，為偽造源MAC地址發(fā)送ARP響應(yīng)包，也就是當(dāng)這臺中毒主機(jī)向同局域網(wǎng)中另外的主機(jī)發(fā)送數(shù)據(jù)的時候，會根據(jù)ARP緩存表里假的地址進(jìn)行發(fā)送，發(fā)一個假的ARP應(yīng)答包，當(dāng)另外一臺主機(jī)接受到這個假的ARP應(yīng)答包時，會將其寫入到ARP緩存表中。這樣當(dāng)主機(jī)互相通信時，會先到ARP緩存表中查找對方的ARP信息，因此它會將數(shù)據(jù)發(fā)送到MAC地址的機(jī)器上，對ARP高速緩存機(jī)制攻擊。攻擊者只要持續(xù)不斷地發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC地址，造成網(wǎng)絡(luò)中斷，ARP欺騙就成功了。

通過前文對ARP欺騙原理的分析可知，ARP病毒在進(jìn)行欺騙時會采取兩種手段，一種是對路由器ARP表的欺騙，另一種是對同網(wǎng)段內(nèi)主機(jī)ARP緩存的欺騙。因此，要防止ARP病毒造成的危害，關(guān)鍵是要防止ARP欺騙的這兩種手段。

（1）防止ARP病毒對路由器（核心交換機(jī)）ARP表的欺騙。對于這種欺騙，可以采用在路由器（核心交換機(jī)）上綁定VLAN接口IP地址 （網(wǎng)關(guān)地址）和MAC地址的方法，將網(wǎng)關(guān)IP和MAC地址設(shè)為靜態(tài)條目，不再響應(yīng)ARP應(yīng)答數(shù)據(jù)，這樣就能保證網(wǎng)關(guān)IP地址和MAC地址對應(yīng)條目不被欺騙所替換。

（2）防止ARP病毒對內(nèi)網(wǎng)主機(jī)ARP緩存的欺騙。對于這種欺騙，可以采用端口隔離的方法將計算機(jī)隔離開來，這樣每臺計算機(jī)都不再響應(yīng)其他計算機(jī)的ARP應(yīng)答包，而只響應(yīng)網(wǎng)關(guān)發(fā)來的應(yīng)答包，就能完全杜絕其他計算機(jī)對自己ARP緩存的欺騙。

三、ARP病毒防范策略

為了防范ARP病毒攻擊，除了需做雙向的綁定外，應(yīng)時刻關(guān)注ARP病毒方面的有關(guān)報道，加強防范措施，保障圖書館電子閱覽室等公共機(jī)房的網(wǎng)絡(luò)暢通，使讀者有一個良好的上網(wǎng)環(huán)境。

1.網(wǎng)絡(luò)管理防范策略

（1）建立抽查制度,管理員定期抽查客戶機(jī)ARP緩存。清空ARP緩存：很多人曾經(jīng)使用ARP的指令法解決過ARP欺騙問題，該方法是針對ARP欺騙原理進(jìn)行解決的。一般來說ARP欺騙都是通過發(fā)送虛假的MAC地址與IP地址的對應(yīng)ARP數(shù)據(jù)包來迷惑網(wǎng)絡(luò)設(shè)備，用虛假的或錯誤的MAC地址與IP地址對應(yīng)關(guān)系取代正確的對應(yīng)關(guān)系。若是一些初級的ARP欺騙，可以通過ARP的指令來清空本機(jī)的ARP緩存對應(yīng)關(guān)系，讓網(wǎng)絡(luò)設(shè)備從網(wǎng)絡(luò)中重新獲得正確的對應(yīng)關(guān)系，具體解決過程如下：

第一步：通過點擊桌面上任務(wù)欄的“開始”-＞“運行”，然后輸入cmd后回車，進(jìn)入cmd（黑色背景）命令行模式；

第二步：在命令行模式下輸入arp-a命令來查看當(dāng)前本機(jī)儲存在本地系統(tǒng)ARP緩存中IP和MAC對應(yīng)關(guān)系的信息；

第三步：使用arp-d命令，將儲存在本機(jī)系統(tǒng)中的ARP緩存信息清空，這樣錯誤的ARP緩存信息就被刪除了，本機(jī)將重新從網(wǎng)絡(luò)中獲得正確的ARP信息，達(dá)到局域網(wǎng)機(jī)器間互訪和正常上網(wǎng)的目的。如果是遇到使用ARP欺騙工具來進(jìn)行攻擊的情況，使用上述的方法完全可以解決。但如果是感染ARP欺騙病毒，病毒每隔一段時間自動發(fā)送ARP欺騙數(shù)據(jù)包，這時使用清空ARP緩存的方法將無能為力了。

（2）強制指定ARP對應(yīng)關(guān)系。下面介紹另一種解決感染ARP欺騙病毒的方法：在網(wǎng)關(guān)、服務(wù)器上做好客戶機(jī)的IP與MAC地址綁定。由于絕大部分ARP欺騙病毒都是針對網(wǎng)關(guān)MAC地址進(jìn)行攻擊的，使本機(jī)上ARP緩存中存儲的網(wǎng)關(guān)設(shè)備的信息出現(xiàn)紊亂，這樣當(dāng)機(jī)器要上網(wǎng)發(fā)送數(shù)據(jù)包給網(wǎng)關(guān)時就會因為地址錯誤而失敗，造成計算機(jī)無法上網(wǎng)。

第一步：我們假設(shè)網(wǎng)關(guān)地址的MAC信息為50-78-4c-68-d0-a5，對應(yīng)的IP地址為192.168.3.4。指定ARP對應(yīng)關(guān)系就是指這些地址。在感染了病毒的機(jī)器上，點擊桌面上任務(wù)欄的“開始”-＞“運行”，輸入cmd后回車，進(jìn)入cmd命令行模式；

第二步：使用arp-s命令來添加一條ARP地址對應(yīng)關(guān)系，例如arp-s192.168.3.450-78-4c-68-d0-a5命令。這樣就將網(wǎng)關(guān)地址的IP與正確的MAC地址綁定好了，本機(jī)網(wǎng)絡(luò)連接將恢復(fù)正常；

第三步：因為每次重新啟動計算機(jī)的時候，ARP緩存信息都會被全部清除。所以我們應(yīng)該把這個ARP靜態(tài)地址添加指令寫到一個批處理文件（例如：bat）中，然后將這個文件放到系統(tǒng)的啟動項中。當(dāng)程序隨系統(tǒng)的啟動而加載時，就可以免除ARP靜態(tài)映射信息丟失的困擾了。

（3）添加路由信息應(yīng)對ARP欺騙。一般的ARP欺騙都是針對網(wǎng)關(guān)的，那么我們是否可以通過給本機(jī)添加路由來解決此問題呢？只要添加了路由，上網(wǎng)時都通過路由出去即可，自然也不會被ARP欺騙數(shù)據(jù)包干擾。

第一步：通過點擊桌面上任務(wù)欄的“開始”-＞“運行”，然后輸入cmd后回車，進(jìn)入cmd（黑色背景）命令行模式；

第二步：手動添加路由，詳細(xì)的命令如下：刪除默認(rèn)的路由:route delete0.0.0.0；添加路由：route add-p0.0.0.0 mask0.0.0.0192.168.3.1 metric1；確認(rèn)修改：route change。

此方法對網(wǎng)關(guān)固定的情況比較適合，如果將來更改了網(wǎng)關(guān)，則需要更改所有客戶端的路由配置。

（4）安裝殺毒軟件：定期檢查局域網(wǎng)病毒和惡意軟件，安裝殺毒軟件（如諾頓、金山、瑞星等）和360安全衛(wèi)士及360安全衛(wèi)士ARP防火墻，及時更新殺毒軟件病毒庫，定期對公共機(jī)房電腦進(jìn)行查毒、殺毒，對機(jī)器進(jìn)行病毒掃描并給系統(tǒng)安裝補丁程序。安裝監(jiān)控軟件對機(jī)房網(wǎng)絡(luò)進(jìn)行監(jiān)控，對流量異常的機(jī)器，立即斷網(wǎng)并查毒，及時對殺毒軟件進(jìn)行升級，另外建議有條件的高?？梢允褂镁W(wǎng)絡(luò)版的防病毒軟件。

（5）使用ARP類專殺工具查殺：下載并安裝ARP病毒攻擊免疫補丁、木馬病毒查殺軟件“木馬殺客”和防止ARP地址欺騙軟件ANTIARP。

2.客戶端防范策略

（1）為客戶端綁定正確的網(wǎng)關(guān)MAC地址?？梢酝ㄟ^自建批處理文件的辦法為客戶機(jī)綁定靜態(tài)IP。也可以為每臺客戶機(jī)安裝ARP防火墻，保證輸入正確的網(wǎng)關(guān)MAC地址,同時將軟件設(shè)置為開機(jī)自動運行。

（2）做好系統(tǒng)補丁的升級工作。可建立專門的補丁升級服務(wù)器,為客戶機(jī)自動定時升級最新版的系統(tǒng)補丁。

（3）安裝殺毒軟件并定期更新病毒庫。殺毒軟件是機(jī)房客戶機(jī)必備的軟件之一,病毒庫的及時升級也是防范病毒的一個重要環(huán)節(jié)。

（4）做好系統(tǒng)和重要數(shù)據(jù)的備份,以便出現(xiàn)問題時能夠及時回復(fù),降低損失。

四、結(jié)束語

ARP病毒問題一直是困擾著高校公共機(jī)房管理者的一個難題。但其并不是無法解決的問題，通過建立完善的預(yù)防機(jī)制，統(tǒng)一的客戶機(jī)管理，能夠最大程度地減少ARP病毒發(fā)作的幾率。隨著網(wǎng)絡(luò)產(chǎn)品的不斷更新，新技術(shù)的出現(xiàn)，機(jī)房工作人員已經(jīng)可以從源頭上抑制ARP病毒的傳播，從而保障校園網(wǎng)正常、安全地運行。

[1]李金徽.高校公共機(jī)房ARP病毒防范策略[J].吉林師范大學(xué)學(xué)報,2009（2）:131-133.

[2]吳煜煌.校園網(wǎng)中ARP病毒欺騙的防御及措施[J].計算技術(shù)與信息發(fā)展,2009（3）:70.

[3]劉宇飛,樊力.淺析電子資源閱覽室Arp病毒防治方法[J].科技信息,2009（9）:765.

[4]楊凡.圖書館電子閱覽室ARP病毒的分析與防治[J].科技情報開發(fā)與經(jīng)濟(jì),2009（7）:7-9.

[5]王暤,熊華東.對ARP病毒的快速定位與防范[J].江西電力職業(yè)技術(shù)學(xué)院學(xué)報,2009（3）:65-67.

（編輯：楊馥紅）

B

1673-8454（2010）19-0033-02