于德海 于文靜 林 瑜

（中國人民解放軍海軍航空工程學(xué)院訓(xùn)練部教育技術(shù)中心 山東 煙臺 264001）

1 ARP病毒的主要癥狀

ARP病毒通過網(wǎng)絡(luò)中廣播虛假的ARP協(xié)議包來實(shí)現(xiàn)攻擊網(wǎng)絡(luò)的目的，我們稱這種現(xiàn)象為ARP欺騙。ARP欺騙分為兩種：一種是對路由器ARP表的欺騙。欺騙的原理是截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進(jìn)行，使真實(shí)的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址，造成正常PC無法收到信息，用戶無法通過路由器上網(wǎng)；另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。欺騙的原理是偽造網(wǎng)關(guān)，建立一個(gè)假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)送數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在終端用戶看來，就是上不了網(wǎng)，網(wǎng)絡(luò)掉線了。而且在重啟計(jì)算機(jī)或在MS-DOS窗口下運(yùn)行命令 ARP–d命令，又可以恢復(fù)上網(wǎng)了。凡是這種癥狀的基本上就是感染了ARP病毒[1]-[3]。

判斷是否是中了ARP病毒，最簡單的方法是利用“ARP–a”命令來查看，如果發(fā)現(xiàn)有兩個(gè)不同主機(jī)的 MAC地址一樣，或者直接 ping網(wǎng)關(guān)IP地址，然后用“ARP–a”查看，如果顯示的網(wǎng)關(guān)IP地址與原有網(wǎng)關(guān) IP地址不一樣，則證明是中了 ARP病毒。另外，還可以在“進(jìn)程”選項(xiàng)卡中查看是否含有一個(gè)名為“MIR0.dat”的進(jìn)程。如果有，則說明已經(jīng)中毒。在其上單擊鼠標(biāo)右鍵，在彈出菜單中選擇【結(jié)束進(jìn)程】命令來中止ARP病毒進(jìn)程。

2 個(gè)人ARP病毒的防范措施

關(guān)閉Windows自動(dòng)播放功能對防范ARP病毒攻擊十分必要和重要。

2.1 使用組策略編輯器

點(diǎn)擊開始→運(yùn)行→輸入gpedit.msc，打開組策略編輯器，瀏覽到計(jì)算機(jī)配置→管理模板→系統(tǒng)，在右邊窗格中雙擊“關(guān)閉自動(dòng)播放”，對話框中選擇所有驅(qū)動(dòng)器，確定即可。

2.2 使用金山毒霸提供的禁止自動(dòng)播放功能

啟動(dòng)毒霸主程序，工具菜單下找到綜合設(shè)置，在其它設(shè)置中選中禁止U盤和硬盤的自動(dòng)播放功能。（圖2）

3 網(wǎng)管人員根治ARP病毒的方法

3.1 基于交換機(jī)的防御

圖2 金山毒霸禁止自動(dòng)播放

清除ARP病毒的根本方法就是對交換機(jī)進(jìn)行ARP配置，由于任何ARP包,都必須經(jīng)由交換機(jī)轉(zhuǎn)發(fā),才能到達(dá)被攻擊目標(biāo)，只要交換機(jī)拒收非法的ARP包,那么ARP攻擊就不能造成任何影響，一般交換機(jī)都具備防ARP功能。

（1）在交換機(jī)上做端口、I P與MAC地址綁定

感染ARP病毒的計(jì)算機(jī)會將該機(jī)器的MAC地址映射到網(wǎng)關(guān)的 IP地址上,并且向網(wǎng)段內(nèi)的所有計(jì)算機(jī)發(fā)出大量的ARP欺騙包。因此會使很多計(jì)算機(jī)誤以為染毒計(jì)算機(jī)就是網(wǎng)關(guān),所以會造成大量計(jì)算機(jī)訪問Internet時(shí)中斷。有條件的話,可以在三層交換機(jī)上將所連接的計(jì)算機(jī)做I P與MAC地址的綁定以達(dá)到ARP病毒防御的目的。

下面以 H3C交換機(jī)為例,在交換機(jī)的 E thernet1/0/6口上綁定 I P地址為 192.168.1.2,MAC地址為00-17-31-33-58-a4。

[SwitchA]interface E t hernet1/0/6

[SwitchA-Ethernet1/0/6]ip source static binding ipaddress 192.168.1.2 mac-address 00-17-31-33-58-a4

[SwitchA-Ethernet1/0/6]quit

采用上面的方法配置好所有計(jì)算機(jī)。

（2）在交換機(jī)上劃分VLAN減小沖突域

通過交換機(jī)上的 VLAN劃分可以減小沖突域達(dá)到縮減ARP廣播區(qū)域的目的。劃分H3C交換機(jī)端口Ethernet1/0/1到 VLAN5,端口 Ethernet1/0/2到 VLAN10。

[SwitchA]vlan 5

[SwitchA-vlan5]port Ethernet 1/0/1

[SwitchA]vlan 10

[SwitchA-vlan10]port Ethernet 1/0/2

（3）通過訪問控制列表 ACL防御 ARP欺騙

對于大多數(shù)三層交換機(jī),可通過配置過濾源 I P是網(wǎng)關(guān)的ARP報(bào)文的ACL規(guī)則來做到防御。ACL規(guī)則如下:

[SwitchA]fire wall enable

[SwitchA]acl number 5000

[SwitchA-acl-adv-5000]rule 0 deny 0806 ffff 2464010101 ffffffff 40

[SwitchA-acl-adv-5000]rule 1 permit 0806 ffff 24000fe9a08000 ffffffffffff 34

rule0禁止switchA的所有端口接收冒充網(wǎng)關(guān)的ARP報(bào)文,其中 64010101是網(wǎng)關(guān) I P地址 100.1.1.1的16進(jìn)制表示形式。

rule1允許通過網(wǎng)關(guān)發(fā)送的 ARP報(bào)文,000fe9a08000網(wǎng)關(guān)的mac地址。

注意：配置Rule時(shí)的配置順序，上述配置為先下發(fā)后生效的情況。

[Switch]packet-filter user-group5000（下發(fā) ACL5000的規(guī)則。）

這樣只有switchA上連網(wǎng)關(guān)設(shè)備才能夠發(fā)送網(wǎng)關(guān)的ARP報(bào)文，其它主機(jī)都不能發(fā)送假冒網(wǎng)關(guān)的ARP相應(yīng)報(bào)文。

3.2 基于服務(wù)器與客戶端的防御

在服務(wù)器與客戶端上安裝 ARP防火墻來阻止ARP欺騙,但是ARP防火墻要在全網(wǎng)每臺主機(jī)上安裝,要不然起不到很好的效果。ARP防火墻有很多,有安全 360ARP防火墻、彩影ARP防火墻、金山ARP防火墻等。

3.3 發(fā)現(xiàn)染毒計(jì)算機(jī)與病毒清除

（1）染毒計(jì)算機(jī)的定位

A.主動(dòng)定位方式

所有的 ARP攻擊源的網(wǎng)卡會處于混雜模式(promiscuous)可以通過 ARPKiller工具掃描網(wǎng)內(nèi)有哪臺機(jī)器的網(wǎng)卡是處于混雜模式的,從而判斷這臺機(jī)器有可能就是元兇。

B.被動(dòng)定位方式

在局域網(wǎng)發(fā)生 ARP攻擊時(shí),查看三層交換機(jī)的動(dòng)態(tài)ARP表中的內(nèi)容,確定攻擊源的MAC地址;也可以在局域網(wǎng)中部署 Sniffer工具,定位 ARP攻擊源的 MAC。在網(wǎng)絡(luò)不正常的時(shí)候,也可以直接 Ping網(wǎng)關(guān) IP,完成 Ping后,用 ARP-a查看網(wǎng)關(guān) IP對應(yīng)的 MAC地址,此 MAC地址應(yīng)該為欺騙的MAC地址。

（2）ARP 病毒的清除

首先，斷開染毒主機(jī)與網(wǎng)絡(luò)的連接,運(yùn)行 msconfig命令,在“服務(wù)”欄目下停掉可疑啟動(dòng)項(xiàng),在“啟動(dòng)”欄目下停掉可疑啟動(dòng)項(xiàng)，并記下文件路徑,在正常模式下,病毒文件一般刪除不了,或者刪除后,又馬上產(chǎn)生,應(yīng)切換到安全模式下進(jìn)行。病毒文件一般存放在 c:wi ndows或c:windowssystem32下,進(jìn)入安全模式后,打開以上文件夾,點(diǎn)擊菜單欄“查看”-“詳細(xì)信息”,然后，按“修改日期”排序,查找最近日期的可執(zhí)行文件及相關(guān)的DLL文件,對可疑文件進(jìn)行刪除。病毒文件一般將自己設(shè)為“隱藏”屬性,應(yīng)點(diǎn)擊菜單欄“工具”-“文件選項(xiàng)#”,打開“顯示所有文件和文件夾”選項(xiàng)。完成以上操作后,全盤殺毒,重啟主機(jī),確認(rèn)病毒完全處理完畢,才可以恢復(fù)網(wǎng)絡(luò)連接。

通過對ARP病毒原理和癥狀的分析，本文提出了個(gè)人防范ARP病毒的一些有效措施，針對局域網(wǎng)中的ARP病毒特點(diǎn)，研究了根治ARP病毒的方法。病毒的變異和入侵是千變?nèi)f化的，要想有效的防范網(wǎng)絡(luò)病毒，還有許多工作需要研究。

［1］范建華.TCP/IP詳解[M].北京：機(jī)械工業(yè)出版社，2003.

［2］寇曉蕤.網(wǎng)絡(luò)協(xié)議分析[M].北京：機(jī)械工業(yè)出版社，2009.

［3］李利軍.2008網(wǎng)管員必讀[M].北京：電子影像出版社，2008.

［4］胡冬嚴(yán).ARP病毒的攻擊原理和防護(hù) [J].吉林省教育學(xué)院學(xué)報(bào)，2011，26(5)：217-218.

［5］胡建龍，孫驀，張帆.校園網(wǎng)ARP病毒攻擊原理與防御[J].情報(bào)雜志，2009，28:155-156.

［6］段煜暉.局域網(wǎng)內(nèi)ARP病毒的綜合防治[J].河南機(jī)電高等專科學(xué)校學(xué)報(bào)，2010，18(4):39-40.