單廣翠　陳瑾

摘 要：隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，局域網(wǎng)安全問(wèn)題越來(lái)越受到人們的重視和關(guān)注，局域網(wǎng)內(nèi)病毒的傳播嚴(yán)重影響著網(wǎng)絡(luò)信息的安全性，其中最具代表性的病毒就是ARP病毒。由于ARP病毒在局域網(wǎng)內(nèi)的傳播及對(duì)其他計(jì)算機(jī)的攻擊性，為了確保信息的安全與暢通，ARP病毒的預(yù)防及清除工作已經(jīng)成為了網(wǎng)絡(luò)安全中的重要事情。

關(guān)鍵詞：局域網(wǎng)；網(wǎng)絡(luò)安全；ARP；防范

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A

1 引言（Introduction）

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，互聯(lián)網(wǎng)已經(jīng)深入到了我們工作、生活的各個(gè)領(lǐng)域。無(wú)論是工作單位還是家庭，都不止一臺(tái)計(jì)算機(jī)，因此我們都是在小型、中型局域網(wǎng)內(nèi)使用計(jì)算機(jī)。局域網(wǎng)的安全嚴(yán)重影響著計(jì)算機(jī)的使用，對(duì)局域網(wǎng)安全威脅最大的是局域網(wǎng)病毒。一旦病毒發(fā)作并在局域網(wǎng)內(nèi)傳播，輕則影響數(shù)臺(tái)計(jì)算機(jī)的使用，嚴(yán)重的可使整個(gè)局域網(wǎng)陷入癱瘓狀態(tài)。這種病毒的典型代表就是ARP病毒。

ARP病毒并不是一種病毒的名稱，而是針對(duì)利用ARP協(xié)議的漏洞進(jìn)行傳播的一類病毒的總稱，簡(jiǎn)稱為ARP病毒。這是一種入侵電腦的木馬病毒，對(duì)電腦用戶的私密信息威脅很大。

2 ARP協(xié)議（Address resolution protocol）

ARP是地址解析協(xié)議，是一種將電腦的IP地址轉(zhuǎn)化成物理地址的協(xié)議[1]。具體來(lái)說(shuō)就是將網(wǎng)絡(luò)層（IP層）地址解析成為數(shù)據(jù)連接層（MAC層）的MAC地址。

3 ARP的工作原理（Working principle of ARP）

如果兩臺(tái)主機(jī)在同一網(wǎng)段內(nèi)，如主機(jī)A要與主機(jī)B進(jìn)行信息交換。檢查ARP緩存表中是否有主機(jī)B對(duì)應(yīng)的MAC地址，如果有則直接建立通信；如果沒(méi)有對(duì)應(yīng)的MAC地址則需要向局域網(wǎng)內(nèi)的所有主機(jī)發(fā)送ARP請(qǐng)求，該請(qǐng)求包含主機(jī)A的IP地址、MAC地址，主機(jī)B的IP地址，局域網(wǎng)內(nèi)的所有主機(jī)都會(huì)收到此請(qǐng)求，但只有主機(jī)B的IP地址與請(qǐng)求中攜帶的IP地址相同，主機(jī)B收到后，回復(fù)主機(jī)A，該回復(fù)包含主機(jī)A、B的IP地址、MAC地址，主機(jī)A收到回復(fù)后，更新自己的ARP緩存表，與主機(jī)B建立通信。

如果兩臺(tái)主機(jī)不在同一網(wǎng)段內(nèi)，則需要通過(guò)主機(jī)所在的網(wǎng)關(guān)建立通信。如主機(jī)A要與主機(jī)C進(jìn)行信息交換。主機(jī)A檢查ARP緩存表里是否有本地網(wǎng)關(guān)的MAC地址，如果沒(méi)有需要通過(guò)上述方法獲得MAC地址，然后與網(wǎng)關(guān)1建立通信連接。網(wǎng)關(guān)1與網(wǎng)關(guān)2是通過(guò)網(wǎng)絡(luò)中的路由器進(jìn)行信息傳遞的，網(wǎng)關(guān)2收到后，查看信息包的接受者，即主機(jī)C，同樣的原理獲取主機(jī)C的MAC地址并建立通信，將信息包發(fā)送給主機(jī)C。

4 ARP病毒的欺騙原理（Spoofing principle of ARP viruses）

主機(jī)間的數(shù)據(jù)傳輸依靠的是MAC地址，IP地址與MAC地址間的對(duì)應(yīng)關(guān)系存放在ARP緩存表中，正常情況下緩存表能夠保證數(shù)據(jù)傳輸?shù)挠行訹2]。但ARP緩存表在實(shí)現(xiàn)機(jī)制上存在漏洞，一臺(tái)主機(jī)不論自己是否發(fā)送過(guò)相應(yīng)的請(qǐng)求，只要收到ARP應(yīng)答，就會(huì)直接更新自己的ARP緩存表，將收到的MAC地址與IP地址建立對(duì)應(yīng)關(guān)系。這就使得兩臺(tái)主機(jī)的通信內(nèi)容可以被其他主機(jī)獲取。

例如主機(jī)A、C進(jìn)行通信，主機(jī)B作為第三方可以截獲他們的通信內(nèi)容。主機(jī)B向主機(jī)A發(fā)送ARP應(yīng)答，將網(wǎng)關(guān)1的MAC地址變成主機(jī)B的MAC地址，主機(jī)A收到后直接將ARP緩存表中的網(wǎng)關(guān)1的MAC地址替換成03-03-03-03-03-03。同樣的道理主機(jī)B代替主機(jī)A與網(wǎng)關(guān)1建立通信，使網(wǎng)關(guān)1將ARP緩存表中主機(jī)A的MAC地址替換成03-03-03-03-03-03。這時(shí)主機(jī)A要與主機(jī)C通信，發(fā)送給網(wǎng)關(guān)1的數(shù)據(jù)包會(huì)直接發(fā)送給主機(jī)B，主機(jī)B將數(shù)據(jù)包截獲后再發(fā)送給網(wǎng)關(guān)1，同樣當(dāng)主機(jī)C發(fā)送的數(shù)據(jù)包到達(dá)網(wǎng)關(guān)1后，網(wǎng)關(guān)1會(huì)將數(shù)據(jù)包發(fā)送給主機(jī)B，主機(jī)B再轉(zhuǎn)發(fā)給主機(jī)A完成通信過(guò)程。作為欺騙者主機(jī)B在主機(jī)A與網(wǎng)關(guān)1的通信過(guò)程中承擔(dān)了數(shù)據(jù)中轉(zhuǎn)的任務(wù)，實(shí)現(xiàn)了ARP欺騙攻擊。

5 ARP病毒的癥狀（Symptom of ARP viruses）

計(jì)算機(jī)感染ARP病毒后網(wǎng)絡(luò)連接正常，能PING通局域網(wǎng)內(nèi)其他主機(jī)但無(wú)法PING通網(wǎng)關(guān)、無(wú)法打開(kāi)網(wǎng)頁(yè)；由于ARP欺騙的木馬程序發(fā)作時(shí)發(fā)出了大量的數(shù)據(jù)包，導(dǎo)致網(wǎng)絡(luò)運(yùn)行不穩(wěn)定，頻繁斷網(wǎng)、IE瀏覽器出錯(cuò)以及常用軟件出現(xiàn)故障等問(wèn)題[3]。

6 ARP病毒的清除（Removal of ARP viruses）

當(dāng)計(jì)算機(jī)出現(xiàn)上述癥狀時(shí)可判斷感染了ARP病毒，此時(shí)應(yīng)手動(dòng)切斷網(wǎng)絡(luò)鏈接，以免病毒利用局域網(wǎng)攻擊其他計(jì)算機(jī)，影響網(wǎng)絡(luò)運(yùn)行，在DOS模式下用ARP專用殺毒軟件進(jìn)行殺毒。

點(diǎn)擊開(kāi)始→運(yùn)行，輸入cmd，打開(kāi)命令控制臺(tái)窗口。如果計(jì)算機(jī)還能上網(wǎng)，手動(dòng)切斷網(wǎng)絡(luò)鏈接，命令控制臺(tái)窗口中輸入arp-a，查看本地網(wǎng)關(guān)的IP地址、MAC地址。如果計(jì)算機(jī)不能上網(wǎng)，命令控制臺(tái)窗口中輸入arp-d，將本機(jī)arp緩存表清空，使計(jì)算機(jī)暫時(shí)恢復(fù)上網(wǎng)功能，再切斷網(wǎng)絡(luò)鏈接，再運(yùn)行arp-a，查看網(wǎng)關(guān)的IP地址、MAC地址。

命令控制臺(tái)窗口中輸入arp-s，手動(dòng)將網(wǎng)關(guān)的IP地址和MAC地址綁定，使計(jì)算機(jī)不受病毒影響，計(jì)算機(jī)重啟后需再次綁定。將命令放在autoexec.bat中，每次開(kāi)機(jī)自動(dòng)運(yùn)行，無(wú)需手動(dòng)操作。

7 結(jié)論（Conclusion）

局域網(wǎng)的安全性是人們使用網(wǎng)絡(luò)正常工作的前提，我們應(yīng)正視網(wǎng)絡(luò)中的潛在威脅，了解他們的工作原理，從技術(shù)層面上找到相應(yīng)的解決方案[4]。在實(shí)際工作中不斷的總結(jié)經(jīng)驗(yàn)，尋找規(guī)律，將各類威脅、病毒阻擋在局域網(wǎng)之外，確保網(wǎng)絡(luò)的安全與暢通。

參考文獻(xiàn)（References）

[1] 王秀和，楊明.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)淺析[J].中國(guó)教育技術(shù)設(shè)備，2007，7（5）：104-106.

[2] 王杰.計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐[J].中國(guó)教育技術(shù)設(shè)備，2008，12（5）：331-335.

[3] 楊永強(qiáng)，辛淑霞.常用網(wǎng)絡(luò)安全防范措施[J].科技資訊，2008，15（8）：267.

[4] 肖會(huì).局域網(wǎng)的安全與病毒防治[J].科技致富向?qū)В?009，3（4）：119-204.

作者簡(jiǎn)介：

單廣翠（1983-），女，碩士，講師.研究領(lǐng)域：網(wǎng)絡(luò)管理、計(jì)算機(jī)教學(xué).endprint

摘 要：隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，局域網(wǎng)安全問(wèn)題越來(lái)越受到人們的重視和關(guān)注，局域網(wǎng)內(nèi)病毒的傳播嚴(yán)重影響著網(wǎng)絡(luò)信息的安全性，其中最具代表性的病毒就是ARP病毒。由于ARP病毒在局域網(wǎng)內(nèi)的傳播及對(duì)其他計(jì)算機(jī)的攻擊性，為了確保信息的安全與暢通，ARP病毒的預(yù)防及清除工作已經(jīng)成為了網(wǎng)絡(luò)安全中的重要事情。

關(guān)鍵詞：局域網(wǎng)；網(wǎng)絡(luò)安全；ARP；防范

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A

1 引言（Introduction）

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，互聯(lián)網(wǎng)已經(jīng)深入到了我們工作、生活的各個(gè)領(lǐng)域。無(wú)論是工作單位還是家庭，都不止一臺(tái)計(jì)算機(jī)，因此我們都是在小型、中型局域網(wǎng)內(nèi)使用計(jì)算機(jī)。局域網(wǎng)的安全嚴(yán)重影響著計(jì)算機(jī)的使用，對(duì)局域網(wǎng)安全威脅最大的是局域網(wǎng)病毒。一旦病毒發(fā)作并在局域網(wǎng)內(nèi)傳播，輕則影響數(shù)臺(tái)計(jì)算機(jī)的使用，嚴(yán)重的可使整個(gè)局域網(wǎng)陷入癱瘓狀態(tài)。這種病毒的典型代表就是ARP病毒。

ARP病毒并不是一種病毒的名稱，而是針對(duì)利用ARP協(xié)議的漏洞進(jìn)行傳播的一類病毒的總稱，簡(jiǎn)稱為ARP病毒。這是一種入侵電腦的木馬病毒，對(duì)電腦用戶的私密信息威脅很大。

2 ARP協(xié)議（Address resolution protocol）

ARP是地址解析協(xié)議，是一種將電腦的IP地址轉(zhuǎn)化成物理地址的協(xié)議[1]。具體來(lái)說(shuō)就是將網(wǎng)絡(luò)層（IP層）地址解析成為數(shù)據(jù)連接層（MAC層）的MAC地址。

3 ARP的工作原理（Working principle of ARP）

如果兩臺(tái)主機(jī)在同一網(wǎng)段內(nèi)，如主機(jī)A要與主機(jī)B進(jìn)行信息交換。檢查ARP緩存表中是否有主機(jī)B對(duì)應(yīng)的MAC地址，如果有則直接建立通信；如果沒(méi)有對(duì)應(yīng)的MAC地址則需要向局域網(wǎng)內(nèi)的所有主機(jī)發(fā)送ARP請(qǐng)求，該請(qǐng)求包含主機(jī)A的IP地址、MAC地址，主機(jī)B的IP地址，局域網(wǎng)內(nèi)的所有主機(jī)都會(huì)收到此請(qǐng)求，但只有主機(jī)B的IP地址與請(qǐng)求中攜帶的IP地址相同，主機(jī)B收到后，回復(fù)主機(jī)A，該回復(fù)包含主機(jī)A、B的IP地址、MAC地址，主機(jī)A收到回復(fù)后，更新自己的ARP緩存表，與主機(jī)B建立通信。

如果兩臺(tái)主機(jī)不在同一網(wǎng)段內(nèi)，則需要通過(guò)主機(jī)所在的網(wǎng)關(guān)建立通信。如主機(jī)A要與主機(jī)C進(jìn)行信息交換。主機(jī)A檢查ARP緩存表里是否有本地網(wǎng)關(guān)的MAC地址，如果沒(méi)有需要通過(guò)上述方法獲得MAC地址，然后與網(wǎng)關(guān)1建立通信連接。網(wǎng)關(guān)1與網(wǎng)關(guān)2是通過(guò)網(wǎng)絡(luò)中的路由器進(jìn)行信息傳遞的，網(wǎng)關(guān)2收到后，查看信息包的接受者，即主機(jī)C，同樣的原理獲取主機(jī)C的MAC地址并建立通信，將信息包發(fā)送給主機(jī)C。

4 ARP病毒的欺騙原理（Spoofing principle of ARP viruses）

主機(jī)間的數(shù)據(jù)傳輸依靠的是MAC地址，IP地址與MAC地址間的對(duì)應(yīng)關(guān)系存放在ARP緩存表中，正常情況下緩存表能夠保證數(shù)據(jù)傳輸?shù)挠行訹2]。但ARP緩存表在實(shí)現(xiàn)機(jī)制上存在漏洞，一臺(tái)主機(jī)不論自己是否發(fā)送過(guò)相應(yīng)的請(qǐng)求，只要收到ARP應(yīng)答，就會(huì)直接更新自己的ARP緩存表，將收到的MAC地址與IP地址建立對(duì)應(yīng)關(guān)系。這就使得兩臺(tái)主機(jī)的通信內(nèi)容可以被其他主機(jī)獲取。

例如主機(jī)A、C進(jìn)行通信，主機(jī)B作為第三方可以截獲他們的通信內(nèi)容。主機(jī)B向主機(jī)A發(fā)送ARP應(yīng)答，將網(wǎng)關(guān)1的MAC地址變成主機(jī)B的MAC地址，主機(jī)A收到后直接將ARP緩存表中的網(wǎng)關(guān)1的MAC地址替換成03-03-03-03-03-03。同樣的道理主機(jī)B代替主機(jī)A與網(wǎng)關(guān)1建立通信，使網(wǎng)關(guān)1將ARP緩存表中主機(jī)A的MAC地址替換成03-03-03-03-03-03。這時(shí)主機(jī)A要與主機(jī)C通信，發(fā)送給網(wǎng)關(guān)1的數(shù)據(jù)包會(huì)直接發(fā)送給主機(jī)B，主機(jī)B將數(shù)據(jù)包截獲后再發(fā)送給網(wǎng)關(guān)1，同樣當(dāng)主機(jī)C發(fā)送的數(shù)據(jù)包到達(dá)網(wǎng)關(guān)1后，網(wǎng)關(guān)1會(huì)將數(shù)據(jù)包發(fā)送給主機(jī)B，主機(jī)B再轉(zhuǎn)發(fā)給主機(jī)A完成通信過(guò)程。作為欺騙者主機(jī)B在主機(jī)A與網(wǎng)關(guān)1的通信過(guò)程中承擔(dān)了數(shù)據(jù)中轉(zhuǎn)的任務(wù)，實(shí)現(xiàn)了ARP欺騙攻擊。

5 ARP病毒的癥狀（Symptom of ARP viruses）

計(jì)算機(jī)感染ARP病毒后網(wǎng)絡(luò)連接正常，能PING通局域網(wǎng)內(nèi)其他主機(jī)但無(wú)法PING通網(wǎng)關(guān)、無(wú)法打開(kāi)網(wǎng)頁(yè)；由于ARP欺騙的木馬程序發(fā)作時(shí)發(fā)出了大量的數(shù)據(jù)包，導(dǎo)致網(wǎng)絡(luò)運(yùn)行不穩(wěn)定，頻繁斷網(wǎng)、IE瀏覽器出錯(cuò)以及常用軟件出現(xiàn)故障等問(wèn)題[3]。

6 ARP病毒的清除（Removal of ARP viruses）

當(dāng)計(jì)算機(jī)出現(xiàn)上述癥狀時(shí)可判斷感染了ARP病毒，此時(shí)應(yīng)手動(dòng)切斷網(wǎng)絡(luò)鏈接，以免病毒利用局域網(wǎng)攻擊其他計(jì)算機(jī)，影響網(wǎng)絡(luò)運(yùn)行，在DOS模式下用ARP專用殺毒軟件進(jìn)行殺毒。

點(diǎn)擊開(kāi)始→運(yùn)行，輸入cmd，打開(kāi)命令控制臺(tái)窗口。如果計(jì)算機(jī)還能上網(wǎng)，手動(dòng)切斷網(wǎng)絡(luò)鏈接，命令控制臺(tái)窗口中輸入arp-a，查看本地網(wǎng)關(guān)的IP地址、MAC地址。如果計(jì)算機(jī)不能上網(wǎng)，命令控制臺(tái)窗口中輸入arp-d，將本機(jī)arp緩存表清空，使計(jì)算機(jī)暫時(shí)恢復(fù)上網(wǎng)功能，再切斷網(wǎng)絡(luò)鏈接，再運(yùn)行arp-a，查看網(wǎng)關(guān)的IP地址、MAC地址。

命令控制臺(tái)窗口中輸入arp-s，手動(dòng)將網(wǎng)關(guān)的IP地址和MAC地址綁定，使計(jì)算機(jī)不受病毒影響，計(jì)算機(jī)重啟后需再次綁定。將命令放在autoexec.bat中，每次開(kāi)機(jī)自動(dòng)運(yùn)行，無(wú)需手動(dòng)操作。

7 結(jié)論（Conclusion）

局域網(wǎng)的安全性是人們使用網(wǎng)絡(luò)正常工作的前提，我們應(yīng)正視網(wǎng)絡(luò)中的潛在威脅，了解他們的工作原理，從技術(shù)層面上找到相應(yīng)的解決方案[4]。在實(shí)際工作中不斷的總結(jié)經(jīng)驗(yàn)，尋找規(guī)律，將各類威脅、病毒阻擋在局域網(wǎng)之外，確保網(wǎng)絡(luò)的安全與暢通。

參考文獻(xiàn)（References）

[1] 王秀和，楊明.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)淺析[J].中國(guó)教育技術(shù)設(shè)備，2007，7（5）：104-106.

[2] 王杰.計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐[J].中國(guó)教育技術(shù)設(shè)備，2008，12（5）：331-335.

[3] 楊永強(qiáng)，辛淑霞.常用網(wǎng)絡(luò)安全防范措施[J].科技資訊，2008，15（8）：267.

[4] 肖會(huì).局域網(wǎng)的安全與病毒防治[J].科技致富向?qū)В?009，3（4）：119-204.

作者簡(jiǎn)介：

單廣翠（1983-），女，碩士，講師.研究領(lǐng)域：網(wǎng)絡(luò)管理、計(jì)算機(jī)教學(xué).endprint

摘 要：隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，局域網(wǎng)安全問(wèn)題越來(lái)越受到人們的重視和關(guān)注，局域網(wǎng)內(nèi)病毒的傳播嚴(yán)重影響著網(wǎng)絡(luò)信息的安全性，其中最具代表性的病毒就是ARP病毒。由于ARP病毒在局域網(wǎng)內(nèi)的傳播及對(duì)其他計(jì)算機(jī)的攻擊性，為了確保信息的安全與暢通，ARP病毒的預(yù)防及清除工作已經(jīng)成為了網(wǎng)絡(luò)安全中的重要事情。

關(guān)鍵詞：局域網(wǎng)；網(wǎng)絡(luò)安全；ARP；防范

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A

1 引言（Introduction）

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，互聯(lián)網(wǎng)已經(jīng)深入到了我們工作、生活的各個(gè)領(lǐng)域。無(wú)論是工作單位還是家庭，都不止一臺(tái)計(jì)算機(jī)，因此我們都是在小型、中型局域網(wǎng)內(nèi)使用計(jì)算機(jī)。局域網(wǎng)的安全嚴(yán)重影響著計(jì)算機(jī)的使用，對(duì)局域網(wǎng)安全威脅最大的是局域網(wǎng)病毒。一旦病毒發(fā)作并在局域網(wǎng)內(nèi)傳播，輕則影響數(shù)臺(tái)計(jì)算機(jī)的使用，嚴(yán)重的可使整個(gè)局域網(wǎng)陷入癱瘓狀態(tài)。這種病毒的典型代表就是ARP病毒。

ARP病毒并不是一種病毒的名稱，而是針對(duì)利用ARP協(xié)議的漏洞進(jìn)行傳播的一類病毒的總稱，簡(jiǎn)稱為ARP病毒。這是一種入侵電腦的木馬病毒，對(duì)電腦用戶的私密信息威脅很大。

2 ARP協(xié)議（Address resolution protocol）

ARP是地址解析協(xié)議，是一種將電腦的IP地址轉(zhuǎn)化成物理地址的協(xié)議[1]。具體來(lái)說(shuō)就是將網(wǎng)絡(luò)層（IP層）地址解析成為數(shù)據(jù)連接層（MAC層）的MAC地址。

3 ARP的工作原理（Working principle of ARP）

如果兩臺(tái)主機(jī)在同一網(wǎng)段內(nèi)，如主機(jī)A要與主機(jī)B進(jìn)行信息交換。檢查ARP緩存表中是否有主機(jī)B對(duì)應(yīng)的MAC地址，如果有則直接建立通信；如果沒(méi)有對(duì)應(yīng)的MAC地址則需要向局域網(wǎng)內(nèi)的所有主機(jī)發(fā)送ARP請(qǐng)求，該請(qǐng)求包含主機(jī)A的IP地址、MAC地址，主機(jī)B的IP地址，局域網(wǎng)內(nèi)的所有主機(jī)都會(huì)收到此請(qǐng)求，但只有主機(jī)B的IP地址與請(qǐng)求中攜帶的IP地址相同，主機(jī)B收到后，回復(fù)主機(jī)A，該回復(fù)包含主機(jī)A、B的IP地址、MAC地址，主機(jī)A收到回復(fù)后，更新自己的ARP緩存表，與主機(jī)B建立通信。

如果兩臺(tái)主機(jī)不在同一網(wǎng)段內(nèi)，則需要通過(guò)主機(jī)所在的網(wǎng)關(guān)建立通信。如主機(jī)A要與主機(jī)C進(jìn)行信息交換。主機(jī)A檢查ARP緩存表里是否有本地網(wǎng)關(guān)的MAC地址，如果沒(méi)有需要通過(guò)上述方法獲得MAC地址，然后與網(wǎng)關(guān)1建立通信連接。網(wǎng)關(guān)1與網(wǎng)關(guān)2是通過(guò)網(wǎng)絡(luò)中的路由器進(jìn)行信息傳遞的，網(wǎng)關(guān)2收到后，查看信息包的接受者，即主機(jī)C，同樣的原理獲取主機(jī)C的MAC地址并建立通信，將信息包發(fā)送給主機(jī)C。

4 ARP病毒的欺騙原理（Spoofing principle of ARP viruses）

主機(jī)間的數(shù)據(jù)傳輸依靠的是MAC地址，IP地址與MAC地址間的對(duì)應(yīng)關(guān)系存放在ARP緩存表中，正常情況下緩存表能夠保證數(shù)據(jù)傳輸?shù)挠行訹2]。但ARP緩存表在實(shí)現(xiàn)機(jī)制上存在漏洞，一臺(tái)主機(jī)不論自己是否發(fā)送過(guò)相應(yīng)的請(qǐng)求，只要收到ARP應(yīng)答，就會(huì)直接更新自己的ARP緩存表，將收到的MAC地址與IP地址建立對(duì)應(yīng)關(guān)系。這就使得兩臺(tái)主機(jī)的通信內(nèi)容可以被其他主機(jī)獲取。

例如主機(jī)A、C進(jìn)行通信，主機(jī)B作為第三方可以截獲他們的通信內(nèi)容。主機(jī)B向主機(jī)A發(fā)送ARP應(yīng)答，將網(wǎng)關(guān)1的MAC地址變成主機(jī)B的MAC地址，主機(jī)A收到后直接將ARP緩存表中的網(wǎng)關(guān)1的MAC地址替換成03-03-03-03-03-03。同樣的道理主機(jī)B代替主機(jī)A與網(wǎng)關(guān)1建立通信，使網(wǎng)關(guān)1將ARP緩存表中主機(jī)A的MAC地址替換成03-03-03-03-03-03。這時(shí)主機(jī)A要與主機(jī)C通信，發(fā)送給網(wǎng)關(guān)1的數(shù)據(jù)包會(huì)直接發(fā)送給主機(jī)B，主機(jī)B將數(shù)據(jù)包截獲后再發(fā)送給網(wǎng)關(guān)1，同樣當(dāng)主機(jī)C發(fā)送的數(shù)據(jù)包到達(dá)網(wǎng)關(guān)1后，網(wǎng)關(guān)1會(huì)將數(shù)據(jù)包發(fā)送給主機(jī)B，主機(jī)B再轉(zhuǎn)發(fā)給主機(jī)A完成通信過(guò)程。作為欺騙者主機(jī)B在主機(jī)A與網(wǎng)關(guān)1的通信過(guò)程中承擔(dān)了數(shù)據(jù)中轉(zhuǎn)的任務(wù)，實(shí)現(xiàn)了ARP欺騙攻擊。

5 ARP病毒的癥狀（Symptom of ARP viruses）

計(jì)算機(jī)感染ARP病毒后網(wǎng)絡(luò)連接正常，能PING通局域網(wǎng)內(nèi)其他主機(jī)但無(wú)法PING通網(wǎng)關(guān)、無(wú)法打開(kāi)網(wǎng)頁(yè)；由于ARP欺騙的木馬程序發(fā)作時(shí)發(fā)出了大量的數(shù)據(jù)包，導(dǎo)致網(wǎng)絡(luò)運(yùn)行不穩(wěn)定，頻繁斷網(wǎng)、IE瀏覽器出錯(cuò)以及常用軟件出現(xiàn)故障等問(wèn)題[3]。

6 ARP病毒的清除（Removal of ARP viruses）

當(dāng)計(jì)算機(jī)出現(xiàn)上述癥狀時(shí)可判斷感染了ARP病毒，此時(shí)應(yīng)手動(dòng)切斷網(wǎng)絡(luò)鏈接，以免病毒利用局域網(wǎng)攻擊其他計(jì)算機(jī)，影響網(wǎng)絡(luò)運(yùn)行，在DOS模式下用ARP專用殺毒軟件進(jìn)行殺毒。

點(diǎn)擊開(kāi)始→運(yùn)行，輸入cmd，打開(kāi)命令控制臺(tái)窗口。如果計(jì)算機(jī)還能上網(wǎng)，手動(dòng)切斷網(wǎng)絡(luò)鏈接，命令控制臺(tái)窗口中輸入arp-a，查看本地網(wǎng)關(guān)的IP地址、MAC地址。如果計(jì)算機(jī)不能上網(wǎng)，命令控制臺(tái)窗口中輸入arp-d，將本機(jī)arp緩存表清空，使計(jì)算機(jī)暫時(shí)恢復(fù)上網(wǎng)功能，再切斷網(wǎng)絡(luò)鏈接，再運(yùn)行arp-a，查看網(wǎng)關(guān)的IP地址、MAC地址。

命令控制臺(tái)窗口中輸入arp-s，手動(dòng)將網(wǎng)關(guān)的IP地址和MAC地址綁定，使計(jì)算機(jī)不受病毒影響，計(jì)算機(jī)重啟后需再次綁定。將命令放在autoexec.bat中，每次開(kāi)機(jī)自動(dòng)運(yùn)行，無(wú)需手動(dòng)操作。

7 結(jié)論（Conclusion）

局域網(wǎng)的安全性是人們使用網(wǎng)絡(luò)正常工作的前提，我們應(yīng)正視網(wǎng)絡(luò)中的潛在威脅，了解他們的工作原理，從技術(shù)層面上找到相應(yīng)的解決方案[4]。在實(shí)際工作中不斷的總結(jié)經(jīng)驗(yàn)，尋找規(guī)律，將各類威脅、病毒阻擋在局域網(wǎng)之外，確保網(wǎng)絡(luò)的安全與暢通。

參考文獻(xiàn)（References）

[1] 王秀和，楊明.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)淺析[J].中國(guó)教育技術(shù)設(shè)備，2007，7（5）：104-106.

[2] 王杰.計(jì)算機(jī)網(wǎng)絡(luò)安全的理論與實(shí)踐[J].中國(guó)教育技術(shù)設(shè)備，2008，12（5）：331-335.

[3] 楊永強(qiáng)，辛淑霞.常用網(wǎng)絡(luò)安全防范措施[J].科技資訊，2008，15（8）：267.

[4] 肖會(huì).局域網(wǎng)的安全與病毒防治[J].科技致富向?qū)В?009，3（4）：119-204.

作者簡(jiǎn)介：

單廣翠（1983-），女，碩士，講師.研究領(lǐng)域：網(wǎng)絡(luò)管理、計(jì)算機(jī)教學(xué).endprint