反ARP病毒技术研究

于德海 于文静 林 瑜

（中国人民解放军海军航空工程学院训练部教育技术中心 山东 烟台 264001）

1 ARP病毒的主要症状

ARP病毒通过网络中广播虚假的ARP协议包来实现攻击网络的目的，我们称这种现象为ARP欺骗。ARP欺骗分为两种：一种是对路由器ARP表的欺骗。欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息，用户无法通过路由器上网；另一种是对内网PC的网关欺骗。欺骗的原理是伪造网关，建立一个假网关，让被它欺骗的PC向假网关发送数据，而不是通过正常的路由器途径上网。在终端用户看来，就是上不了网，网络掉线了。而且在重启计算机或在MS-DOS窗口下运行命令 ARP–d命令，又可以恢复上网了。凡是这种症状的基本上就是感染了ARP病毒[1]-[3]。

判断是否是中了ARP病毒，最简单的方法是利用“ARP–a”命令来查看，如果发现有两个不同主机的 MAC地址一样，或者直接 ping网关IP地址，然后用“ARP–a”查看，如果显示的网关IP地址与原有网关 IP地址不一样，则证明是中了 ARP病毒。另外，还可以在“进程”选项卡中查看是否含有一个名为“MIR0.dat”的进程。如果有，则说明已经中毒。在其上单击鼠标右键，在弹出菜单中选择【结束进程】命令来中止ARP病毒进程。

2 个人ARP病毒的防范措施

关闭Windows自动播放功能对防范ARP病毒攻击十分必要和重要。

2.1 使用组策略编辑器

点击开始→运行→输入gpedit.msc，打开组策略编辑器，浏览到计算机配置→管理模板→系统，在右边窗格中双击“关闭自动播放”，对话框中选择所有驱动器，确定即可。

2.2 使用金山毒霸提供的禁止自动播放功能

启动毒霸主程序，工具菜单下找到综合设置，在其它设置中选中禁止U盘和硬盘的自动播放功能。（图2）

3 网管人员根治ARP病毒的方法

3.1 基于交换机的防御

图2 金山毒霸禁止自动播放

清除ARP病毒的根本方法就是对交换机进行ARP配置，由于任何ARP包,都必须经由交换机转发,才能到达被攻击目标，只要交换机拒收非法的ARP包,那么ARP攻击就不能造成任何影响，一般交换机都具备防ARP功能。

（1）在交换机上做端口、I P与MAC地址绑定

感染ARP病毒的计算机会将该机器的MAC地址映射到网关的 IP地址上,并且向网段内的所有计算机发出大量的ARP欺骗包。因此会使很多计算机误以为染毒计算机就是网关,所以会造成大量计算机访问Internet时中断。有条件的话,可以在三层交换机上将所连接的计算机做I P与MAC地址的绑定以达到ARP病毒防御的目的。

下面以 H3C交换机为例,在交换机的 E thernet1/0/6口上绑定 I P地址为 192.168.1.2,MAC地址为00-17-31-33-58-a4。

[SwitchA]interface E t hernet1/0/6

[SwitchA-Ethernet1/0/6]ip source static binding ipaddress 192.168.1.2 mac-address 00-17-31-33-58-a4

[SwitchA-Ethernet1/0/6]quit

采用上面的方法配置好所有计算机。

（2）在交换机上划分VLAN减小冲突域

通过交换机上的 VLAN划分可以减小冲突域达到缩减ARP广播区域的目的。划分H3C交换机端口Ethernet1/0/1到 VLAN5,端口 Ethernet1/0/2到 VLAN10。

[SwitchA]vlan 5

[SwitchA-vlan5]port Ethernet 1/0/1

[SwitchA]vlan 10

[SwitchA-vlan10]port Ethernet 1/0/2

（3）通过访问控制列表 ACL防御 ARP欺骗

对于大多数三层交换机,可通过配置过滤源 I P是网关的ARP报文的ACL规则来做到防御。ACL规则如下:

[SwitchA]fire wall enable

[SwitchA]acl number 5000

[SwitchA-acl-adv-5000]rule 0 deny 0806 ffff 2464010101 ffffffff 40

[SwitchA-acl-adv-5000]rule 1 permit 0806 ffff 24000fe9a08000 ffffffffffff 34

rule0禁止switchA的所有端口接收冒充网关的ARP报文,其中 64010101是网关 I P地址 100.1.1.1的16进制表示形式。

rule1允许通过网关发送的 ARP报文,000fe9a08000网关的mac地址。

注意：配置Rule时的配置顺序，上述配置为先下发后生效的情况。

[Switch]packet-filter user-group5000（下发 ACL5000的规则。）

这样只有switchA上连网关设备才能够发送网关的ARP报文，其它主机都不能发送假冒网关的ARP相应报文。

3.2 基于服务器与客户端的防御

在服务器与客户端上安装 ARP防火墙来阻止ARP欺骗,但是ARP防火墙要在全网每台主机上安装,要不然起不到很好的效果。ARP防火墙有很多,有安全 360ARP防火墙、彩影ARP防火墙、金山ARP防火墙等。

3.3 发现染毒计算机与病毒清除

（1）染毒计算机的定位

A.主动定位方式

所有的 ARP攻击源的网卡会处于混杂模式(promiscuous)可以通过 ARPKiller工具扫描网内有哪台机器的网卡是处于混杂模式的,从而判断这台机器有可能就是元凶。

B.被动定位方式

在局域网发生 ARP攻击时,查看三层交换机的动态ARP表中的内容,确定攻击源的MAC地址;也可以在局域网中部署 Sniffer工具,定位 ARP攻击源的 MAC。在网络不正常的时候,也可以直接 Ping网关 IP,完成 Ping后,用 ARP-a查看网关 IP对应的 MAC地址,此 MAC地址应该为欺骗的MAC地址。

（2）ARP 病毒的清除

首先，断开染毒主机与网络的连接,运行 msconfig命令,在“服务”栏目下停掉可疑启动项,在“启动”栏目下停掉可疑启动项，并记下文件路径,在正常模式下,病毒文件一般删除不了,或者删除后,又马上产生,应切换到安全模式下进行。病毒文件一般存放在 c:wi ndows或c:windowssystem32下,进入安全模式后,打开以上文件夹,点击菜单栏“查看”-“详细信息”,然后，按“修改日期”排序,查找最近日期的可执行文件及相关的DLL文件,对可疑文件进行删除。病毒文件一般将自己设为“隐藏”属性,应点击菜单栏“工具”-“文件选项#”,打开“显示所有文件和文件夹”选项。完成以上操作后,全盘杀毒,重启主机,确认病毒完全处理完毕,才可以恢复网络连接。

通过对ARP病毒原理和症状的分析，本文提出了个人防范ARP病毒的一些有效措施，针对局域网中的ARP病毒特点，研究了根治ARP病毒的方法。病毒的变异和入侵是千变万化的，要想有效的防范网络病毒，还有许多工作需要研究。

［1］范建华.TCP/IP详解[M].北京：机械工业出版社，2003.

［2］寇晓蕤.网络协议分析[M].北京：机械工业出版社，2009.

［3］李利军.2008网管员必读[M].北京：电子影像出版社，2008.

［4］胡冬严.ARP病毒的攻击原理和防护 [J].吉林省教育学院学报，2011，26(5)：217-218.

［5］胡建龙，孙蓦，张帆.校园网ARP病毒攻击原理与防御[J].情报杂志，2009，28:155-156.

［6］段煜晖.局域网内ARP病毒的综合防治[J].河南机电高等专科学校学报，2010，18(4):39-40.