局域網ＡＲＰ病毒入侵檢測與解決方案

胡風新　丁　輝　管　羽

[摘 要]針對公司辦公局域網由于ARP病毒造成導致網絡不正常和影響辦公的問題，進行系統的分析，了解ARP病毒的原理，以快速、準確地找到中毒計算機為關鍵內容，查找解決預防ARP病毒的方案論述，有效的保證公司辦公網絡的運行穩定。

[關鍵詞]ARP欺騙 MAC地址 網關 病毒主機

中圖分類號：TP3 文獻標識碼：A 文章編號：1671－7597（2009）0720044－01

一、背景與目標

隨著計算機辦公自動化系統的普及與發展，我們日常工作辦公越來越多地依靠計算機網絡系統進行信息的互換與共享。可靠、高速的計算機網絡環境不僅是企業內部的通信渠道，而且成為了辦公自動化的基礎，能夠促進企業各環節間進行有效的協作和交流。

我們管理的網絡是一個星型結構局域網（設計為1144個終端用戶），公司內部現接入局網微機約有150臺，還有兩個外圍單位通過光纖接入內部網絡10臺微機。今年我們在管理時發現，網絡經常出現異常情況：使用局域網工作時時會突然掉線，過一段時間后又恢復正常；微機頻繁斷網，IE瀏覽器頻繁出錯，造成辦公系統無法正常使用；一些常用軟件出現故障；有時使用身份認證登陸一些管理界面時，出現能夠通過認證，但是無法正常使用；使用命令PING網關丟包嚴重，內部地址PING值正常。在短短的一個月中間，公司辦公局網頻繁出現這類的現象，嚴重的影響了正常的辦公網絡環境。

通過我們的研究討論后認為，出現這類現象的主要原因是網絡中存在ARP病毒，如何能快速、準確地找到中毒計算機并及時解決成為了我們心中的目標。

二、ARP病毒故障原理及表現

要解決這些問題，我們首先了解一下ARP病毒。在局域網中，通過ARP協議來將IP地址解析為第二層物理地址（即MAC地址）。ARP協議對網絡安全具有重要的意義。通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中使大量數據被送到錯誤的MAC地址上，造成網絡故障。

（一）故障原因。局域網內有計算機運行ARP欺騙的木馬程序（比如：傳奇盜號的軟件，某些傳奇外掛中也被惡意加載了此程序），導致該計算機成了病毒源。

（二）故障原理。ARP協議是“Address Resolution Protocol”（地址解析協議）的縮寫。在局域網中，網絡中實際傳輸的是“幀”，幀里面是有目標主機的MAC地址的。在以太網中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢?它就是通過地址解析協議獲得的。所謂“地址解析”就是主機在發送數據幀前將目標IP地址轉換成目標MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的順利進行。

（三）ARP病毒攻擊的典型癥狀。一般ARP病毒通過將病毒機的MAC地址或偽造MAC地址來替代網關MAC地址，映射到網關IP上，實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞，進行ARP重定向和嗅探攻擊，使內網PC機的ARP表混亂。

用偽造源MAC地址發送ARP響應包，對ARP高速緩存機制的攻擊。這些情況主要出現在局網內部用戶，造成網內部分機器在線但是不可以上網，對交換機或路由器進行重新啟動后可以解決，但保持不了多久有會出現這樣的問題，網絡管理員對每臺機器使用arp-命令來檢查ARP表的時候發現交換機的IP和MAC被修改，這就是ARP病毒攻擊的典型癥狀。

三、解決思路及解決方案

（一）解決思路。1．統計公司所有使用中的微機信息，包括微機使用人姓名、聯系電話、IP地址、MAC地址等信息，以便查到中毒計算機后準確及時查到該計算機。2．使用軟件連續監控網絡。隨時注意有無計算機中毒，也可使用PING命令，隨時監控網絡有無中斷情況。3．網絡管理員使用終端利用dos窗口，使用命令arpa命令查看IP地址和mac地址對應的情況。4．快速查找病毒源，及時迅速找到病毒源計算機是解決問題的關鍵，發現后立刻將該計算機斷開網絡鏈接，解決了ARP攻擊的源頭PC機的問題，便可以保證內網的網絡正常使用。

（二）故障處理。1．殺毒。諾頓、卡巴斯基、瑞星等殺毒軟件均可查殺此類病毒，注意：查殺病毒只能避免電腦主機成為ARP攻擊方，并不能抵御ARP攻擊。2．使用AntiArp軟件抵御ARP攻擊。運行AntiArp，點擊“獲取網關MAC地址”后，檢查網關IP地址和MAC地址無誤后，點擊“自動保護”。若不能獲取網關IP地址，可通過以下操作獲取：點擊“開始”按鈕->選擇“運行”->輸入“cmd”點擊“確定”->輸入“ipconfig”按回車，“Default Gateway”后的IP地址就是網關地址。

（三）解決方案。根據計算機終端統計信息，我們可以輕松找到中毒計算機的MAC地址，根據使用情況，我們可以判斷出這臺計算機是否為病毒源。首先我們查看該機使用的IP地址是否為網關地址，是就改回該機分配使用的IP地址，否則該微機就是我們要找的ARP病毒源計算機了。確定病毒源微機后的方法：一是禁掉該機的網卡；二是檢測網絡是否恢復正常；三是維護該微機，包括微機操作系統補丁的更新和使用殺毒軟件殺毒，直至該微機恢復正常，網絡恢復正常。

（四）預防措施。1．加強個人防護。一是安裝防病毒軟件并及時升級病毒庫；二是安裝360安全衛士等arp防火墻；三是使用命令arps手工添加正確的網關MAC，防止arp欺騙。2．局網交換機防護。一是細分用戶，劃分VLAN；二是部分交換機可以將用戶端口隔離，端口上實施做arp策略防護。

四、結束語

ARP病毒可以造成內部網絡的混亂，由于其特性使得該病毒爆發的速度非常快、面積非常大，讓某些被欺騙的計算機無法正常訪問內網絡，讓網關無法和客戶端正常通信，公司正常的網絡辦公環境和業務無法正常開展，快速及時的解決這類網絡故障，需要我們網絡管理人員不斷的探索，合理利用好網絡這一先進的工具為我們服務。通過我們不斷的實踐證明，ARP病毒爆發并不可怕，但如果不及時處理，造成的后果將是非常嚴重，尤其在公司的內部網絡環境下，可能會影響到很多業務乃至辦公網絡的癱瘓，給我們帶來不可彌補的損失。

在我們共同努力下，分析了ARP病毒原理和散布原理，利用各種不同的技術手段及時找到問題的所在，成功解決ARP病毒解決方案中最關鍵的環節：快速、準確找到中毒計算機。通過我們不斷的努力，病毒爆發后在最短的時間內找到了解決方案。由于及時有效的監管，公司內部網絡中沒有再發生類似的現象，有效的保證了公司辦公網絡的運行正常。

參考文獻：

[1]《局域網技術與組網》，電子工業出版社，2007.7.

[2]《網絡維護基礎教程》，電子工業出版社，2004.7.

作者簡介：

胡風新，中國石化中原油田通信管理處副主任、工程師；丁輝，中國石化中原油田通信管理處工程師；管羽，中國石化中原油田通信管理處工程師。