局域網(wǎng)ＡＲＰ病毒入侵檢測與解決方案

胡風(fēng)新　丁　輝　管　羽

[摘 要]針對公司辦公局域網(wǎng)由于ARP病毒造成導(dǎo)致網(wǎng)絡(luò)不正常和影響辦公的問題，進行系統(tǒng)的分析，了解ARP病毒的原理，以快速、準(zhǔn)確地找到中毒計算機為關(guān)鍵內(nèi)容，查找解決預(yù)防ARP病毒的方案論述，有效的保證公司辦公網(wǎng)絡(luò)的運行穩(wěn)定。

[關(guān)鍵詞]ARP欺騙 MAC地址 網(wǎng)關(guān) 病毒主機

中圖分類號：TP3 文獻標(biāo)識碼：A 文章編號：1671－7597（2009）0720044－01

一、背景與目標(biāo)

隨著計算機辦公自動化系統(tǒng)的普及與發(fā)展，我們?nèi)粘９ぷ鬓k公越來越多地依靠計算機網(wǎng)絡(luò)系統(tǒng)進行信息的互換與共享?？煽?、高速的計算機網(wǎng)絡(luò)環(huán)境不僅是企業(yè)內(nèi)部的通信渠道，而且成為了辦公自動化的基礎(chǔ)，能夠促進企業(yè)各環(huán)節(jié)間進行有效的協(xié)作和交流。

我們管理的網(wǎng)絡(luò)是一個星型結(jié)構(gòu)局域網(wǎng)（設(shè)計為1144個終端用戶），公司內(nèi)部現(xiàn)接入局網(wǎng)微機約有150臺，還有兩個外圍單位通過光纖接入內(nèi)部網(wǎng)絡(luò)10臺微機。今年我們在管理時發(fā)現(xiàn)，網(wǎng)絡(luò)經(jīng)常出現(xiàn)異常情況：使用局域網(wǎng)工作時時會突然掉線，過一段時間后又恢復(fù)正常；微機頻繁斷網(wǎng)，IE瀏覽器頻繁出錯，造成辦公系統(tǒng)無法正常使用；一些常用軟件出現(xiàn)故障；有時使用身份認(rèn)證登陸一些管理界面時，出現(xiàn)能夠通過認(rèn)證，但是無法正常使用；使用命令PING網(wǎng)關(guān)丟包嚴(yán)重，內(nèi)部地址PING值正常。在短短的一個月中間，公司辦公局網(wǎng)頻繁出現(xiàn)這類的現(xiàn)象，嚴(yán)重的影響了正常的辦公網(wǎng)絡(luò)環(huán)境。

通過我們的研究討論后認(rèn)為，出現(xiàn)這類現(xiàn)象的主要原因是網(wǎng)絡(luò)中存在ARP病毒，如何能快速、準(zhǔn)確地找到中毒計算機并及時解決成為了我們心中的目標(biāo)。

二、ARP病毒故障原理及表現(xiàn)

要解決這些問題，我們首先了解一下ARP病毒。在局域網(wǎng)中，通過ARP協(xié)議來將IP地址解析為第二層物理地址（即MAC地址）。ARP協(xié)議對網(wǎng)絡(luò)安全具有重要的意義。通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中使大量數(shù)據(jù)被送到錯誤的MAC地址上，造成網(wǎng)絡(luò)故障。

（一）故障原因。局域網(wǎng)內(nèi)有計算機運行ARP欺騙的木馬程序（比如：傳奇盜號的軟件，某些傳奇外掛中也被惡意加載了此程序），導(dǎo)致該計算機成了病毒源。

（二）故障原理。ARP協(xié)議是“Address Resolution Protocol”（地址解析協(xié)議）的縮寫。在局域網(wǎng)中，網(wǎng)絡(luò)中實際傳輸?shù)氖恰皫?，幀里面是有目?biāo)主機的MAC地址的。在以太網(wǎng)中，一個主機要和另一個主機進行直接通信，必須要知道目標(biāo)主機的MAC地址。但這個目標(biāo)MAC地址是如何獲得的呢?它就是通過地址解析協(xié)議獲得的。所謂“地址解析”就是主機在發(fā)送數(shù)據(jù)幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程。ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進行。

（三）ARP病毒攻擊的典型癥狀。一般ARP病毒通過將病毒機的MAC地址或偽造MAC地址來替代網(wǎng)關(guān)MAC地址，映射到網(wǎng)關(guān)IP上，實現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，進行ARP重定向和嗅探攻擊，使內(nèi)網(wǎng)PC機的ARP表混亂。

用偽造源MAC地址發(fā)送ARP響應(yīng)包，對ARP高速緩存機制的攻擊。這些情況主要出現(xiàn)在局網(wǎng)內(nèi)部用戶，造成網(wǎng)內(nèi)部分機器在線但是不可以上網(wǎng)，對交換機或路由器進行重新啟動后可以解決，但保持不了多久有會出現(xiàn)這樣的問題，網(wǎng)絡(luò)管理員對每臺機器使用arp-命令來檢查ARP表的時候發(fā)現(xiàn)交換機的IP和MAC被修改，這就是ARP病毒攻擊的典型癥狀。

三、解決思路及解決方案

（一）解決思路。1．統(tǒng)計公司所有使用中的微機信息，包括微機使用人姓名、聯(lián)系電話、IP地址、MAC地址等信息，以便查到中毒計算機后準(zhǔn)確及時查到該計算機。2．使用軟件連續(xù)監(jiān)控網(wǎng)絡(luò)。隨時注意有無計算機中毒，也可使用PING命令，隨時監(jiān)控網(wǎng)絡(luò)有無中斷情況。3．網(wǎng)絡(luò)管理員使用終端利用dos窗口，使用命令arpa命令查看IP地址和mac地址對應(yīng)的情況。4．快速查找病毒源，及時迅速找到病毒源計算機是解決問題的關(guān)鍵，發(fā)現(xiàn)后立刻將該計算機斷開網(wǎng)絡(luò)鏈接，解決了ARP攻擊的源頭PC機的問題，便可以保證內(nèi)網(wǎng)的網(wǎng)絡(luò)正常使用。

（二）故障處理。1．殺毒。諾頓、卡巴斯基、瑞星等殺毒軟件均可查殺此類病毒，注意：查殺病毒只能避免電腦主機成為ARP攻擊方，并不能抵御ARP攻擊。2．使用AntiArp軟件抵御ARP攻擊。運行AntiArp，點擊“獲取網(wǎng)關(guān)MAC地址”后，檢查網(wǎng)關(guān)IP地址和MAC地址無誤后，點擊“自動保護”。若不能獲取網(wǎng)關(guān)IP地址，可通過以下操作獲?。狐c擊“開始”按鈕->選擇“運行”->輸入“cmd”點擊“確定”->輸入“ipconfig”按回車，“Default Gateway”后的IP地址就是網(wǎng)關(guān)地址。

（三）解決方案。根據(jù)計算機終端統(tǒng)計信息，我們可以輕松找到中毒計算機的MAC地址，根據(jù)使用情況，我們可以判斷出這臺計算機是否為病毒源。首先我們查看該機使用的IP地址是否為網(wǎng)關(guān)地址，是就改回該機分配使用的IP地址，否則該微機就是我們要找的ARP病毒源計算機了。確定病毒源微機后的方法：一是禁掉該機的網(wǎng)卡；二是檢測網(wǎng)絡(luò)是否恢復(fù)正常；三是維護該微機，包括微機操作系統(tǒng)補丁的更新和使用殺毒軟件殺毒，直至該微機恢復(fù)正常，網(wǎng)絡(luò)恢復(fù)正常。

（四）預(yù)防措施。1．加強個人防護。一是安裝防病毒軟件并及時升級病毒庫；二是安裝360安全衛(wèi)士等arp防火墻；三是使用命令arps手工添加正確的網(wǎng)關(guān)MAC，防止arp欺騙。2．局網(wǎng)交換機防護。一是細(xì)分用戶，劃分VLAN；二是部分交換機可以將用戶端口隔離，端口上實施做arp策略防護。

四、結(jié)束語

ARP病毒可以造成內(nèi)部網(wǎng)絡(luò)的混亂，由于其特性使得該病毒爆發(fā)的速度非?？?、面積非常大，讓某些被欺騙的計算機無法正常訪問內(nèi)網(wǎng)絡(luò)，讓網(wǎng)關(guān)無法和客戶端正常通信，公司正常的網(wǎng)絡(luò)辦公環(huán)境和業(yè)務(wù)無法正常開展，快速及時的解決這類網(wǎng)絡(luò)故障，需要我們網(wǎng)絡(luò)管理人員不斷的探索，合理利用好網(wǎng)絡(luò)這一先進的工具為我們服務(wù)。通過我們不斷的實踐證明，ARP病毒爆發(fā)并不可怕，但如果不及時處理，造成的后果將是非常嚴(yán)重，尤其在公司的內(nèi)部網(wǎng)絡(luò)環(huán)境下，可能會影響到很多業(yè)務(wù)乃至辦公網(wǎng)絡(luò)的癱瘓，給我們帶來不可彌補的損失。

在我們共同努力下，分析了ARP病毒原理和散布原理，利用各種不同的技術(shù)手段及時找到問題的所在，成功解決ARP病毒解決方案中最關(guān)鍵的環(huán)節(jié)：快速、準(zhǔn)確找到中毒計算機。通過我們不斷的努力，病毒爆發(fā)后在最短的時間內(nèi)找到了解決方案。由于及時有效的監(jiān)管，公司內(nèi)部網(wǎng)絡(luò)中沒有再發(fā)生類似的現(xiàn)象，有效的保證了公司辦公網(wǎng)絡(luò)的運行正常。

參考文獻：

[1]《局域網(wǎng)技術(shù)與組網(wǎng)》，電子工業(yè)出版社，2007.7.

[2]《網(wǎng)絡(luò)維護基礎(chǔ)教程》，電子工業(yè)出版社，2004.7.

作者簡介：

胡風(fēng)新，中國石化中原油田通信管理處副主任、工程師；丁輝，中國石化中原油田通信管理處工程師；管羽，中國石化中原油田通信管理處工程師。