郭蘭風 孫少斌

（蚌埠坦克學院，安徽 蚌埠 233050）

淺談ARP病毒的危害及防治

郭蘭風 孫少斌

（蚌埠坦克學院，安徽 蚌埠 233050）

文章在對ARP病毒進行簡要介紹后，引出它對用戶和網(wǎng)絡(luò)的危害。接著從兩個層面重點分析了ARP病毒的防范措施，最后提出ARP病毒的清除方法。

ARP病毒；危害；防范措施；清除方法

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，局域網(wǎng)的使用日益廣泛，局域網(wǎng)中感染 ARP病毒的情況也越來越多，而且該病毒危害較大，清理和防范較難，給網(wǎng)絡(luò)管理員和用戶造成了諸多困擾。因此，了解ARP病毒，掌握其防范和清除方法十分必要。

（一）ARP病毒簡介

ARP本身不是病毒，而是一種地址解析協(xié)議。ARP就是主機在發(fā)送數(shù)據(jù)幀前將目標IP地址轉(zhuǎn)換成目標MAC地址的協(xié)議，與之相對應的是RARP。

1.ARP病毒的起源

2007年春,許多局域網(wǎng)出現(xiàn)網(wǎng)絡(luò)運行不穩(wěn)定，頻繁斷網(wǎng)、IE瀏覽器接連出錯、IP地址沖突等問題。6月上旬，國家計算機病毒應急處理中心通報一種新型“地址解析協(xié)議欺騙”(簡稱：ARP欺騙)的惡意木馬程序正在網(wǎng)絡(luò)中傳播。這是ARP病毒第一次公開出現(xiàn)在大眾視線中，從此，ARP病毒逐漸在校園網(wǎng)、部門網(wǎng)、企業(yè)網(wǎng)、社區(qū)網(wǎng)以及網(wǎng)吧等局域網(wǎng)中蔓延。

2.ARP病毒的分類

ARP病毒可分為兩種，一種是ARP欺騙，另一種是ARP攻擊。ARP欺騙最先是黑客們偷盜網(wǎng)絡(luò)賬號使用的，后來被廣泛用于類似網(wǎng)路崗、網(wǎng)絡(luò)執(zhí)法官之類的網(wǎng)絡(luò)管理工具。ARP欺騙主要有三種形式，即冒充主機欺騙主機、冒充網(wǎng)關(guān)欺騙主機和冒充主機欺騙網(wǎng)關(guān)。ARP欺騙中，被騙主機或網(wǎng)關(guān)會將數(shù)據(jù)發(fā)送給偽裝的主機，從而偽裝主機就達到了截獲數(shù)據(jù)的目的。而ARP攻擊純粹是以破壞網(wǎng)絡(luò)通訊為主要目的，偽造出大量的ARP報文(內(nèi)含MAC和IP地址)，在局域網(wǎng)內(nèi)廣播，造成主機和網(wǎng)關(guān)的ARP高速緩存表溢出，使得局域網(wǎng)內(nèi)所有主機都失去了有序的組織和聯(lián)系。

3.ARP病毒原理分析

這里以一種 ARP欺騙病毒為例介紹其運作過程，病毒樣本有三部分組件構(gòu)成：

“病毒組件釋放者”：

%windows% System32LOADHW.EXE

“發(fā)ARP欺騙包的驅(qū)動程序”：

%windows%System32drivers pf.sys

“命令驅(qū)動程序發(fā) ARP欺騙包的控制者”：%windows%System32msitinit.dll

具體過程如下:

（1）LOADHW.EXE在執(zhí)行的時候，會釋放兩個組件npf.sys和msitinit.dll，LOADHW.EXE釋放組件后即終止運行。

（2）接著msitinit.dll將npf.sys注冊為內(nèi)核級驅(qū)動設(shè)備: "NetGroup Packet Filter Driver"，并監(jiān)視其運行，另外它還控制npf.sys發(fā)送APR欺騙包、抓包、過濾包等。

（3）同時 npf.sys 負責監(jiān)護 msitinit.dll. 并將LOADHW.EXE注冊為自啟動程序:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsC urrentVersionRunOnce] dwMyTest =LOADHW.EXE

（二）ARP病毒的危害

主機中了 ARP病毒后，有些行為就不受用戶的意愿控制了，會給用戶本身和網(wǎng)絡(luò)造成很大的危害。

1.ARP病毒對PC的危害

ARP病毒會使PC出現(xiàn)網(wǎng)絡(luò)異常、IP沖突，打開網(wǎng)頁速度慢甚至無法打開網(wǎng)頁，或者打開網(wǎng)頁時莫名的彈出廣告窗口等。可能造成用戶數(shù)據(jù)被竊?。ㄈ缰匾Y料、涉密文件等）、個人隱私泄漏(如MSN聊天記錄、郵件等)、賬號被盜用(如QQ賬號、網(wǎng)銀賬號等)等惡性事件；也可能造成請求數(shù)據(jù)被篡改(如訪問的網(wǎng)頁被添加了惡意內(nèi)容，俗稱“掛馬”)和用戶主機遭非法控制(如某些文件打不開、某些網(wǎng)絡(luò)應用程序用不了)等情況。

2.ARP病毒對網(wǎng)絡(luò)的危害

先說 ARP攻擊病毒，只要局域網(wǎng)內(nèi)有一臺主機中了該病毒，它就會不斷地在全網(wǎng)內(nèi)發(fā)送虛假的ARP請求包和應答包，造成網(wǎng)絡(luò)擁堵，全網(wǎng)主機無法正常通信。其次ARP欺騙病毒，無論是三種欺騙方式的哪種，都會造成網(wǎng)絡(luò)組織和秩序的混亂。冒充主機欺騙主機與冒充主機欺騙網(wǎng)關(guān)會使得被冒充的主機（真主機）無法收到其他設(shè)備的數(shù)據(jù)，冒充網(wǎng)關(guān)欺騙主機會使得全網(wǎng)主機都把數(shù)據(jù)發(fā)送給冒充網(wǎng)關(guān)（假網(wǎng)關(guān)），而無法正常向外發(fā)送數(shù)據(jù)（即無法上網(wǎng)）。

（三）ARP病毒的防范措施

ARP病毒的危害很大，防范ARP病毒，要從兩方面入手，一是接入設(shè)備，二是用戶主機。

1.接入設(shè)備層的防范措施

局域網(wǎng)的接入設(shè)備方面，主要由網(wǎng)絡(luò)管理員負責，具體可以通過以下五個方法來防范。

（1）使用PVLAN技術(shù)實現(xiàn)端口隔離

ARP病毒一般是針對同一網(wǎng)段內(nèi)的某臺或所有主機，因此只要VLAN足夠小，就可以有效避免ARP病毒的攻擊。但就簡單的在交換機上多劃分一些VLAN，給每個VLAN少分配一些端口，會造成IP地址的嚴重浪費并增加交換機的管理難度。所以要使用 PVLAN技術(shù)，以實現(xiàn)端口之間的隔離，而又不用為每個端口劃分虛擬子網(wǎng)和分配子網(wǎng)IP地址。接于同一PVLAN的主機之間無法直接通信，而要通過默認網(wǎng)關(guān)的配置來實現(xiàn)。具體配置命令因不同交換機而異，可查閱交換機說明書或訪問公司官方網(wǎng)站，或者在配置時通過“？”查看命令和參數(shù)（一般交換機有isolate命令可用）。

（2）靜態(tài)綁定MIC和IP地址

在為局域網(wǎng)用戶分配IP地址時，先收集用戶的MAC地址。在交換機端口上實施MAC地址與端口綁定、IP地址與端口的綁定相結(jié)合，從而達到在端口上應用IP與MAC地址綁定的功能。一旦綁定之后， 交換機的ARP表就固定了，無論接收到來自任何計算機的ARP欺騙都無法修改交換機的ARP表，同時也就保證了路由的準確性，以此來避免ARP病毒各式各樣的攻擊、欺騙。

（3）使用具有ARP過濾功能的路由器和交換機

如果有條件的話，盡量使用可防御ARP病毒的三層交換機，設(shè)置端口流量限制，對超過閾值的端口進行自動斷開；對ARP包進行過濾，監(jiān)控頻繁發(fā)送請求包和應答包的端口，及時發(fā)現(xiàn)并自動阻斷ARP攻擊端口；同時配合ARP軟件防火墻，會有更好的效果。目前市場上，具有防ARP病毒的產(chǎn)品較多，如思科（Cisco）路由器、俠諾（Qno）路由器等。

（4）使用DHCP Snooping技術(shù)

如果局域網(wǎng)比較大，可以使用DHCP Snooping技術(shù)實現(xiàn)主機的IP地址動態(tài)分配。DHCP Snooping技術(shù)是DHCP安全特性，通過建立和維護DHCP Snooping綁定表過濾不可信任區(qū)域的DHCP信息。DHCP Snooping綁定表包含不信任區(qū)域的用戶MAC地址、IP地址、租用期和VLAN-ID接口等信息。交換機中連接普通主機的端口在發(fā)送ARP報文時受到交換機檢測，報交中IP地址與MAC地址對必須與DHCP Snooping檢測并記錄的主機當時動態(tài)申請的IP地址相符,這樣中毒主機就無法發(fā)送虛假的ARP報文了。

（5）使用專用機器作為ARP解析服務器

在局域網(wǎng)內(nèi)部設(shè)置一臺機器作為ARP服務器，專門保存并且維護網(wǎng)絡(luò)內(nèi)的所有主機的IP地址與M AC地址映射記錄，使其他計算機的ARP配置只接受來自ARP服務器的ARP響應。當有ARP請求時該服務器通過查閱自己緩存的靜態(tài)記錄并以被查詢主機的名義響應ARP局域網(wǎng)內(nèi)部的請求，從而防止了ARP欺騙攻擊的發(fā)生。

2.用戶主機層的防范措施

作為局域網(wǎng)用戶，要防范 ARP病毒，主要應該做到以下三點。

（1）開機綁定MIC和IP

用戶開機后，進入命令提示符窗口下，運行以下三行代碼，就可以對網(wǎng)關(guān)IP與MAC地址以及本機IP與MAC地址進行靜態(tài)綁定。為了避免麻煩，也可以把它形成批處理文件后，保存在啟動項中，這樣開機就實現(xiàn)了靜態(tài)綁定。

（2）安裝殺毒軟件和防火墻

網(wǎng)絡(luò)上病毒很多，用戶上網(wǎng)，安裝殺毒軟件和防火墻是十分必要的。常用的具有防ARP病毒的殺毒軟件有瑞星、金山等。而且防火墻在防ARP病毒過程中也可以起到至關(guān)重要的作用，能有效地阻擋其攻擊和欺騙，日常比較熟悉的有ARP防火墻、360防火墻、AntiARP等。注意在安裝了殺毒軟件和防火墻后，要及時更新。

（3）養(yǎng)成良好的上網(wǎng)習慣

用戶上網(wǎng)時，要提高安全意識，并且養(yǎng)成良好的上網(wǎng)習慣，不打開來歷不明的郵件，不瀏覽不健康的網(wǎng)頁；特別是克服好奇心理，對那種彈出來的誘人窗口或鏈接，（如：恭喜你中了一等獎,發(fā)送你的銀行卡號碼領(lǐng)錢）一般都是帶有欺騙類或控制類病毒，千萬不要打開。

（四）ARP病毒的清除方法

ARP病毒沒有明顯的特征字，對于一般的殺毒軟件來說是很難查殺的。ARP病毒的查殺首先要對局域網(wǎng)內(nèi)的ARP中毒機進行定位，然后再進行清除。

1.ARP病毒機的定位

ARP病毒的定位有三種方法，直接定位、工具定位以及嗅探定位，結(jié)合起來效果更佳。首先在命令提示符下敲入“ARP–a”命令查詢一下當前網(wǎng)關(guān)的MAC地址，如果與網(wǎng)關(guān)的真實MAC不符，那它就是攻擊者的 MAC地址。如果相符，則打開MAC地址掃描工具，形成當前局域網(wǎng)的IP和MAC對應表，再與正確的對應表相比較，即可確定攻擊者的 MAC地址。如果是ARP報文泛洪攻擊，使用Sniffer軟件嗅探全網(wǎng)，哪個MAC地址的ARP包泛濫即為攻擊者。

2.手動清除

在此仍以上文的病毒為例，按以下順序刪除病毒組件：

（1）刪除“病毒組件釋放者”：%windows%SYSTEM32LOADHW.EXE

（2）刪除“發(fā)ARP欺騙包的驅(qū)動程序”(兼“病毒守護程序”)：%windows%System32drivers pf.Sys

具體步驟如下：

1）在設(shè)備管理器中，單擊“查看”->“顯示隱藏的設(shè)備”。

2）在設(shè)備樹結(jié)構(gòu)中，打開“非即插即用… ”。

3）找到“NetGroup Packet Fiiter Driver”，若沒找到，請先刷新設(shè)備列表。

4）右鍵點擊“NetGroup Packet Filter Driver”菜單，并選擇“卸載”。

5）重啟windows系統(tǒng)。

6）刪除%windows%System32drivers pf.sys

（3）刪除“命令驅(qū)動程序發(fā)ARP欺騙包的控制者”：%windows%System32msn init.dll

（4）刪除以下“病毒的假驅(qū)動程序”的注冊表服務項：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNpf

3.軟件清除

在確定了病毒機之后，斷開其網(wǎng)絡(luò)，再用專門的ARP病毒清除軟件(ARP專殺、anti-ARP等)進行查殺，之后重啟機器即可。

隨著計算機技術(shù)的發(fā)展，ARP病毒也在不斷變異中，甚至嵌入其它病毒，給局域網(wǎng)安全帶來新的挑戰(zhàn)。網(wǎng)絡(luò)的安全需要廣大網(wǎng)絡(luò)用戶和管理員共同努力，密切配合，提高警惕，加強安全意識，營造良好的上網(wǎng)環(huán)境，減少ARP病毒對網(wǎng)絡(luò)的影響。

[1] Tanenbaum,A.S.計算機網(wǎng)絡(luò)(第 4 版)[M].潘愛民,譯.北京:清華大學出版社,2004.

[2] 李俊民,郭麗艷.網(wǎng)絡(luò)安全與黑客攻防寶典[M].北京:電子工業(yè)出版社,2010.

[3] 王文壽,王珂.網(wǎng)管員必備寶典—網(wǎng)絡(luò)安全[M].北京：清華大學出版社,2007;

[4] 宋志.一種基于PVLAN的反ARP欺騙的技術(shù)實現(xiàn)方法[J].計算機安全,2007,(10);

[5] 史子新.ARP攻擊原理與防范[J].甘肅科技,2010,(3).

【文章編號】1008-1151(2011)02-0045-02

2010-12-23

郭蘭風，蚌埠坦克學院研究生。