谈局域网中ARP病毒防治

谈局域网中ARP病毒防治

【摘要】在计算机网络系统所受到的网络病毒危害中，局域网ARP病毒是经常出现的一种，很多局域网深受其害。ARP病毒通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。因此，作为网络管理员，必须掌握一定的知识和采取一定的保护措施以防范ARP病毒的入侵。本文介绍ARP协议机制、ARP病毒的攻击原理和病毒的防治方法。

【关键词】ARP欺骗；地址映射

一、认识ARP地址解析协议

要想在局域网中彻底防治ARP病毒攻击，那么我们就必须认识ARP协议机制，找到其中的容易被利用的弱点，从而得到解决办法。

在以太网协议中规定，同一局域网中的一台主机要和另一台主机进行直接通信，必须要知道目标主机的MAC地址。而在TCP/IP协议栈中，网络层和传输层只关心目标主机的IP地址。这就导致在以太网中使用IP协议时，数据链路层的以太网协议接到上层IP协议提供的数据中，只包含目的主机的IP地址。于是需要一种方法，根据目的主机的IP地址或节点的IP地址解析出其对应的MAC地址。这就是ARP机制，即地址解析协议，就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。

另外，当源主机和目的主机不在同一个局域网中时，即便知道目的主机的MAC地址，两者也不能直接通信，必须经过路由转发才可以。所以此时，发送主机通过ARP协议获得的将不是目的主机的真实MAC地址，而是一台可以通往局域网外的路由器的某个端口的MAC地址。于是此后源主机发往目的主机的所有帧，都将发往该路由器，通过它向外发送。这种情况称为ARP代理。

二、ARP病毒攻击原理

从影响网络连接通畅来看，ARP欺骗分为两种，一种是对路由器ARP表的欺骗；另一种是对局域网PC的网关欺骗。第一种ARP欺骗是截获网关数据。它通知路由器一系列错误的MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是伪造网关。它建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。

ARP病毒攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

ARP攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。在PC机看来，就是上不了网，或是“掉线”了。

三、诊断是否被ARP病毒攻击

ARP欺骗木马程序（病毒）的攻击，病毒发作时其症状表现为计算机网络连接正常，却打开网页时断时通；或由于ARP欺骗的木马程序（病毒）发作时发出大量的数据包，导致用户上网不稳定，极大地影响了用户的正常使用，给网络的安全带来严重的隐患。

当发现上网明显变慢，或者突然掉线时，用arp-命令来检查ARP（ARP是“Address Resolution Protocol”）表（点击“开始”按钮-选择“运行”-输入“cmd”点击“确定”按钮，在窗口中输入“arp-a”命令）如果发现网关的MAC地址发生改变，或者发现很多IP指向同一个物理地址，那么就是被ARP病毒攻击了。也可以利用专门的软件查看，如Anti ARP Sniffer软件。

四、ARP病毒的防治方法

1.静态地址绑定

将IP和MAC静态绑定，在局域网内把主机和网关都做IP和MAC绑定。ARP欺骗是通过ARP的动态实时的规则欺骗内网机器，所以我们把ARP全部设置为静态可以解决对局域网PC的欺骗，同时在网关也要进行IP和MAC的静态绑定，这样双向绑定才比较保险。

方法：对每台主机进行IP和MAC地址静态绑定。

通过命令，arp-s可以实现“arp-sIP MAC地址”。例如：“arp-s 192.168.10.1 XX-XX-XX-XX-XX-XX”。如果设置成功会在PC上面通过执行arp-a可以看到相关的提示：Internet Address Physical Address Type 192.168.10.1 XX-XX-XX-XX-XX-XX static（静态）

一般不绑定，在动态的情况下：

Internet Address Physical Address Type

192.168.10.1 XX-XX-XX-XX-XX-XX dynamic（动态）

2.使用防护软件

采用系统内核层拦截技术和主动防御技术，可解决大部分欺骗、ARP攻击

带来的问题，从而保证通讯安全（保障通讯数据不被网管软件/恶意软件监听和控制）、保证网络畅通。

3.具有ARP防护功能的网络设备

由于ARP形式的攻击而引发的网络问题是目前网络管理，特别是局域网管理中最让人头疼的攻击，他的攻击技术含量低，随便一个人都可以通过攻击软件来完成ARP欺骗攻击，同时防范ARP形式的攻击也没有什么特别有效的方法。目前只能通过被动的亡羊补牢形式的措施了，本文介绍的方法希望对大家有所帮助。

4.对局域网内每一台计算机用固定IP，路由器不启用DHCP，对网内的每一台电脑编一个号，每一个号对应一个唯一的IP，这样有利管理。并利用软件查出每一IP对应的MAC地址，建立一个“计算机编号-IP地址-MAC地址”统计表。并在交换机中实现“端口-网卡MAC地址-IP地址”绑定，以便提高网络安全性。

五、结束语

作为网络管理员，我们必须了解一些协议的机制才能采取一定的保护措施以提高网络的安全性。本文中对于ARP病毒的防治就是一个很好的证明。

参考文献

[1]张国清.网络设备配置与调试[M].电子工业出版社，2009.

[2]赵正红，李红.计算机网络技术[M].科学出版社，2010.