ARP病毒攻击的防范与处理

如果在使用网络时速度越来越慢， 直至掉线， 而过一段时间后又可能恢复正常， 或者， 重启路由器后又可正常上网。 故障出现时， 网关ping 不通或有数据丢失， 那么很有可能是受到了ARP病毒攻击。 下面我就谈谈对这种情况处理的一些意见。

一、首先诊断是否为ARP病毒攻击

1、当发现上网明显变慢， 或者突然掉线时， 我们可以用arp-命令来检查ARP表：（点击 开始 按钮->选择运行->输入 cmd 点击 确定 按钮， 在窗口中输入 arp -a 命令）如果发现网关的MAC地址发生了改变， 或者发现有很多IP指向同一个物理地址， 那么肯定就是ARP欺骗所致。

2、利用Anti ARP Sniffer软件查看（详细使用略）。

二、找出ARP病毒主机

1、用“arp –d”命令， 只能临时解决上网问题， 要从根本上解决问题， 就得找到病毒主机。 通过上面的arp –a命令， 可以判定改变了的网关MAC地址或多个IP指向的物理地址， 就是病毒机的MAC地址。 哪么对应这个MAC地址的主机又是哪一台呢， windows中有ipconfig/all命令查看每台的信息， 但如果电脑数目多话， 一台台查下去不是办法， 因此可以下载一个叫“NBTSCAN”的软件， 它可以取到PC的真实IP地址和MAC地址。

命令：“nbtscan -r 192.168.80.0/24”（搜索整个192.168.80.0/24网段, 即 192.168.80.1-192.168.80.254）；或“nbtscan 192.168.80.25-137”搜索192.168.80.25-137 网段， 即192.168.80.25-192.168.80.137。 输出结果第一列是IP地址， 最后一列是MAC地址。 这样就可找到病毒主机的IP地址。

2、如果手头一下没这个软件怎么办呢？这时也可在客户机运行路由跟踪命令如：tracert –d www.163.com， 马上就发现第一条不是网关机的内网ip， 而是本网段内的另外一台机器的IP， 再下一跳才是网关的内网IP；正常情况是路由跟踪执行后的输出第一条应该是默认网关地址， 由此判定第一跳的那个非网关IP 地址的主机就是罪魁祸首。

当然找到了IP之后， 接下来是要找到这个IP具体所对应的机子了， 如果你每台电脑编了号， 并使用固定IP， IP的设置也有规律的话， 那么就很快找到了。 但如果不是上面这种情况， IP设置又无规律， 或者IP是动态获取的那该怎么办呢？难道还是要一个个去查？非也！你可以这样：把一台机器的IP地址设置成与作祟机相同的相同， 然后造成IP地址冲突， 使中毒主机报警然后找到这个主机。

三、处理病毒主机

1、用杀毒软件查毒， 杀毒。

2、建议重装系统， 一了百了。 （当然你应注意除系统盘外其他盘有无病毒）

四、如何防范ARP病毒攻击

1、从影响网络连接通畅的方式来看， ARP欺骗分为二种， 一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是——截获网关数据。 它通知路由器一系列错误的内网MAC地址， 并按照一定的频率不断进行， 使真实的地址信息无法通过更新保存在路由器中， 结果路由器的所有数据只能发送给错误的MAC地址， 造成正常PC无法收到信息。 第二种ARP欺骗的原理是——伪造网关。 它的原理是建立假网关， 让被它欺骗的PC向假网关发数据， 而不是通过正常的路由器途径上网。 在PC看来， 就是上不了网了， “网络掉线了”。 因此很多人建议用户采用双向绑定的方法解决并且防止ARP欺骗， 这个确实是最好解决的办法， 但如果电脑数量多的情况下， 在路由器上作绑定工作量将很大， 我个人认为主要做好在PC上绑定路由器的IP和MAC地址就行了， 在PC上绑定可以按下面方法做：

1）首先， 获得路由器的内网的MAC地址（例如网关地址172.16.1.254的MAC地址为0022aa0022ee）。

2）编写一个批处理文件rarp.bat内容如下：

@echo off

arp -d

arp -s 172.16.1.254 00-22-aa-00-22-ee

将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。 将这个批处理软件拖到“windows--开始--程序--启动”中。

这样即减轻了一台台设置的麻烦， 也避免了由于电脑重新启动使得数据又要重做的麻烦。 当然最好电脑要有还原卡和保护系统， 使得这个批处理不会被随意删除掉。

2、作为网络管理员， 我认为应该充分利用一些工具软件， 备一些常用的工具， 就ARP而言， 推荐在手头准备这样几个软件：

①“Anti ARP Sniffer”（使用Anti ARP Sniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包， 并能查找攻击主机的IP及MAC地址）。

②“NBTSCAN”（NBTSCAN可以取到PC的真实IP地址和MAC地址， 利用它可以知道局域网内每台IP对应的MAC地址）

③“网络执法官” （一款局域网管理辅助软件， 采用网络底层协议， 能穿透各客户端防火墙对网络中的每一台主机、交换机等配有IP的网络设备进行监控；采用网卡号（MAC）识别用户， 主要功能是依据管理员为各主机限定的权限， 实时监控整个局域网， 并自动对非法用户进行管理， 可将非法用户与网络中某些主机或整个网络隔离， 而且无论局域网中的主机运行何种防火墙， 都不能逃避监控， 也不会引发防火墙警告， 提高了网络安全性）

3、定时检查局域网病毒， 对机器进行病毒扫描， 平时给系统安装好补丁程序， 最好是局域网内每台电脑保证有杀毒软件（可升级）

4、指导好网络内使用者不要随便点击打开QQ、MSN等聊天工具上发来的链接信息， 不要随便打开或运行陌生、可疑文件和程序， 如邮件中的陌生附件， 外挂程序等。

5、建议对局域网的每一台电脑尽量作用固定IP， 路由器不启用DHCP， 对给网内的每一台电脑编一个号， 每一个号对应一个唯一的IP， 这样有利用以后故障的查询也方便管理。 并利用“NBTSCAN”软件查出每一IP对应的MAC地址， 建立一个“电脑编号-IP地址-MAC地址”一一对应的数据库。

--------

如何防止ARP攻击！

路由共享上网， 2M的5人用！在路由里设置了静态IP-----IP和MAC对应！也只设成有限的几个！

今天开机上网居然上了一下就上不了！

其中的四个人有嫌疑， IP可以改， MAC也可以改！显示过攻击的MAC都有其中的三个人！

自己也开了个AntiArp软件防护， 居然没作用！

以前如果给攻击了就会提示！---------------------（就是给别人用网管之类的软件限制不能上网）今天有时就有提示， 有提示也不能上网， 这个软件等于失效了！

路由的设置是我控制----------可以排除是路由限制！

我自己动手改网的MAC重新连上有时可以， 有时不可以， 就算可以也是只能上一会就不行！

我想有人先用软件禁止我上网， 然后改用了我的MAC上网！

这个软件的功能肯定很强大！用了这个软件就等于先发制人！可能所用和网关通讯的数据都给它欺骗了！所以无论我怎么做也没用！

不明白的是， 开了个AntiArp也没用！-------------不过也难怪， 软件的东西出来就就肯定有破解的了， 以前新出的时候可以有软件去限别人的网速， 后来出了个防ARP欺骗的， 现在我的这个防ARP欺骗（AntiArp）的也不起作用------不会是版本太低吧！郁闷呀！

E天的高手快来支招吧！

------

我觉得局域网内应该有人使用ARP欺骗的木马程序（比如：魔兽世界， 劲舞团等盗号的软件， 某些外挂中也被恶意加载了此程序）。

1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上， （rarp同样存在欺骗的问题）， 理想的关系应该建立在IP+MAC基础上。

2、设置静态的MAC-->IP对应表， 不要让主机刷新你设定好的转换表。

3、除非很有必要， 否则停止使用ARP， 将ARP做为永久条目保存在对应表中。

4、使用ARP服务器。 通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。 确保这台ARP服务器不被黑。

5、使用"proxy"代理IP的传输。

6、使用硬件屏蔽主机。 设置好你的路由， 确保IP地址能到达合法的路径。 （静态配置路由ARP条目）， 注意， 使用交换集线器和网桥无法阻止ARP欺骗。

7、管理员定期用响应的IP包中获得一个rarp请求， 然后检查ARP响应的真实性。

8、管理员定期轮询， 检查主机上的ARP缓存。

9、使用防火墙连续监控网络。 注意有使用SNMP的情况下， ARP的欺骗有可能导致陷阱包丢失。

--

每台主机都有一个临时存放IP-MAC的对应表ARP攻击就通过更改这个缓存来达到欺骗的目的,使用静态的ARP来绑定正确的MAC是一个有效的方法.在命令行下使用arp -a可以查看当前的ARP缓存表.以下是本机的ARP表 ：

C:\Documents and Settings\cnqing>arp -a

Interface: 192.168.0.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.0.1 00-03-6b-7f-ed-02 dynamic

其中代表动态缓存,即收到一个相关ARP包就会修改这项.如果是个非法的含有不正确的网关的ARP包,这个表就会自动更改.这样我们就不能找到正确的网关MAC,就不能正常和其他主机通信.静态表的建立用ARP -S IP MAC.

执行arp -s 192.168.0.1 00-03-6b-7f-ed-02后,我们再次查看ARP缓存表.

C:\Documents and Settings\cnqing>arp -a

Interface: 192.168.0.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.0.1 00-03-6b-7f-ed-02 static

此时"TYPE"项变成了"static",静态类型.这个状态下,是不会在接受到ARP包时改变本地缓存的.从而有效的防止ARP攻击.静态的ARP条目在每次重启后都要消失需要重新设置. 此时我们就可以自己写一个批处理文件， 文件内容如下：

@echo off

arp -d

arp -s 192.168.0.1 00-03-6b-7f-ed-02

写好之后我们把它存储为 rarp.bat， 再把此文件放到开始菜单-程序-启动栏， 这样每次启动机器时， 就自动执行此批处理文件。 菜单-程序-启动栏默认目录：C:\Documents and Settings\All Users\「开始」菜单\程序\启动。

---

arp 修改和显示“地址解析协议”

 Arp

显示和修改“地址解析协议 (ARP)”缓存中的项目。 ARP 缓存中包含一个或多个表， 它们用于存储 IP 地址及其经过解析的以太网或令牌环物理地址。 计算机上安装的每一个以太网或令牌环网络适配器都有自己单独的表。 如果在没有参数的情况下使用， 则 arp 命令将显示帮助信息。

语法

arp[-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]]

参数

-a[ InetAddr] [ -N IfaceAddr]

显示所有接口的当前 ARP 缓存表。 要显示特定 IP 地址的 ARP 缓存项， 请使用带有 InetAddr 参数的 arp -a， 此处的 InetAddr 代表 IP 地址。 如果未指定 InetAddr， 则使用第一个适用的接口。 要显示特定接口的 ARP 缓存表， 请将 -N IfaceAddr 参数与 -a 参数一起使用， 此处的 IfaceAddr 代表指派给该接口的 IP 地址。 -N 参数区分大小写。

-g[ InetAddr] [ -N IfaceAddr]

与 -a 相同。

-d InetAddr [IfaceAddr]

删除指定的 IP 地址项， 此处的 InetAddr 代表 IP 地址。 对于指定的接口， 要删除表中的某项， 请使用 IfaceAddr 参数， 此处的 IfaceAddr 代表指派给该接口的 IP 地址。 要删除所有项， 请使用星号 (*) 通配符代替 InetAddr。

-s InetAddr EtherAddr [IfaceAddr]

向 ARP 缓存添加可将 IP 地址 InetAddr 解析成物理地址 EtherAddr 的静态项。 要向指定接口的表添加静态 ARP 缓存项， 请使用 IfaceAddr 参数， 此处的 IfaceAddr 代表指派给该接口的 IP 地址。

/?

在命令提示符下显示帮助。

注释

? InetAddr 和 IfaceAddr 的 IP 地址用带圆点的十进制记数法表示。

? EtherAddr 的物理地址由六个字节组成， 这些字节用十六进制记数法表示并且用连字符隔开（比如， 00-AA-00-4F-2A-9C）。

? 通过 -s 参数添加的项属于静态项， 它们不会 ARP 缓存超时。 如果终止 TCP/IP 协议后再启动， 这些项会被删除。 要创建永久的静态 ARP 缓存项， 请将适当的 arp 命令置于批处理文件中， 并使用“任务计划”在启动时运行该批处理文件。

示例

要显示所有接口的 ARP 缓存表， 可键入：

arp -a

对于指派的 IP 地址为 10.0.0.99 的接口， 要显示其 ARP 缓存表， 可键入：

arp -a -N 10.0.0.99

要添加将 IP 地址 10.0.0.80 解析成物理地址 00-AA-00-4F-2A-9C 的静态 ARP 缓存项， 可键入：

arp -s 10.0.0.80 00-AA-00-4F-2A-9C