第一篇：中小學(xué)局域網(wǎng)應(yīng)對ARP病毒攻擊的措施

網(wǎng)絡(luò)安全工作總結(jié)

付正林

隨著社會的發(fā)展，信息技術(shù)對教育教學(xué)的影響越來越廣，越來越多的學(xué)校與教師對網(wǎng)絡(luò)依賴也越來越大；而對中小學(xué)校園內(nèi)局域要求也是一天比一天高。但現(xiàn)在ARP病毒攻擊成為局域網(wǎng)殺手，造成校園網(wǎng)絡(luò)無法正常使用。ARP病毒攻擊，以成各中小學(xué)校網(wǎng)絡(luò)管理員公認(rèn)為最頭痛的事。而各中小學(xué)網(wǎng)絡(luò)管理員如何面對ARP病毒攻擊呢？

ARP與ARP病毒簡介

ARP全稱：Address Resolution Protocol 地址解析協(xié)議。ARP的作用：實現(xiàn)通過IP地址得知其物理地址。在TCP/IP網(wǎng)絡(luò)環(huán)境下，每個主機(jī)都分配了一個32位的IP地址，這種互聯(lián)網(wǎng)地址是在網(wǎng)際范圍標(biāo)識主機(jī)的一種邏輯地址。為了讓報文在物理網(wǎng)路上傳送，必須知道對方目的主機(jī)的物理地址。這樣就存在把IP地址變換成物理地址的地址轉(zhuǎn)換問題。以以太網(wǎng)環(huán)境為例，為了正確地向目的主機(jī)傳送報文，必須把目的主機(jī)的32位IP地址轉(zhuǎn)換成為48位以太網(wǎng)的地址。這就需要在互連層有一組服務(wù)將IP地址轉(zhuǎn)換為相應(yīng)物理地址，這組協(xié)議就是ARP協(xié)議。（物理地址即網(wǎng)絡(luò)中的MAC地址，也就是全世界所有網(wǎng)卡中的唯一標(biāo)識代碼）

ARP病毒：就是通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。ARP病毒攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中，局域網(wǎng)中若有一個人感染ARP木馬病毒，則感染該ARP木馬病毒的系統(tǒng)將會試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其它計算機(jī)的通信故障。

遭受ARP攻擊后現(xiàn)象：ARP欺騙木馬的中毒現(xiàn)象表現(xiàn)為：使用局域網(wǎng)時會突然掉線，過一段時間后又會恢復(fù)正常。用戶頻繁斷網(wǎng)，IE瀏覽器頻繁出錯，以及一些常用軟件出現(xiàn)故障等，不能上網(wǎng)的現(xiàn)象（無法ping通網(wǎng)關(guān)），重啟機(jī)器或在MS-DOS窗口下運(yùn)行命令arp-d后，又可恢復(fù)上網(wǎng)，嚴(yán)重者跟本無法正常連接網(wǎng)絡(luò)。

應(yīng)對中小學(xué)校園網(wǎng)內(nèi)ARP病毒攻擊的思考

現(xiàn)在各中小學(xué)普遍存在ARP病毒攻擊的原因有如下幾個方面：第一網(wǎng)絡(luò)安全設(shè)備配置不齊全，使校園內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)比較簡單；第二中小學(xué)的網(wǎng)絡(luò)管理員絕大部分是電腦教師兼職，專業(yè)水平與發(fā)展方向出現(xiàn)偏差；第三使用者——教師使用電腦與網(wǎng)絡(luò)的不正確或者說不規(guī)范，比如在不在安全的網(wǎng)站下載文件、使用U盤或者移動硬盤傳輸文件與在網(wǎng)上瀏覽不正規(guī)的網(wǎng)站等；第四忽視對應(yīng)該服務(wù)系統(tǒng)的有效管理與建設(shè)，這與學(xué)校經(jīng)費(fèi)或者上經(jīng)領(lǐng)導(dǎo)重視或管理者水平有關(guān)。第五網(wǎng)絡(luò)技術(shù)與病毒更新太快，管理員的學(xué)習(xí)跟不上發(fā)展速度，加強(qiáng)網(wǎng)絡(luò)管理員的相關(guān)業(yè)務(wù)學(xué)習(xí)很重要。

現(xiàn)在流行的維護(hù)方法：靜態(tài)綁定、Antiarp和具有ARP防護(hù)功能的路由器。但這只是針對網(wǎng)絡(luò)與使用設(shè)置的一種應(yīng)對措施，相對中小學(xué)小而全的校園網(wǎng)而言，還遠(yuǎn)遠(yuǎn)不夠。我們應(yīng)全面考慮各種因素，多管齊下來應(yīng)對ARP病毒攻擊問題。第一：從病毒來原入手，第二從病毒攻擊方式考慮，第三對使用者——教師的電腦與網(wǎng)絡(luò)使用的相關(guān)培訓(xùn)，第四網(wǎng)絡(luò)管理者專業(yè)水平的提高，第五學(xué)校的重視。

應(yīng)對ARP病毒攻擊的具體措施

從全局角度來思考：教育信息化實現(xiàn)的基礎(chǔ)是網(wǎng)絡(luò)正常運(yùn)行，各種信息化的教育教學(xué)活動沒有網(wǎng)絡(luò)的正常運(yùn)行再好的東西也無法使用。如無紙化辦公（OA系統(tǒng)）、教學(xué)資源庫、家校通、廣港校際在線交流（視像中國）、遠(yuǎn)程集體備課、學(xué)生電子書包、電子課堂等。各種現(xiàn)代化信息教育教學(xué)都運(yùn)行在良好的網(wǎng)絡(luò)環(huán)境之上，網(wǎng)絡(luò)與現(xiàn)代信息化教育教學(xué)活動的基礎(chǔ)。所以學(xué)校必需重視才行，不然何談教育信息化。學(xué)校的重視也有利于網(wǎng)絡(luò)管理員的工作，如加大網(wǎng)絡(luò)基礎(chǔ)的投入、與部門的工作配合、參加各種有利于業(yè)務(wù)水平提高的培訓(xùn)與交流活動等。爭取學(xué)校的重視，是網(wǎng)絡(luò)工作是有力保證。爭取學(xué)校的重視，首先要把自己的本職工作做好，做好了本職工作是領(lǐng)導(dǎo)重視的前提。其次是做好網(wǎng)絡(luò)工作計劃，一個合理的計劃能更有利于我們開展工作，也能更好地獲得所有管理者與參與者支持。然后整理好工作中遇到的問題和教師的使用意見，是向?qū)W校提供決策的重要參考意見。

從網(wǎng)絡(luò)技術(shù)角度來解決：技術(shù)方面首先是病毒來源著手，ARP病毒一般都與木馬病毒共存，病毒來源有三個方面，第一是因特網(wǎng)，第二是U盤或移動硬盤等移動式存儲器，第三是網(wǎng)內(nèi)原有電腦上本身就存有。應(yīng)對因特網(wǎng)上的木馬或者病毒，我們一定要加裝防火墻，做好相關(guān)策略。設(shè)置防火墻的技術(shù)策略這里不詳講，因為各種不同的防火墻有不能的命令與解決方法。應(yīng)該對內(nèi)部病毒，我們應(yīng)該先組織一次全面的清理活動，在最大可能減少內(nèi)部病毒的出現(xiàn)，然后加裝相關(guān)的殺毒軟件與單機(jī)防火墻。應(yīng)該移動存儲器內(nèi)的病毒主要是加強(qiáng)使用者的防范意識，經(jīng)常查殺自己移動存儲器，每天使用時都必須檢查病毒后再使用。

然后從ARP病毒攻擊原理來處理，第一靜態(tài)綁定：最常用的方法就是做IP和MAC靜態(tài)綁定，在網(wǎng)內(nèi)把主機(jī)和網(wǎng)關(guān)都做IP和MAC綁定，使ARP無法欺騙。第二內(nèi)網(wǎng)分段，根據(jù)各區(qū)域與功能相關(guān)不同使用者，劃分不同的VLin。這樣就算網(wǎng)內(nèi)有機(jī)器感染了ARP病毒，也不會迅速傳播到整個局域網(wǎng)，讓管理員有足夠的時間與空間來處理。第三，有條件的學(xué)校可以做到終端交換機(jī)端口劃分與綁定，在這不多言。第四，核心交換機(jī)上，利用交換機(jī)的統(tǒng)計功能，對某一MAC地址一定時間內(nèi)對網(wǎng)關(guān)請求數(shù)過大（如每分鐘大于90次），即斷開這臺電腦的網(wǎng)絡(luò)。這是因為現(xiàn)在絕大部分中小學(xué)網(wǎng)絡(luò)管理員都是兼職，不可能經(jīng)常在監(jiān)視網(wǎng)絡(luò)運(yùn)行情況；這樣在網(wǎng)絡(luò)管理員不在的情況下，可以在一定程度上保證網(wǎng)絡(luò)正常運(yùn)行。第五，每天定時認(rèn)真查看路由器、防火墻、上網(wǎng)行為管理設(shè)備、核心交換機(jī)等關(guān)鍵網(wǎng)絡(luò)設(shè)置記錄，了解網(wǎng)絡(luò)運(yùn)行情況。第六，使用Sniffer等網(wǎng)絡(luò)工具定時掃描網(wǎng)絡(luò)內(nèi)部情況，并認(rèn)真分析異常情況，提前發(fā)現(xiàn)問題并解決問題。

最后從應(yīng)用角度來防范，第一，使用并有效管理好公共服務(wù)器系統(tǒng)，特別是文件服務(wù)器、資源庫服務(wù)器、BBS服務(wù)器等流量比較大，利用率比較高的服務(wù)器。這些公共服務(wù)系統(tǒng)可以減少老師對移動存儲器的使用，更能相對較少地減少老師在使用外網(wǎng)時中毒的機(jī)率。這些重要服務(wù)器應(yīng)該劃分單獨(dú)的VLin,并做好相關(guān)的安全策略，能安全服務(wù)器殺毒軟件是最好的。專業(yè)的網(wǎng)絡(luò)管理員提出的服務(wù)器不應(yīng)該裝殺毒，也是有道理的，但現(xiàn)在中小學(xué)里的網(wǎng)絡(luò)管理員并不是非常專業(yè)的網(wǎng)絡(luò)技術(shù)管理員，也不能時刻監(jiān)視網(wǎng)絡(luò)情況與服務(wù)器系統(tǒng)情況，我們都是業(yè)余級的。第二，當(dāng)發(fā)現(xiàn)網(wǎng)內(nèi)有機(jī)器感染了ARP病毒，最簡單的方法是：先斷該機(jī)器的網(wǎng)絡(luò)連接，最好是物理中斷；然后保存好該機(jī)器內(nèi)重要數(shù)據(jù)，然后在干凈的網(wǎng)絡(luò)環(huán)境下清理所有數(shù)據(jù)，并重裝系統(tǒng)等相關(guān)工作；同時對機(jī)器使用者進(jìn)行解釋說明與相關(guān)宣傳工作。在干凈的網(wǎng)絡(luò)環(huán)境這點(diǎn)很重要，可以避免機(jī)器二次感染。

從自身角度來提高：時代是發(fā)展的。網(wǎng)絡(luò)信息技術(shù)的發(fā)展更是以超出人們想象的速度在發(fā)展。培訓(xùn)與學(xué)習(xí)更是應(yīng)對各種網(wǎng)絡(luò)問題的重中之重。技術(shù)培訓(xùn)分二部分，第一是網(wǎng)絡(luò)管理員的業(yè)務(wù)水平技術(shù)培訓(xùn)與學(xué)習(xí)。第二是網(wǎng)絡(luò)使用者的電腦與網(wǎng)絡(luò)應(yīng)用技巧的校本培訓(xùn)。對于學(xué)校來說，應(yīng)該創(chuàng)造條件，讓網(wǎng)絡(luò)管理員不斷參加各種網(wǎng)絡(luò)技術(shù)相關(guān)的培訓(xùn)學(xué)習(xí)班或者研討會；網(wǎng)絡(luò)管理員也要通過各種途徑來學(xué)習(xí)各種新技術(shù)，了解技術(shù)的展情況。比如網(wǎng)上的技術(shù)論壇上參與討論與學(xué)習(xí)：中國網(wǎng)管論壇（http://bbs.bitscn.com/）、網(wǎng)絡(luò)管理員（http://bbs.krshadow.com/forum-20-1.html）、51TCO技術(shù)論壇（http://bbs.51cto.com/forum-143-1.html）等。網(wǎng)絡(luò)管理員也應(yīng)該經(jīng)常在學(xué)校內(nèi)部進(jìn)行電腦與網(wǎng)絡(luò)應(yīng)用的相關(guān)校本培訓(xùn)，提高使用者的應(yīng)該水平與防病毒能力；同時經(jīng)常與不同應(yīng)用能力的使用者之間進(jìn)行小范圍的研討工作，深入一線使用者中，去了解各種使用者的應(yīng)用情況。把學(xué)校校園網(wǎng)比做一個人的話，提高網(wǎng)絡(luò)管理者與應(yīng)用都自身水平，就是像是提高人的身體素質(zhì)一樣，是應(yīng)對病毒攻擊最好的辦法。

應(yīng)對ARP病毒攻擊，從學(xué)校指導(dǎo)思想層、校園網(wǎng)絡(luò)管理層、網(wǎng)絡(luò)應(yīng)用層來發(fā)展問題并解決問題，才是應(yīng)對ARP病毒攻擊基本。做好這三者之間的工作，應(yīng)對ARP病毒攻擊就能輕松自如。

2012-1-7

第二篇：ARP攻擊自查協(xié)議書[小編推薦]

ARP攻擊自查協(xié)議書

茲于四號宿管站C19一單元ARP攻擊較為嚴(yán)重，為便于較早的制止攻擊且最大程度的減小消極影響，單元成員決定采取自查。

自查條件：

1.QQ管家、360等殺毒軟件，彩影等反ARP軟件截得ARP攻擊每分鐘50次以上。

2.出現(xiàn)客戶端在1小時內(nèi)登錄不上，或客戶端登錄上立刻就自行掉線的情況。

3.學(xué)校內(nèi)網(wǎng)無法登陸

除學(xué)校硬件設(shè)施損壞導(dǎo)致網(wǎng)絡(luò)故障，或暫停校園網(wǎng)除外。滿足以上三個條件方可實行。

自查人員：單元內(nèi)每個專業(yè)（或班級）至少派出一名代表參與自查。

單元人員簽字：公證人簽字：

第三篇：校園網(wǎng)ARP欺騙攻擊分析及解決辦法(0)

校園網(wǎng)ARP欺騙攻擊分析及解決辦法

張志剛

（作者單位：浙江省開化縣實驗小學(xué) 郵編：324300）

摘要：ARP攻擊是當(dāng)前校園網(wǎng)遇到的一個非常典型的安全威脅，受到ARP攻擊后輕者校園網(wǎng)會出現(xiàn)大面積掉線，重者會竊取用戶密碼。目前，網(wǎng)上有關(guān)ARP資料較多，但作者發(fā)現(xiàn)：網(wǎng)上資料雖多但大多邏輯性和指導(dǎo)性均不強(qiáng)，甚至有一些還自相矛盾，不能自圓其說。該文來自于一線網(wǎng)管員的工作實踐，具有較強(qiáng)的針對性和操作性。

關(guān)鍵詞：校園網(wǎng)、ARP、原理、方法 正文：

ARP攻擊是當(dāng)前校園網(wǎng)遇到的一個非常典型的安全威脅，受到ARP攻擊后校園網(wǎng)內(nèi)各終端電腦會出現(xiàn)大面積掉線、ARP包爆增、拷貝文件無法完成，出現(xiàn)錯誤、無法ping通網(wǎng)關(guān)，但重啟機(jī)器后又可恢復(fù)上網(wǎng)等情況。欺騙木馬發(fā)作時還會竊取用戶密碼，如盜取QQ密碼、盜取各種網(wǎng)絡(luò)游戲密碼和賬號，盜竊網(wǎng)上銀行賬號來做非法交易活動等。在08年的暑期,我縣的教育城域網(wǎng)就爆發(fā)了一次較大的ARP攻擊事件，前后持續(xù)時間近一個月，給全縣教育系統(tǒng)的暑期辦公培訓(xùn)及新學(xué)期的準(zhǔn)備工作帶來了較大的影響，攻擊源來自于鄉(xiāng)下某學(xué)校的一臺老師忘記關(guān)機(jī)并感染了ARP病毒的的辦公電腦。

作為一名學(xué)校的網(wǎng)管員，在與多起ARP欺騙攻擊的的斗爭過程中，對ARP病毒相關(guān)基礎(chǔ)知識、危害認(rèn)識也越來越深刻，對如何在校園網(wǎng)內(nèi)及時發(fā)現(xiàn)、有效防范查殺攻擊源的具體處理上也有了一定的心得，現(xiàn)作一整理，供兄弟學(xué)校的各網(wǎng)管員們參考借鑒。

1.要了解APR病毒需先掌握的幾個概念 1.1：IP地址

IP地址是出現(xiàn)頻率非常高的詞。它類似于電話通迅中的電話號碼，在我們的校園網(wǎng)中，為了區(qū)別每一臺不同的計算機(jī)，我們需要給每一臺計算機(jī)都配臵一個號碼，這個號碼我們就將它叫做IP地址，有了這個IP地址我們在利用網(wǎng)絡(luò)進(jìn)行上網(wǎng)、傳遞文件，進(jìn)行局域網(wǎng)聊天時才不會將發(fā)送給A計算機(jī)的信息錯發(fā)到其

它的計算機(jī)上。一般情況下，在校園網(wǎng)內(nèi)一臺計算機(jī)只分配一個IP地址，IP地址采用十進(jìn)制數(shù)字表示,如192.168.0.25。1.2、MAC地址：

在現(xiàn)實生活中，我們每個人由于工作等原因會經(jīng)常的搬家，每臺計算機(jī)的IP地址在使用中就會發(fā)生變化。IP地址發(fā)生變化了，為什么不會影響我們在網(wǎng)上收發(fā)信息呢？這主要是因為我們計算機(jī)的網(wǎng)卡MAC地址是不發(fā)生變化的。MAC地址也叫物理地址，它類似于我們每個人的身份證，是全球唯一的，只要MAC地址這個計算機(jī)的身份證存在，我們在全球龐大的計算機(jī)網(wǎng)絡(luò)中就總能找到自已的這臺計算機(jī)。MAC地址的長度為48位（6個字節(jié)），通常表示為12個16進(jìn)制數(shù)，每2個16進(jìn)制數(shù)之間用冒號隔開，如：00:0F:E2:70:70:BC。XP系統(tǒng)環(huán)境下本機(jī)的IP與MAC地址信息我們可以執(zhí)行IPCONFIG –ALL命令進(jìn)行查詢。1.3、ARP（Address Resolution Protocol：地址解析協(xié)議）

不管是在校園局域網(wǎng)中還是在廣域網(wǎng)中，數(shù)據(jù)信息要從某種形式的鏈路上的初始節(jié)點(diǎn)出發(fā)，從一個節(jié)點(diǎn)傳遞到另一個節(jié)點(diǎn)，最終傳送到目的節(jié)點(diǎn)。如果僅僅依靠IP地址去傳遞信息是要發(fā)生錯誤的，因為IP地址是要發(fā)生變化的，在某些時候我們就需要將IP地址與MAC地址進(jìn)行捆定，保證網(wǎng)絡(luò)中信息傳遞的準(zhǔn)確性，完成這個功能的就是ARP地址解析協(xié)議。網(wǎng)絡(luò)中的每臺電腦，它都會收集網(wǎng)絡(luò)上的各臺計算機(jī)的IP地址與MAC地址信息，將它儲存在一個叫“ARP緩存表”的地方，當(dāng)機(jī)器A要向主機(jī)B發(fā)送報文，會查詢本地的ARP緩存表，找到B的IP地址對應(yīng)的MAC地址后就會進(jìn)行數(shù)據(jù)傳輸。如果未找到，則廣播A一個ARP請求報文（攜帶主機(jī)A的IP地址Ia——物理地址Pa），請求IP地址為Ib的主機(jī)B回答物理地址Pb。網(wǎng)上所有主機(jī)包括B都收到ARP請求，但只有主機(jī)B識別自己的IP地址，于是向A主機(jī)發(fā)回一個ARP響應(yīng)報文。其中就包含有B的MAC地址，A接收到B的應(yīng)答后，就會更新本地的ARP緩存。接著使用這個MAC地址發(fā)送數(shù)據(jù)。

2.ARP欺騙的原理分析

為便于闡述，在這我們假設(shè)有一個有三臺計算機(jī)甲、乙、丙組成的局域網(wǎng)，其中甲感染了ARP木馬病毒。正常情況下，甲的地址為：IP：192.168.1.1 MAC: AA-AA-AA-AA-AA-AA，乙的地址為：IP：192.168.1.2 MAC: BB-BB-BB-BB-BB-BB，丙的地址為：IP：192.168.1.3 MAC: CC-CC-CC-CC-CC-CC。當(dāng)計算機(jī)甲上運(yùn)行了

ARP欺騙程序，向乙或丙發(fā)送了ARP欺騙包后，基于乙、丙對甲的完全信任關(guān)系，乙或丙計算機(jī)會自動更新本地的ARP緩存，將錯誤的IP與MAC地址信息替代了正確的信息對應(yīng)表，這樣當(dāng)然也就不能保證乙、丙兩臺計算機(jī)能順暢地對外通訊了。在校園網(wǎng)中，問題會隨著ARP欺騙包針對網(wǎng)關(guān)而變本加厲，當(dāng)局域網(wǎng)中一臺機(jī)器，反復(fù)向其他機(jī)器，特別是向網(wǎng)關(guān)，發(fā)送這樣無效假冒的ARP應(yīng)答信息包時，嚴(yán)重的網(wǎng)絡(luò)堵塞就會開始。由于網(wǎng)關(guān)MAC地址錯誤，所以從網(wǎng)絡(luò)中計算機(jī)發(fā)來的數(shù)據(jù)無法正常發(fā)到網(wǎng)關(guān)，自然無法正常上網(wǎng)。這就造成了無法訪問外網(wǎng)的問題，另外由于很多時候網(wǎng)關(guān)還控制著我們的局域網(wǎng)LAN上網(wǎng)，所以這時我們的LAN訪問也就出現(xiàn)問題了

3.校園網(wǎng)ARP病毒的預(yù)防措施及感染后的分析及處理 3.1、校園網(wǎng)ARP病毒的五條預(yù)防措施：

措施

1、及時升級客戶端的操作系統(tǒng)和應(yīng)用程序補(bǔ)丁。措施

2、安裝和更新殺毒軟件及ARP專用防火墻。

措施

3、如果網(wǎng)絡(luò)規(guī)模較小，盡量使用手動指定IP設(shè)臵，而不是使用DHCP來分配IP地址。

措施

4、如果交換機(jī)或路由器支持，在交換機(jī)或路由器上綁定MAC地址與IP地址。

措施

5、在校園網(wǎng)正常運(yùn)行時，備份一份網(wǎng)關(guān)與知終端的IP地址與MAC地址正常對應(yīng)表，最好包含計算機(jī)名信息。現(xiàn)今學(xué)校一般都通過路由器上網(wǎng)，兩地址信息均可在路由器的WEB設(shè)臵頁面中找到，也可以使用網(wǎng)上常見的一些專業(yè)MAC地址掃描工具得到正確的地址信息。3.2、ARP病毒感染后的分析及處理

校園網(wǎng)如果還是不幸中招，出現(xiàn)本文第一段所說的那些癥狀時，我們首先應(yīng)該判斷是否為ARP病毒的原因，點(diǎn)擊“開始”按鈕->選擇“運(yùn)行”->輸入“arp–d”->點(diǎn)擊“確定”按鈕，然后重新嘗試上網(wǎng)，如果能恢復(fù)正常，則說明此次掉線可能是受ARP欺騙所致。arp-d命令用于清除并重建本機(jī)arp表。arp–d命令并不能抵御ARP欺騙，執(zhí)行后仍有可能再次遭受ARP攻擊。如果計算機(jī)安裝有ARP防火墻的話，也會在屏幕的右下角跳出報警信息，當(dāng)確診為ARP病毒是時，我們可以采取以下方法進(jìn)行校園網(wǎng)的修復(fù)處理。

第一步：首先保證網(wǎng)絡(luò)正常運(yùn)行。在桌面上新建一個名為ARP文本文件，用

記事本寫下：

@echo off arp-d

arp-s 網(wǎng)關(guān)IP MAC地址

保存后將記事本后綴名改名BAT（批處理文件）。將這個批處理文件發(fā)送給各計算機(jī)端，當(dāng)遭受ARP攻擊時，將它執(zhí)行一遍，重新綁定網(wǎng)關(guān)的IP-MAC地址信息后就OK了。

第二步：找到感染ARP病毒的機(jī)器。

第一種判斷方法:如果在你的周圍有多臺電腦均不能正常上網(wǎng)，出現(xiàn)時常掉線的情況，而你的電腦卻安然無恙，數(shù)據(jù)通信正常，請不要沾沾自喜，這說明你的機(jī)器已經(jīng)中了arp病毒，需要及時斷網(wǎng)殺毒。

第二種判斷方法:使用arp-a命令任意選兩臺不能上網(wǎng)的主機(jī)，在DOS命令窗口下運(yùn)行arp-a命令。如圖1，兩臺電腦除了網(wǎng)關(guān)的IP，MAC地址對應(yīng)項，都包含了192.168.0.54的這個IP，則可以斷定192.168.0.54這臺主機(jī)就是病毒源。一般情況下，網(wǎng)內(nèi)的主機(jī)只和網(wǎng)關(guān)通信。正常情況下，一臺主機(jī)的ARP緩存中應(yīng)該只有網(wǎng)關(guān)的MAC地址。如果有其他主機(jī)的MAC地址，說明本地主機(jī)和這臺主機(jī)最后有過數(shù)據(jù)通信發(fā)生。如果某臺主機(jī)（例如上面的192.168.0.54）既不是網(wǎng)關(guān)也不是服務(wù)器，但和網(wǎng)內(nèi)的其他主機(jī)都有通信活動，且此時又是ARP病毒發(fā)作時期，那么，病毒源也就是它了。

第三種判斷方法:在故障機(jī)上使用ARP －a的命令看得到的網(wǎng)關(guān)對應(yīng)的MAC地址是否與網(wǎng)關(guān)真實地址相符，如不符，可去查找與該MAC地址對應(yīng)的電腦。

第四種判斷方法:使用ARP防火墻(例如360ARP防火墻)軟件，360ARP防火墻攔截到外部ARP攻擊后，可通過攔截界面“追蹤攻擊源IP”來精準(zhǔn)定位局域網(wǎng)內(nèi)攻擊源，方便網(wǎng)管及時查詢局域網(wǎng)內(nèi)攻擊源，及時解決問題。

第三步：在學(xué)校路由器的WEB頁面上網(wǎng)過濾功能設(shè)臵中暫時停止病毒源主機(jī)的上網(wǎng)行為。考慮到校園網(wǎng)的各終端主機(jī)來源比較復(fù)雜，有一些來自于老師的筆記本電腦，有時根據(jù)MAC地址很難確定是某位老師的電腦，我們可以利用路由器 的MAC地址過濾功能暫停該機(jī)的上網(wǎng)功能，待確定計算機(jī)主人后再通知其使用ARP專殺工具查殺病毒。這樣就保證了校園網(wǎng)的健康運(yùn)行。目前的路由器一般都有“上網(wǎng)黑白名單”的功能設(shè)臵，操作也較簡單。

以上的分析查殺過程，在配備簡陋的學(xué)校校園網(wǎng)內(nèi)均可實現(xiàn)，基本上可以將ARP病毒的危害降至最低。目前市場上很多的路由器廠商專門推出一些具有ARP病毒防護(hù)功能的路由器，它可以在路由器端綁定IP與MAC地址正確信息并按一定頻率向網(wǎng)絡(luò)廣播，該種路由器再配合客戶端的雙向綁定，在ARP的防治上效果非常不錯，能還你一個波瀾不驚、風(fēng)平浪靜的校園網(wǎng)環(huán)境，值得一試！但有些ARP防火墻會將路由器的廣播視作是ARP攻擊。配備一個功能強(qiáng)大的路由器不僅對ARP的防治有較好的效果，網(wǎng)管員們?nèi)缱屑?xì)分析利用好路由器的系統(tǒng)運(yùn)行信息，對其它網(wǎng)絡(luò)病毒的防治診斷也有很好的幫助作用。

臺上一分鐘，臺下十年功，校園網(wǎng)網(wǎng)管員平時的工作默默無聞，網(wǎng)絡(luò)病毒將我們推上了表演的前臺，我們網(wǎng)管員們要想立于不敗之地，實現(xiàn)自身價值，一個重要的前提就是平時要做好校園網(wǎng)基本信息知識的積累整理工作，練好內(nèi)功，加強(qiáng)軟實力，這樣才能在校園網(wǎng)的一些突發(fā)事件面前，做到從容不迫、大將風(fēng)度。

第四篇：arp病毒欺騙查找與預(yù)防方法

arp病毒欺騙查找與預(yù)防方法

ARP地址欺騙類病毒（以下簡稱ARP病毒）是一類特殊的病毒，該病毒一般屬于木馬(Trojan)病毒，不具備主動傳播的特性，不會自我復(fù)制。但是由于其發(fā)作的時候會向全網(wǎng)發(fā)送偽造的ARP數(shù)據(jù)包，干擾全網(wǎng)的運(yùn)行，因此它的危害比一些蠕蟲還要嚴(yán)重得多。

二、ARP病毒發(fā)作時的現(xiàn)象

網(wǎng)絡(luò)掉線，但網(wǎng)絡(luò)連接正常，內(nèi)網(wǎng)的部分PC機(jī)不能上網(wǎng)，或者所有電腦不能上網(wǎng)，無法打開網(wǎng)頁或打開網(wǎng)頁慢，局域網(wǎng)時斷時續(xù)并且網(wǎng)速較慢等。

三、ARP病毒原理 3.1 網(wǎng)絡(luò)模型簡介

眾所周知，按照OSI(Open Systems Interconnection Reference Model 開放系統(tǒng)互聯(lián)參考模型)的觀點(diǎn)，可將網(wǎng)絡(luò)系統(tǒng)劃分為7層結(jié)構(gòu)，每一個層次上運(yùn)行著不同的協(xié)議和服務(wù)，并且上下層之間互相配合，完成網(wǎng)絡(luò)數(shù)據(jù)交換的功能，如圖1：

圖1 OSI網(wǎng)絡(luò)體系模型

然而，OSI的模型僅僅是一個參考模型，并不是實際網(wǎng)絡(luò)中應(yīng)用的模型。實際上應(yīng)用最廣泛的商用網(wǎng)絡(luò)模型即TCP/IP體系模型，將網(wǎng)絡(luò)劃分為四層，每一個層次上也運(yùn)行著不同的協(xié)議和服務(wù)，如圖2。

圖2 TCP/IP四層體系模型及其配套協(xié)議

上圖中，藍(lán)色字體表示該層的名稱，綠色字表示運(yùn)行在該層上的協(xié)議。由圖2可見，我們即將要討論的ARP協(xié)議，就是工作在網(wǎng)際層上的協(xié)議。3.2 ARP協(xié)議簡介

我們大家都知道，在局域網(wǎng)中，一臺主機(jī)要和另一臺主機(jī)進(jìn)行通信，必須要知道目標(biāo)主機(jī) 的IP地址，但是最終負(fù)責(zé)在局域網(wǎng)中傳送數(shù)據(jù)的網(wǎng)卡等物理設(shè)備是不識別IP地址的，只能識別其硬件地址即MAC地址。MAC地址是48位的，通常表示為 12個16進(jìn)制數(shù)，每2個16進(jìn)制數(shù)之間用―-‖或者冒號隔開，如：00-0B-2F-13-1A-11就是一個MAC地址。每一塊網(wǎng)卡都有其全球唯一的 MAC地址，網(wǎng)卡之間發(fā)送數(shù)據(jù)，只能根據(jù)對方網(wǎng)卡的MAC地址進(jìn)行發(fā)送，這時就需要一個將高層數(shù)據(jù)包中的IP地址轉(zhuǎn)換成低層MAC地址的協(xié)議，而這個重要 的任務(wù)將由ARP協(xié)議完成。

ARP全稱為Address Resolution Protocol，地址解析協(xié)議。所謂―地址解析‖就是主機(jī)在發(fā)送數(shù)據(jù)包前將目標(biāo)主機(jī)IP地址轉(zhuǎn)換成目標(biāo)主機(jī)MAC地址的過程。ARP協(xié)議的基本功能就是 通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。這時就涉及到一個問題，一個局域網(wǎng)中的電腦少則幾臺，多則上百臺，這么多的電腦之間，如何能準(zhǔn)確的記住對方電腦網(wǎng)卡的MAC地址，以便數(shù)據(jù)的發(fā)送呢？這就 涉及到了另外一個概念，ARP緩存表。在局域網(wǎng)的任何一臺主機(jī)中，都有一個ARP緩存表，該表中保存這網(wǎng)絡(luò)中各個電腦的IP地址和MAC地址的對照關(guān)系。當(dāng)這臺主機(jī)向同局域網(wǎng)中另外的主機(jī)發(fā)送數(shù)據(jù)的時候，會根據(jù)ARP緩存表里的對應(yīng)關(guān)系進(jìn)行發(fā)送。下面，我們用一個模擬的局域網(wǎng)環(huán)境，來說明ARP欺騙的過程。3.3 ARP欺騙過程

假設(shè)一個只有三臺電腦組成的局域網(wǎng)，該局域網(wǎng)由交換機(jī)(Switch)連接。其中一 個電腦名叫A，代表攻擊方；一臺電腦叫S，代表源主機(jī)，即發(fā)送數(shù)據(jù)的電腦；令一臺電腦名叫D，代表目的主機(jī)，即接收數(shù)據(jù)的電腦。這三臺電腦的IP地址分別 為192.168.0.2，192.168.0.3，192.168.0.4。MAC地址分別為MAC_A，MAC_S，MAC_D。其網(wǎng)絡(luò)拓?fù)洵h(huán)境如圖 3。

圖3 網(wǎng)絡(luò)拓?fù)?/p>

現(xiàn)在，S電腦要給D電腦發(fā)送數(shù)據(jù)了，在S電腦內(nèi)部，上層的TCP和UDP的數(shù)據(jù)包已經(jīng)傳送到 了最底層的網(wǎng)絡(luò)接口層，數(shù)據(jù)包即將要發(fā)送出去，但這時還不知道目的主機(jī)D電腦的MAC地址MAC_D。這時候，S電腦要先查詢自身的ARP緩存表，查看里 面是否有192.168.0.4這臺電腦的MAC地址，如果有，那很好辦，就將 封裝在數(shù)據(jù)包的外面。直接發(fā)送出去即可。如果沒有，這時S電腦要向全網(wǎng)絡(luò)發(fā)送一個ARP廣播包，大聲詢問：―我的IP是192.168.0.3，硬件地址 是MAC_S，我想知道IP地址為192.168.0.4的主機(jī)的硬件地址是多少？‖ 這時，全網(wǎng)絡(luò)的電腦都收到該ARP廣播包了，包括A電腦和D電腦。A電腦一看其要查詢的IP地址不是自己的，就將該數(shù)據(jù)包丟棄不予理會。而D電腦一看IP 地址是自己的，則回答S電腦：―我的IP地址是192.168.0.4，我的硬件地址是MAC_D‖需要注意的是，這條信息是單獨(dú)回答的，即D電腦單獨(dú)向 S電腦發(fā)送的，并非剛才的廣播。現(xiàn)在S電腦已經(jīng)知道目的電腦D的MAC地址了，它可以將要發(fā)送的數(shù)據(jù)包上貼上目的地址MAC_D，發(fā)送出去了。同時它還會 動態(tài)更新自身的ARP緩存表，將192.168.0.4－MAC_D這一條記錄添加進(jìn)去，這樣，等S電腦下次再給D電腦發(fā)送數(shù)據(jù)的時候，就不用大聲詢問發(fā) 送ARP廣播包了。這就是正常情況下的數(shù)據(jù)包發(fā)送過程。

這樣的機(jī)制看上去很完美，似乎整個局域網(wǎng)也天下太平，相安無事。但是，上述數(shù)據(jù)發(fā) 送機(jī)制有一個致命的缺陷，即它是建立在對局域網(wǎng)中電腦全部信任的基礎(chǔ)上的，也就是說它的假設(shè)前提是：無論局域網(wǎng)中那臺電腦，其發(fā)送的ARP數(shù)據(jù)包都是正確 的。那么這樣就很危險了！因為局域網(wǎng)中并非所有的電腦都安分守己，往往有非法者的存在。比如在上述數(shù)據(jù)發(fā)送中，當(dāng)S電腦向全網(wǎng)詢問―我想知道IP地址為 192.168.0.4的主機(jī)的硬件地址是多少？‖后，D電腦也回應(yīng)了自己的正確MAC地址。但是當(dāng)此時，一向沉默寡言的A電腦也回話了：―我的IP地址 是192.168.0.4，我的硬件地址是MAC_A‖，注意，此時它竟然冒充自己是D電腦的IP地址，而MAC地址竟然寫成自己的！由于A電腦不停地發(fā)送這樣的應(yīng)答數(shù)據(jù)包，本來S電腦的ARP緩存表中已經(jīng)保 存了正確的記錄：192.168.0.4－MAC_D，但是由于A電腦的不停應(yīng)答，這時S電腦并不知道A電腦發(fā)送的數(shù)據(jù)包是偽造的，導(dǎo)致S電腦又重新動態(tài) 更新自身的ARP緩存表，這回記錄成：192.168.0.4－MAC_A，很顯然，這是一個錯誤的記錄（這步也叫ARP緩存表中毒），這樣就導(dǎo)致以后凡 是S電腦要發(fā)送給D電腦，也就是IP地址為192.168.0.4這臺主機(jī)的數(shù)據(jù)，都將會發(fā)送給MAC地址為MAC_A的主機(jī)，這樣，在光天化日之下，A 電腦竟然劫持了由S電腦發(fā)送給D電腦的數(shù)據(jù)！這就是ARP欺騙的過程。

如果A這臺電腦再做的―過分‖一些，它不冒充D電腦，而是冒充網(wǎng)關(guān)，那后果會怎么 樣呢？我們大家都知道，如果一個局域網(wǎng)中的電腦要連接外網(wǎng)，也就是登陸互聯(lián)網(wǎng)的時候，都要經(jīng)過局域網(wǎng)中的網(wǎng)關(guān)轉(zhuǎn)發(fā)一下，所有收發(fā)的數(shù)據(jù)都要先經(jīng)過網(wǎng)關(guān)，再 由網(wǎng)關(guān)發(fā)向互聯(lián)網(wǎng)。在局域網(wǎng)中，網(wǎng)關(guān)的IP地址一般為192.168.0.1。如果A這臺電腦向全網(wǎng)不停的發(fā)送ARP欺騙廣播，大聲說：―我的IP地址是 192.168.0.1，我的硬件地址是MAC_A‖這時局域網(wǎng)中的其它電腦并沒有察覺到什么，因為局域網(wǎng)通信的前提條件是信任任何電腦發(fā)送的ARP廣播 包。這樣局域網(wǎng)中的其它電腦都會更新自身的ARP緩存表，記錄下192.168.0.1－MAC_A這樣的記錄，這樣，當(dāng)它們發(fā)送給網(wǎng)關(guān)，也就是IP地址 為192.168.0.1這臺電腦的數(shù)據(jù)，結(jié)果都會發(fā)送到MAC_A這臺電腦中！這樣，A電腦就將會監(jiān)聽整個局域網(wǎng)發(fā)送給互聯(lián)網(wǎng)的數(shù)據(jù)包！

實際上，這種病毒早就出現(xiàn)過，這就是ARP地址欺騙類病毒。一些傳奇木馬

（Trojan/PSW.LMir）具有這樣的特性，該木馬一般通過傳奇外掛、網(wǎng)頁木馬等方式使局域網(wǎng)中的某臺電腦中毒，這樣中毒電腦便可嗅探到整個局域 網(wǎng)發(fā)送的所有數(shù)據(jù)包，該木馬破解了《傳奇》游戲的數(shù)據(jù)包加密算法，通過截獲局域網(wǎng)中的數(shù)據(jù)包，分析數(shù)據(jù)包中的用戶隱私信息，盜取用戶的游戲帳號和密碼。在 解析這些封包之后，再將它們發(fā)送到真正的網(wǎng)關(guān)。這樣的病毒有一個令網(wǎng)吧游戲玩家聞之色變的名字：―傳奇網(wǎng)吧殺手‖！

四、ARP病毒新的表現(xiàn)形式

由于現(xiàn)在的網(wǎng)絡(luò)游戲數(shù)據(jù)包在發(fā)送過程中，均已采用了強(qiáng)悍的加密算法，因此這類ARP 病毒在解密數(shù)據(jù)包的時候遇到了很大的難度。現(xiàn)在又新出現(xiàn)了一種ARP病毒，與以前的一樣的是，該類ARP病毒也是向全網(wǎng)發(fā)送偽造的ARP欺騙廣播，自身偽 裝成網(wǎng)關(guān)。但區(qū)別是，它著重的不是對網(wǎng)絡(luò)游戲數(shù)據(jù)包的解密，而是對于HTTP請求訪問的修改。

HTTP是應(yīng)用層的協(xié)議，主要是用于WEB網(wǎng)頁訪問。還是以上面的局域網(wǎng)環(huán)境舉 例，如果局域網(wǎng)中一臺電腦S要請求某個網(wǎng)站頁面，如想請求www.tmdps.cn這個網(wǎng)頁，這臺電腦會先向網(wǎng)關(guān)發(fā)送HTTP請求，說：―我想登陸 www.tmdps.cn網(wǎng)頁，請你將這個網(wǎng)頁下載下來，并發(fā)送給我。‖這樣，網(wǎng)關(guān)就會將www.tmdps.cn頁面下載下來，并發(fā)送給S 電腦。這時，如果A這臺電腦通過向全網(wǎng)發(fā)送偽造的ARP欺騙廣播，自身偽裝成網(wǎng)關(guān)，成為一臺ARP中毒電腦的話，這樣當(dāng)S電腦請求WEB網(wǎng)頁時，A電腦先 是―好心好意‖地將這個頁面下載下來，然后發(fā)送給S電腦，但是它在返回給S電腦時，會向其中插入惡意網(wǎng)址連接！該惡意網(wǎng)址連接會利用MS06-014和 MS07-017等多種系統(tǒng)漏洞，向S電腦種植木馬病毒！同樣，如果D電腦也是請求WEB頁面訪問，A電腦同樣也會給D電腦返回帶毒的網(wǎng)頁，這樣，如果一 個局域網(wǎng)中存在這樣的ARP病毒電腦的話，頃刻間，整個網(wǎng)段的電腦將會全部中毒！淪為黑客手中的僵尸電腦！案例：

某企業(yè)用戶反映，其內(nèi)部局域網(wǎng)用戶無論訪問那個網(wǎng)站，KV殺毒軟件均報病毒：Exploit.ANIfile.o。

在經(jīng)過對該局域網(wǎng)分析之后，發(fā)現(xiàn)該局域網(wǎng)中有ARP病毒電腦導(dǎo)致其它電腦訪問網(wǎng)頁 時，返回的網(wǎng)頁帶毒，并且該帶毒網(wǎng)頁通過MS06-014和MS07-017漏洞給電腦植入一個木馬下載器，而該木馬下載器又會下載10多個惡性網(wǎng)游木 馬，可以盜取包括魔獸世界，傳奇世界，征途，夢幻西游，邊鋒游戲在內(nèi)的多款網(wǎng)絡(luò)游戲的帳號和密碼，對網(wǎng)絡(luò)游戲玩家的游戲裝備造成了極大的損失。被ARP病 毒電腦篡改的網(wǎng)頁如圖4。

圖4 被ARP病毒插入的惡意網(wǎng)址連接

從圖4中可以看出，局域網(wǎng)中存在這樣的ARP病毒電腦之后，其它客戶機(jī)無論訪問什么網(wǎng)頁，當(dāng)返回該網(wǎng)頁時，都會被插入一條惡意網(wǎng)址連接，如果用戶沒有打過相應(yīng)的系統(tǒng)補(bǔ)丁，就會感染木馬病毒。

五、ARP病毒電腦的定位方法

下面，又有了一個新的課題擺在我們面前：如何能夠快速檢測定位出局域網(wǎng)中的ARP病毒電腦？

面對著局域網(wǎng)中成百臺電腦，一個一個地檢測顯然不是好辦法。其實我們只要利用ARP 病毒的基本原理：發(fā)送偽造的ARP欺騙廣播，中毒電腦自身偽裝成網(wǎng)關(guān)的特性，就可以快速鎖定中毒電腦。可以設(shè)想用程序來實現(xiàn)以下功能：在網(wǎng)絡(luò)正常的時候，牢牢記住正確網(wǎng)關(guān)的IP地址和MAC地址，并且實時監(jiān)控著來自全網(wǎng)的ARP數(shù)據(jù)包，當(dāng)發(fā)現(xiàn)有某個ARP數(shù)據(jù)包廣播，其IP地址是正確網(wǎng)關(guān)的IP地址，但是 其MAC地址竟然是其它電腦的MAC地址的時候，這時，無疑是發(fā)生了ARP欺騙。對此可疑MAC地址報警，在根據(jù)網(wǎng)絡(luò)正常時候的IP－MAC地址對照表查 詢該電腦，定位出其IP地址，這樣就定位出中毒電腦了。下面詳細(xì)說一下幾種不同的檢測ARP中毒電腦的方法。5.1 命令行法

這種方法比較簡便，不利用第三方工具，利用系統(tǒng)自帶的ARP命令即可完成。上文已經(jīng) 說過，當(dāng)局域網(wǎng)中發(fā)生ARP欺騙的時候，ARP病毒電腦會向全網(wǎng)不停地發(fā)送ARP欺騙廣播，這時局域網(wǎng)中的其它電腦就會動態(tài)更新自身的ARP緩存表，將網(wǎng) 關(guān)的MAC地址記錄成ARP病毒電腦的MAC地址，這時候我們只要在其它受影響的電腦中查詢一下當(dāng)前網(wǎng)關(guān)的MAC地址，就知道中毒電腦的MAC地址了，查 詢命令為 ARP －a，需要在cmd命令提示行下輸入。輸入后的返回信息如下：

Internet Address Physical Address Type192.168.0.1 00-50-56-e6-49-56 dynamic 這時，由于這個電腦的ARP表是錯誤的記錄，因此，該MAC地址不是真正網(wǎng)關(guān)的MAC地址，而是中毒電腦的MAC地址！這時，再根據(jù)網(wǎng)絡(luò)正常時，全網(wǎng)的IP—MAC地址對照表，查找中毒電腦的IP地址就可以了。由此可見，在網(wǎng)絡(luò)正常的時候，保存 一個全網(wǎng)電腦的IP—MAC地址對照表是多么的重要。可以使用nbtscan 工具掃描全網(wǎng)段的IP地址和MAC地址，保存下來，以備后用。5.2 工具軟件法

現(xiàn)在網(wǎng)上有很多ARP病毒定位工具，其中做得較好的是Anti ARP Sniffer（現(xiàn)在已更名為ARP防火墻），下面我就演示一下使用Anti ARP Sniffer這個工具軟件來定位ARP中毒電腦。

首先打開Anti ARP Sniffer 軟件，輸入網(wǎng)關(guān)的IP地址之后，再點(diǎn)擊紅色框內(nèi)的―枚舉MAC‖按鈕，即可獲得正確網(wǎng)關(guān)的MAC地址，如圖5。

圖5 輸入網(wǎng)關(guān)IP地址后，枚舉MAC 接著點(diǎn)擊―自動保護(hù)‖按鈕，即可保護(hù)當(dāng)前網(wǎng)卡與網(wǎng)關(guān)的正常通信。如圖6。

圖6 點(diǎn)擊自動保護(hù)按鈕

當(dāng)局域網(wǎng)中存在ARP欺騙時，該數(shù)據(jù)包會被Anti ARP Sniffer記錄，該軟件會以氣泡的形式報警。如圖7。

圖7 Anti ARP Sniffer 的攔截記錄

這時，我們再根據(jù)欺騙機(jī)的MAC地址，對比查找全網(wǎng)的IP－MAC地址對照表，即可快速定位出中毒電腦。5.3 Sniffer 抓包嗅探法

當(dāng)局域網(wǎng)中有ARP病毒欺騙時，往往伴隨著大量的ARP欺騙廣播數(shù)據(jù)包，這時，流量檢測機(jī)制應(yīng)該能夠很好的檢測出網(wǎng)絡(luò)的異常舉動，此時Ethereal 這樣的抓包工具就能派上用場。如圖8。

圖8 用Ethereal抓包工具定位出ARP中毒電腦

從圖8中的紅色框內(nèi)的信息可以看出，192.168.0.109 這臺電腦正向全網(wǎng)發(fā)送大量的ARP廣播包，一般的講，局域網(wǎng)中有電腦發(fā)送ARP廣播包的情況是存在的，但是如果不停的大量發(fā)送，就很可疑了。而這臺192.168.0.109 電腦正是一個ARP中毒電腦。

以上三種方法有時需要結(jié)合使用，互相印證，這樣可以快速準(zhǔn)確的將ARP中毒電腦定位出來。

七、ARP病毒的網(wǎng)絡(luò)免疫措施

由于ARP病毒的種種網(wǎng)絡(luò)特性，可以采用一些技術(shù)手段進(jìn)行網(wǎng)絡(luò)中ARP病毒欺騙數(shù)據(jù)包免疫。即便網(wǎng)絡(luò)中有ARP中毒電腦，在發(fā)送欺騙的ARP數(shù)據(jù)包，其它電腦也不會修改自身的ARP緩存表，數(shù)據(jù)包始終發(fā)送給正確的網(wǎng)關(guān)，用的比較多的辦法是―雙向綁定法‖。雙向綁定法，顧名思義，就是要在兩端綁定IP－MAC地址，其中一端是在路由器中，把所有PC的IP-MAC輸入到一個靜態(tài)表中，這叫路由器IP-MAC綁定。令一端是局域網(wǎng)中的每個客戶機(jī)，在客戶端設(shè)置網(wǎng)關(guān)的靜態(tài)ARP信息，這叫PC 機(jī)IP-MAC綁定。客戶機(jī)中的設(shè)置方法如下：

新建記事本，輸入如下命令：

arp-darp-s 192.168.0.1 00-e0-4c-8c-9a-47 其中，―arp –d‖ 命令是清空當(dāng)前的ARP緩存表，而―arp-s 192.168.0.1 00-e0-4c-8c-9a-47 ‖命令則是將正確網(wǎng)關(guān)的IP地址和MAC地址綁定起來，將這個批處理文件放到系統(tǒng)的啟動目錄中，可以實現(xiàn)每次開機(jī)自運(yùn)行，這一步叫做―固化arp表‖。―雙向綁定法‖一般在網(wǎng)吧里面應(yīng)用的居多。

除此之外，很多交換機(jī)和路由器廠商也推出了各自的防御ARP病毒的軟硬產(chǎn)品，如：華 為的H3C AR 18-6X 系列全千兆以太網(wǎng)路由器就可以實現(xiàn)局域網(wǎng)中的ARP病毒免疫，該路由器提供MAC和IP地址綁定功能，可以根據(jù)用戶的配置，在特定的IP地址和MAC地址 之間形成關(guān)聯(lián)關(guān)系。對于聲稱從這個IP地址發(fā)送的報文，如果其MAC地址不是指定關(guān)系對中的地址，路由器將予以丟棄，是避免IP地址假冒攻擊的一種方式。

第五篇：XX學(xué)院關(guān)于防范病毒攻擊的公告

XX學(xué)院

關(guān)于防范病毒攻擊的公告

據(jù)國家網(wǎng)絡(luò)與信息安全信息通報中心監(jiān)測發(fā)現(xiàn)，X年X月X日起，境外有黑客組織對我國政府機(jī)構(gòu)和企事業(yè)單位開展勒索病毒郵件攻擊。經(jīng)分析判斷，該勒索病毒版本號為X（又名“X病毒”），是X年X月最新升級的X病毒版本，運(yùn)行后將對用戶主機(jī)硬盤數(shù)據(jù)全盤加密，并讓受害用戶訪問網(wǎng)址下載X瀏覽器，隨后通過X瀏覽器登錄攻擊者的數(shù)字貨幣支付窗口，要求受害用戶繳納贖金。

該病毒目前主要是通過郵件形式攻擊，請廣大師生提高警惕不要隨意打開不明郵件，具體防范措施如下：

一、不要打開來歷不明的郵件附件；

二、及時安裝主流殺毒軟件，升級病毒庫，對相關(guān)系統(tǒng)進(jìn)行全面掃描查殺；

三、在Windows中禁用U盤的自動運(yùn)行功能；

四、及時升級操作系統(tǒng)安全補(bǔ)丁，升級Web、數(shù)據(jù)庫等服務(wù)程序，防止病毒利用漏洞傳播；

五、對已感染主機(jī)或服務(wù)器采取斷網(wǎng)措施，防止病毒擴(kuò)散蔓延。

計算機(jī)信息管理中心

X年X月X日