防范ARP地址欺骗类病毒 - 百家拳原创软件教程网

ARP病毒也叫ARP地址欺骗类病毒，这是一类特殊的病毒。该病毒一般属于木马病毒，不具备主动传播的特性，不会自我复制，但是由于其发作的时候会向全网发送伪造的ARP数据包，严重干扰全网的正常运行，其危害甚至比一些蠕虫病毒还要严重得多。

ARP协议原理

一般计算机中的原始的ARP协议，很像一个容易被人影响的人，ARP欺骗/攻击就是利用这个特性，误导计算机作出错误的行为。原始的ARP协议运作，会附在局域网接收的广播包或是ARP询问包，无条件覆盖本机缓存中的ARP/MAC对照表。这个特性好比一个意志不坚定的人，听了每一个人和他说话都信以为真，并立刻以最新听到的信息作决定。常见ARP攻击对象有两种，一是网络网关，也就是路由器，二是局域网上的计算机，也就是一般用户。攻击网络网关就好比发送错误的地址信息给快递员，让快递员整个工作大乱，所有信件无法正常送达；而攻击一般计算机就是直接和一般人谎称自己就是快递员，让一般用户把需要传送物品传送给发动攻击的计算机。由于一般的计算机及路由器的ARP协议的意志都不坚定，因此只要有恶意计算机在局域网持续发出错误的ARP讯息，就会让计算机及路由器信以为真，作出错误的传送网络包动作。一般的ARP就是以这样的方式，造成网络运作不正常，达到盗取用户密码或破坏网络运作的目的。针对ARP攻击的防治，常见的方法，可以分为以下三种作法： 1、利用ARP echo传送正确的ARP讯息：通过频繁地提醒正确的ARP对照表，来达到防治的效果； 2、利用绑定方式，固定ARP对照表不受外来影响：通过固定正确的ARP对照表，来达到防治的效果； 3、舍弃ARP协议，采用其它寻址协议：不采用ARP作为传送的机制，而另行使用其它协议例如PPPoE方式传送。以上三种方法中，前两种方法较为常见，第三种方法由于变动较大，适用于技术能力较佳的应用。下面针对前两种方法加以说明。

ARP病毒发作时，通常会造成网络掉线，但网络连接正常，内网的部分电脑不能上网，或者所有电脑均不能上网，无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象，严重影响到企业网络、网吧、校园网络等局域网的正常运行。

以下六个步骤，即可有效防范ARP病毒：
1、做好IP－MAC地址的绑定工作（即将IP地址与硬件识别地址绑定），在交换机和客户端都要绑定，这是可以使局域网免疫ARP病毒侵扰的好办法。
2、全网所有的电脑都打上MS06-014和MS07-017这两个补丁，这样可以免疫绝大多数网页木马，防止在浏览网页的时候感染病毒。
MS06-014 中文版系统补丁下载地址： http://www.microsoft.com/china/technet/security/bulletin/MS06-014.mspx
MS07-017 中文版系统补丁下载地址： http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx
3、禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。禁用Windows 系统的自动播放功能的方法：在运行中输入 gpedit.msc 后回车，打开组策略编辑器，依次点击：计算机配置－＞管理模板－＞系统－＞关闭自动播放－＞已启用－＞所有驱动器－＞确定。
4、在网络正常时候保存好全网的IP－MAC地址对照表，这样在查找ARP中毒电脑时很方便。
5、部署网络流量检测设备，时刻监视全网的ARP广播包，查看其MAC地址是否正确。
6、安装杀毒软件，及时升级病毒库，定期全网杀毒。
7、目前较佳解决方案就是MAC双向绑定。