选择实用方案 彻底解决烦人ARP病毒(图)

什么是ARP？

    在了解ARP病毒之前有必要先了解一下什么是ARP。ARP是计算机内的一种协议（ADDRess Resolution Protocol），这种协议的工作模式与DNS非常类似。对于DNS服务器，可以把用户输入的URL转换为具体的IP地址，换句话说URL不过是为了方便用户记忆而设计的，而针对计算机来说最终只识别IP地址。同样的，IP地址转换到MAC地址就需要调用ARP协议了。假设目前在一个局域网中，一台计算机需要向某台计算机发出信息通信口号，那么它首先要知道目标对象的MAC地址，由于系统内已经默认将IP地址和MAC地址一一对应起来，所以只要访问到对方的IP地址后，由ARP协议进行解析就可以得到MAC地址了。问题是——如果这个地址没有建立对应，或者对应有问题时，ARP协议如何工作呢？

    此时ARP会在整个网络发送广播，寻找通讯IP地址终端对应的MAC地址，这就好像寻人启示寻找目标一样。当然对于不符合广播条件的终端则作默认应答，而只有真正的终端接受到ARP协议发出的消息后会返回一条信息，告诉它真实的MAC地址，最终完成通信。同时面向新的IP→MAC的对应关系，ARP协议会重新做记录。

    提示：如果你想查询目前网络内IP→MAC的对应关系，可以在CMD下输入arp -a命令即可（如图1），至于ARP其它参数的使用方法，可以输入arp /?进行查询。

ARP攻击方式及防范

    目前黑客最常用的攻击方式就是利用ARP数据包对目标地址进行伪装攻击。比如发送带有欺骗性的ARP数据包，数据包内可能包含有与当前设备重复的MAC地址，对方在回应报文时，由于地址的重复错误而导致不能进行正常的通信。这个时候受攻击的计算机会出现两种情况：第一即无法上网或者网络速度非常慢；第二就是系统提示IP地址冲突，从而出现断网状态。

    而带有ARP欺骗的木马程序一般会直接俘获局域网内的主机或路由器，然后向整个网络发布欺骗性的ARP数据包，发作形式类似于蠕虫病毒。此时整个网络会出现数据拥堵现象，最后导致断网和网络的最终瘫痪。

    目前解决ARP攻击的方法有很多，其中包括一些初期的防范方案，对于以前部分安全工作者使用的ARP echo方法，现阶段并不提倡。主要原因在于：信息覆盖面不全，容易造成部分用户没有最终得到防范；防范周期不容易制定；监控手段繁琐，容易出现误差。其实在ARP攻击的前后不同阶段，我们可以尝试用以下方法进行挽救或修复：

    1.在路由器和终端上分别绑定IP和MAC的地址，防止被恶意篡改。建议首先用arp -d清除信息，然后输入arp -s绑定具体的IP和MAC地址。

    2.为所有的终端安装系统补丁，绝大多数网页木马均利用微软的MS06-014和MS07-017两个漏洞进入到系统里面，所以一定要安装最新补丁后才能彻底杜绝网页木马的二次入侵。

    3.在安全状态下备份好IP→MAC对应表，一旦发生ARP攻击立即进行核对。

    4.重点监测面向全网的ARP广播，查看其MAC地址和IP地址是否正确。

    5.利用专业工具，比如Anti ARP Sniffer或者ARP防火墙等。

    和ARP攻击的战斗是持久的，需要安全工作者足够的耐心和细心，当然随着网络技术的发展，目前最可怕的ARP木马早已脱离了普通的ARP攻击方式，它们威胁的范围之广已经扩展到系统密码、隐私资料甚至是网上银行的登录信息，如此看来，做好ARP攻击防范工作有多么重要！