淺談企業(yè)網(wǎng)ARP病毒的危害及防治

1、淺談企業(yè)網(wǎng)ARP病毒的危害及防治（第四采油廠第四油礦） 摘 要：局域網(wǎng)中感染ARP病毒的情況也越來越多。而且該病毒危害較大。病毒的防范措施。掌握其防范和清除方法十分必要。清除方法，淺談ARP病毒的危害及防治。 主題詞：ARP病毒，危害，防范措施，清除方法引 言 隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，局域網(wǎng)的使用日益廣泛，局域網(wǎng)中感染ARP病毒的情況也越來越多，而且該病毒危害較大，清理和防范較難，給網(wǎng)絡(luò)管理員和用戶造成了諸多困擾。因此，了解ARP病毒，掌握其防范和清除方法十分必要。1 ARP病毒的影響最近一段時期，在互聯(lián)網(wǎng)中出現(xiàn)了一種以網(wǎng)絡(luò)ARP協(xié)議為工作原理的病毒，它以破壞局域網(wǎng)的網(wǎng)絡(luò)鏈接為目標(biāo)，欺騙網(wǎng)關(guān)，阻斷

2、入網(wǎng)計(jì)算機(jī)，造成計(jì)算機(jī)無法連接網(wǎng)絡(luò)或網(wǎng)絡(luò)時斷時續(xù)，此病毒一經(jīng)產(chǎn)生便大規(guī)模地在網(wǎng)絡(luò)中蔓延，造成了很大的影響。采油廠企業(yè)網(wǎng)屬于大型局域網(wǎng)，它采用以太網(wǎng)的通信規(guī)則進(jìn)行數(shù)據(jù)的交換和傳輸。在企業(yè)網(wǎng)的日常管理和安全維護(hù)中，我們發(fā)現(xiàn)了多起ARP病毒入侵網(wǎng)絡(luò)的現(xiàn)象，它們常常使網(wǎng)絡(luò)時斷時續(xù)、主機(jī)IP地址沖突、網(wǎng)頁連接錯誤，給員工日常的辦公和油田生產(chǎn)數(shù)據(jù)的傳輸帶來了較大的影響。因此，ARP病毒的防治已成為采油廠企業(yè)網(wǎng)管理和維護(hù)的首要任務(wù)。 1.1 ARP病毒的起源許多局域網(wǎng)出現(xiàn)網(wǎng)絡(luò)運(yùn)行不穩(wěn)定，頻繁斷網(wǎng)、IE瀏覽器接連出錯、IP地址沖突等問題。國家計(jì)算機(jī)病毒應(yīng)急處理中心通報(bào)一種新型“地址解析協(xié)議欺騙”(簡稱：ARP

3、欺騙)的惡意木馬程序正在網(wǎng)絡(luò)中傳播。論文檢測，清除方法。這是ARP病毒第一次公開出現(xiàn)在大眾視線中，從此，ARP病毒逐漸在校園網(wǎng)、部門網(wǎng)、企業(yè)網(wǎng)、社區(qū)網(wǎng)以及網(wǎng)吧等局域網(wǎng)中蔓延。1.2ARP病毒的原理 ARP病毒是利用局域網(wǎng)中ARP協(xié)議工作原理進(jìn)行網(wǎng)絡(luò)破壞的。ARP協(xié)議是“Address Resolution Protocol”（地址解析協(xié)議）的縮寫。每臺交換機(jī)或安裝有TCP/IP協(xié)議的電腦里都有一個ARP緩存表，表里的IP地址與MAC地址是一一對應(yīng)的，如下表所示： Internet Address Physical Address Type 2 00-06-29-38-cf

4、-54 dynamic 6 00-d0-b7-a8-26-38 dynamic 9 00-17-08-5c-b0-a1 dynamic 28 00-17-a4-44-74-19 dynamic 1.3 ARP病毒的分類ARP病毒在發(fā)展的過程中演化出了許多變種，經(jīng)過研究，按照ARP病毒的原理主要可分為以下四類：類型一：發(fā)送arp數(shù)據(jù)包，偽裝網(wǎng)段內(nèi)其他主機(jī)的MAC地址，使得被偽裝的主機(jī)無法接入企業(yè)網(wǎng)。導(dǎo)致部分（被偽裝）主機(jī)無法接入企業(yè)網(wǎng)。 類型二 ：發(fā)送arp數(shù)據(jù)包，欺騙網(wǎng)關(guān)MAC地址，使得網(wǎng)段內(nèi)所有主機(jī)訪問企業(yè)網(wǎng)時訪問病毒感染主機(jī)

5、。導(dǎo)致同一網(wǎng)段內(nèi)所有主機(jī)無法接入企業(yè)網(wǎng)。 類型三 ：發(fā)送arp數(shù)據(jù)包，欺騙網(wǎng)關(guān)MAC地址為自身的MAC，使得網(wǎng)段內(nèi)所有主機(jī)訪問企業(yè)網(wǎng)時通過病毒主機(jī)，同時病毒主機(jī)會轉(zhuǎn)發(fā)http請求，但是會在http響應(yīng)包中加入病毒網(wǎng)站地址。導(dǎo)致同一網(wǎng)段內(nèi)所有主機(jī)訪問正常WEB地址時，被定向到了病毒網(wǎng)站，如果此時這些主機(jī)系統(tǒng)有漏洞，會導(dǎo)致感染病毒，訪問網(wǎng)站的同時，防病毒軟件可能會報(bào)告發(fā)現(xiàn)病毒。 類型四：對同一網(wǎng)段的指定IP地址發(fā)送arp數(shù)據(jù)包，進(jìn)行欺騙，導(dǎo)致部分受影響的主機(jī)進(jìn)行http訪問時通過病毒主機(jī)，病毒主機(jī)會在http響應(yīng)包中加入病毒網(wǎng)站地址。導(dǎo)致同一網(wǎng)段的部分主機(jī)在正常http訪問時，會被指向到病毒網(wǎng)站，

6、但是更改IP地址后，現(xiàn)象消失。 2 ARP病毒的危害主機(jī)中了ARP病毒后，有些行為就不受用戶的意愿控制了，會給用戶本身和網(wǎng)絡(luò)造成很大的危害。 2.1 ARP病毒對PC的危害ARP病毒會使PC出現(xiàn)網(wǎng)絡(luò)異常、IP沖突，打開網(wǎng)頁速度慢甚至無法打開網(wǎng)頁，或者打開網(wǎng)頁時莫名的彈出廣告窗口等。可能造成用戶數(shù)據(jù)被竊?。ㄈ缰匾Y料、涉密文件等）、個人隱私泄漏(如MSN聊天記錄、郵件等)、賬號被盜用(如QQ賬號、網(wǎng)銀賬號等)等惡性事件；也可能造成請求數(shù)據(jù)被篡改(如訪問的網(wǎng)頁被添加了惡意內(nèi)容，俗稱“掛馬”)和用戶主機(jī)遭非法控制(如某些文件打不開、某些網(wǎng)絡(luò)應(yīng)用程序用不了)等情況。 2.2 ARP病毒對網(wǎng)絡(luò)的危害 先

7、說ARP攻擊病毒，只要局域網(wǎng)內(nèi)有一臺主機(jī)中了該病毒，它就會不斷地在全網(wǎng)內(nèi)發(fā)送虛假的ARP請求包和應(yīng)答包，造成網(wǎng)絡(luò)擁堵，全網(wǎng)主機(jī)無法正常通信。其次ARP欺騙病毒，無論是四種欺騙方式的哪種，都會造成網(wǎng)絡(luò)組織和秩序的混亂。論文檢測，清除方法。冒充主機(jī)欺騙主機(jī)與冒充主機(jī)欺騙網(wǎng)關(guān)會使得被冒充的主機(jī)（真主機(jī)）無法收到其他設(shè)備的數(shù)據(jù)，冒充網(wǎng)關(guān)欺騙主機(jī)會使得全網(wǎng)主機(jī)都把數(shù)據(jù)發(fā)送給冒充網(wǎng)關(guān)（假網(wǎng)關(guān)），而無法正常向外發(fā)送數(shù)據(jù)（即無法上網(wǎng)）。 3 ARP病毒的防范措施 ARP病毒的危害很大，防范ARP病毒，要從兩方面入手，一是接入設(shè)備，二是用戶主機(jī)。 3.1 接入設(shè)備層的防范措施 在對我廠企業(yè)網(wǎng)ARP病毒的研究中發(fā)

8、現(xiàn)，ARP病毒一般是通過計(jì)算機(jī)用戶瀏覽帶毒網(wǎng)頁、下載帶毒文件、打開帶毒存儲設(shè)備等方式感染和傳播。所以，預(yù)防感染ARP病毒的關(guān)鍵就是要強(qiáng)化計(jì)算機(jī)用戶的網(wǎng)絡(luò)安全意識，盡量不要打開陌生的鏈接，不要下載未知的文件，使用U盤、移動硬盤等存儲設(shè)備時要先進(jìn)行查毒。3.2 用戶主機(jī)層的防范措施 對于企業(yè)網(wǎng)內(nèi)可能受到中ARP病毒計(jì)算機(jī)影響的主機(jī)可以采用以下兩種方法防護(hù)：3.2.1主機(jī)MAC地址綁定 我廠網(wǎng)絡(luò)地址為靜態(tài)IP地址，為避免中毒計(jì)算機(jī)發(fā)送錯誤MAC地址，可以將目的主機(jī)的IP地址和MAC地址進(jìn)行綁定。具體操作為：在“命令提示符”下輸入“arp s 00（目的主機(jī)IP地址） 00-17

9、-a7-44-74-a7（目的主機(jī)MAC地址）” 3.2.2交換機(jī)MAC地址綁定 在交換機(jī)上進(jìn)行網(wǎng)關(guān)和重要服務(wù)器的IP、MAC地址綁定，但是如果以后網(wǎng)關(guān)或服務(wù)器發(fā)生變更，將會造成潛在的隱患。 3.3安裝殺毒軟件和防火墻 網(wǎng)絡(luò)上病毒很多，用戶上網(wǎng)，安裝殺毒軟件和防火墻是十分必要的。常用的具有防ARP病毒的殺毒軟件有瑞星、金山等。而且防火墻在防ARP病毒過程中也可以起到至關(guān)重要的作用，能有效地阻擋其攻擊和欺騙，日常比較熟悉的有ARP防火墻、360防火墻、AntiARP等。注意在安裝了殺毒軟件和防火墻后，要及時更新。3.4 養(yǎng)成良好的上網(wǎng)習(xí)慣用戶上網(wǎng)時，要提高安全意識，并且養(yǎng)成良好的上網(wǎng)習(xí)慣，不打開

10、來歷不明的郵件，不瀏覽不健康的網(wǎng)頁；特別是克服好奇心理，對那種彈出來的誘人窗口或鏈接，（如：恭喜你中了一等獎,發(fā)送你的銀行卡號碼領(lǐng)錢）一般都是帶有欺騙類或控制類病毒，千萬不要打開。4 ARP病毒的清除方法ARP病毒沒有明顯的特征字，對于一般的殺毒軟件來說是很難查殺的。ARP病毒的查殺首先要對局域網(wǎng)內(nèi)的ARP中毒機(jī)進(jìn)行定位，然后再進(jìn)行清除。 4.1 ARP病毒機(jī)的定位 在ARP病毒感染的網(wǎng)絡(luò)中，通常進(jìn)行ARP欺騙的主機(jī)無異常現(xiàn)象，隱蔽性很強(qiáng)，不易被發(fā)現(xiàn)，所以在企業(yè)網(wǎng)ARP病毒的查殺過程中，如何迅速、準(zhǔn)確地定位中毒機(jī)器是關(guān)鍵。 經(jīng)過對ARP病毒欺騙原理的仔細(xì)研究并結(jié)合我廠企業(yè)網(wǎng)實(shí)際情況反復(fù)試驗(yàn)，現(xiàn)

11、總結(jié)出以下幾種可以應(yīng)用在我廠企業(yè)網(wǎng)的定位中毒計(jì)算機(jī)辦法： （1）通過訪問核心交換機(jī)分析定位。從核心交換機(jī)讀取全廠企業(yè)網(wǎng)所有主機(jī)的ARP緩存表，然后根據(jù)ARP病毒工作原理，找出具有不同IP地址,相同MAC地址的所有主機(jī)，此相同的MAC即為進(jìn)行ARP欺騙的中毒計(jì)算機(jī)的真實(shí)MAC地址，接下來根據(jù)已備份全廠計(jì)算機(jī)的正確IP-MAC地址表，即可迅速定位中毒主機(jī)。 （2）對受病毒影響的主機(jī)進(jìn)行分析，從中提取證據(jù)定位中毒主機(jī)。具體操作是：在受ARP病毒欺騙的計(jì)算機(jī)上，點(diǎn)擊“開始”“運(yùn)行”敲入“command”命令彈出DOS窗口敲入命令“arp -a”（顯示本機(jī)arp緩存表），根據(jù)顯示的arp表可以分析并發(fā)現(xiàn)

12、中毒計(jì)算機(jī)的IP地址，完成中毒主機(jī)的定位。 （3）利用Sniffer軟件偵聽網(wǎng)絡(luò)中的ARP數(shù)據(jù)包，分析并定位中毒主機(jī)。如果ARP欺騙病毒在進(jìn)行部分網(wǎng)段或整個網(wǎng)段欺騙，那么發(fā)送的ARP數(shù)據(jù)包必定為廣播包，所以可以在受影響的主機(jī)上安裝Sniffer軟件進(jìn)行偵聽，便可發(fā)現(xiàn)ARP欺騙源。 4.2ARP病毒的查殺 定位企業(yè)網(wǎng)中發(fā)送ARP欺騙的主機(jī)后，就應(yīng)該立即將該計(jì)算機(jī)從網(wǎng)絡(luò)中斷掉，減少病毒對網(wǎng)絡(luò)的危害。而后，對中毒計(jì)算機(jī)進(jìn)行病毒的查殺。目前，我廠對ARP病毒的查殺主要有以下幾種方式： （1）利用Symantec Antivirus防病毒軟件查殺。Symantec Antivirus是中石油統(tǒng)一布置的企

13、業(yè)網(wǎng)防病毒軟件，是股份公司內(nèi)控要求的入網(wǎng)計(jì)算機(jī)必須安裝的軟件。據(jù)我廠ARP病毒查殺記錄統(tǒng)計(jì)表明，經(jīng)過及時更新病毒庫的Symantec軟件可以發(fā)現(xiàn)85%的ARP病毒，可以殺掉70%的ARP病毒。 （2）采用安全衛(wèi)士360查殺。安全衛(wèi)士360一款免費(fèi)的病毒查殺、插件清理、補(bǔ)丁檢測軟件，它可以對系統(tǒng)的進(jìn)程、服務(wù)和啟動項(xiàng)等病毒經(jīng)常入侵的系統(tǒng)項(xiàng)目進(jìn)行管理，可以利用安全衛(wèi)士360對ARP病毒直接查殺或配合Symantec Antivirus防病毒軟件使用。 （3）下載專殺工具查殺。對于不同種類的ARP病毒，各大防病毒軟件公司通常會及時發(fā)布相應(yīng)的專殺工具，用戶可以在網(wǎng)上下載后殺毒。目前使用較多的為Antiarp安全軟件、趨勢ARP病毒專殺等。4.3 軟件清除在確定了病毒機(jī)之后，斷開其網(wǎng)絡(luò)，再用專門的ARP病毒清除軟件(ARP專殺、anti-ARP等)進(jìn)行查殺，之后重啟機(jī)器即可。論文檢測，清除方法。隨著計(jì)算機(jī)技術(shù)的發(fā)展，ARP病毒也在不斷變異中，甚至嵌入其它病毒，給局域網(wǎng)安全帶來新的挑戰(zhàn)。網(wǎng)絡(luò)的安全需要廣大網(wǎng)絡(luò)用戶和管