ＡＲＰ病毒防范初探

摘要：近一段时间以来，校园网部分用户受到一种名为ARP欺骗木马程序（病毒）的攻击（ARP是“Address Resolution Protocol”“地址解析协议”的缩写），病毒发作时其症状表现为计算机网络连接正常，却无法打开网页；或由于ARP欺骗的木马程序（病毒）发作时发出大量的数据包，导致局域网用户上网不稳定，极大地影响了校园网用户的正常使用，给整个网的安全带来严重的隐患。本人在文中讨论了ARP病毒的故障现象、故障的原理、并给出了用户检查和处理“ ARP 欺骗”木马的方法。

关键词：计算机病毒；网络协议；网络安全；ARP病毒

中图分类号：TP393.08 文献标识码：A文章编号：1009-3044(2007)04-10952-01

1 引言

近期在各高校网络中ARP病毒流行。ARP欺骗病毒及其各种变种大规模爆发，直接影响到学校网络的正常运行。病毒发作时明显的症状就是同一个子网中的计算机BRAS（Broadband Remote Access Server）导致网络内其它电脑因网关物理地址被更改而无法上网，被欺骗电脑的典型症状是刚开机能上网，几分钟之后断网，过一会又能上网，或者重启一遍电脑就可以上网，一会又不好了，如此不断重复，造成上网的不稳定，影响正常工作。笔者就ARP欺骗的原理及危害作一介绍，让我们对这个攻击方式有一个清晰的了解。

2 故障现象及原因

当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假象，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。传奇杀手是一款对局域网进行ARP欺骗,虚拟网关地址,以收集局域网中传奇游戏登陆信息并进行分析从而得到用户信息的破坏性软件。情况一、当局域网内某台主机感染了ARP病毒时，会向本局域网内（指某一网段，比如：219.230.193.1这一段）所有主机发送ARP欺骗攻击谎称自己是这个网端的网关设备，让原本流向网关的流量改道流向病毒主机，造成受害者非正常上网。 情况二、局域网内有某些用户使用了ARP欺骗程序（如：传奇木马、QQ盗号软件等）发送ARP欺骗数据包，致使被攻击的电脑出现突然不能上网，过一段时间又能上网，出现反复掉线的现象。中毒之后，用户电脑还会出现IE浏览器频繁出错，一些常用软件也会出现故障。

3 故障原理

要了解故障原理，我们先来了解一下ARP协议。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

在浏览器里面输入网址时，DNS服务器会自动把它解析为IP地址，浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物理地址（即MAC地址）的呢？在局域网中，这是通过ARP协议来完成的。在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle” 进行ARP重定向和嗅探攻击。用伪造源MAC地址发送ARP响应包，对ARP高速缓存机制的攻击。

每个主机都用一个ARP高速缓存存放最近IP地址到MAC硬件地址之间的映射记录。在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的。我们以主机A（219.230.193.5）向主机B（202.195.66.67）发送数据为例。

当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，这表示向同一网段内的所有主机发出这样的询问：“202.195.66.67的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“202.195.66.67的MAC地址是00-44-62-12-09”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。MS Windows高速缓存中的每一条记录（条目）的生存时间一般为60秒，起始时间从被创建时开始算起。默认情况下，ARP从缓存中读取IP-MAC条目，缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此，只要网络上有ARP响应包发送到本机，即会更新ARP高速缓存中的IP-MAC条目。攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和 MAC地址存储在ARP缓存中。因此，B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A可不知道被伪造了）。当攻击源大量向局域网中发送虚假的ARP信息后，就会造成局域网中的机器ARP缓存的崩溃。

4 如何查看ARP缓存表

ARP缓存表是可以查看的，也可以添加和修改。在命令提示符下，输入“arp -a”就可以查看ARP缓存表中的内容了，如附图所示。

用“arp -d”命令可以删除ARP表中某一行的内容；用“arp -s”可以手动在ARP表中指定IP地址与MAC地址的对应。

5 用户检查和处理“ ARP 欺骗”木马的方法

（1）检查本机是否中的“ ARP 欺骗”木马染毒 同时按住键盘上的“ CTRL + ALT +DEL ”键，选择“任务管理器”，点选“进程”标签。查看其中是否有一个名为“ MIR0.dat ”之类的进程。如果有，则说明已经中毒。右键点击此进程后选择“结束进程”。

（2）请用户下载“AntiArp”软件进行防护： 点击下载该软件。在本机安装运行AntiArp，在“网关地址”中输入本机的默认网关地址（各网段的网关地址不一样，具体查看网关地址可在DOS状态下使用arp –a查看），然后点击“获取MAC”按钮，再点击“自动防护”即可。在使用AntiArp过程中如果追查到中毒电脑，请及时处理。

（3）采用静态绑定方法。具体做法为在运行里或者命令提示符下输入 arp -s IP 物理地址 把IP和网卡物理地址绑到一起这样就破坏了ARP欺骗木马的正常工作。网关不被替换掉当然就不掉线了。或编写一个批处理文件rarp.bat内容如下：

@echo off

arp -d

arp -s 219.230.145.25300-22-aa-00-22-aa

放到启动菜单中。系统启动时自动执行此命令。

（4）由于该病毒影响了一个网段内用户的正常上网，一旦查到病毒机器，网络管理员在迫不得已时将停用该机器的上联交换机端口（直到机器病毒被清除），以保证其他机器正常上网。

ARP病毒只感染同一个网段的电脑，如果用户所在的网段没有电脑感染arp病毒，即用户上网正常,没有如上的症状，只要做好系统的日常维护升级，不需要对机器作特殊处理。由于目前尚没有发现哪种杀毒软件能彻底清除ARP病毒，诸如“木马杀客”等木马专杀工具软件可在一定程度上对部分ARP木马（病毒）进行清除，所以建议对于查出病毒的计算机要进行手工清除，将机器格式化并重装系统。

最后希望校园网用户注意查杀病毒，要及时下载和更新操作系统的补丁程序，安装正版的杀毒软件，增强个人计算机防御计算机病毒的能力。校园网是公共服务设施，保障网络安全不仅是信息网络中心的工作，更是每位网络用户应尽的义务。只有依靠大家群策群力、群防群治，网络才能长治久安。

参考文献：

[1]Stevens W R.TCP/IP详解（卷1）：协议.北京:机械工业出版社.2001（8）.

[2]Atkins D.Intemet网络安全专业参考手册.北京:机械工业出版社.1998（8）.

[3]Anonymous.网络安全技术内幕.北京:机械工业出版社.2000（3）.

[4]罗斯.安德生.信息安全工程.机械工业出版社.

本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。

推荐访问:初探 防范 病毒 ARP