ARP病毒的分析与防治

admin管理员组

文章数量:1532036

2024年5月20日发(作者：)

新疆电力技术　２００８年第３期　总第９８期　

ＡＲＰ病毒的分析与防治　

卿松　

新疆乌鲁木齐电业局（乌鲁木齐８３００１　１）　

摘要：ＡＲＰ病毒日益猖獗，充斥网络的不同角落，给管理工作　

首先主机Ｂ向主机Ａ发送一个ＡＲＰ应答包说网关Ｃ　

带来不大不小的问题。本文对ＡＲＰ病毒的攻击原理进行了深入分　

１９２．１６８．１．１的ＭＡＣ地址是０２—０２一ｏ２—０２一ｏ２－０２，主机Ａ收到　

析，并结合平时工作提出了防范和治理的方法。　

这个包后并没有去验证包的真实性而是直接将自己ＡＲＰ列表　

关键词：ＡＲＰ病毒；ＡＲＰ协议；网关；ＭＡＣ地址；三层交换机；　中的１９２．１６８．１．１的ＭＡＣ地址替换成０２—０２－０２—０２－０２—０２，同　

一

个ＡＲＰ病毒的计算机将导致ＶＬＡＮ内所有计算机　时主机Ｂ向网关ｃ发送一个ＡＲＰ响应包说１９２．１６８．１．２的　

不通，使电力生产、营销系统工作中断，特别是营销收费系统，　

ＭＡＣ是０２一Ｏ２一Ｏ２—０２—０２一ｏ２，同样，网关ｃ也没有去验证这个　

网络中断导致不能收费，造成很坏的影响。　

包的真实性就把自己ＡＲＰ表中的１９２．１６８．１．２的ＭＡＣ地址替　

由于乌鲁木齐电业局计算机众多，从两年前出现了ＡＲＰ病　

换成ｏ２—０２—０２－０２—０２—０２。当主机Ａ想要与主机Ｄ通信时，它　

毒欺骗攻击的事件至今，出现过多起ＡＲＰ病毒攻击导致网络不　直接把应该发送给网关１９２．１６８．１Ｉ１的数据包发送到　

通事件，目前仍然经常碰到ＡＲＰ病毒问题。在处理病毒的过程　

０２一Ｏ２一Ｏ２一ｏ２—０２一ｏ２这个ＭＡＣ地址，也就是发给了主机Ｂ，主　

中积累了一些防治的经验，在这里对此病毒进行一个详细的分　

机Ｂ在收到这个包后经过修改再转发给真正的网关ｃ，当从主　

析，希望对大家能有所帮助。　机Ｄ返回的数据包到达网关Ｃ后，网关也使用自己ＡＲＰ表中　

１实现ＡＲＰ协议的欺骗技术和相应的对策　

的ＭＡＣ，将发往１９２．１６８．１．２这个ＩＰ地址的数据发往　

１．１　ＡＲＰ协议欺骗技术　

０２一Ｏ２—０２—０２—０２－０２这个ＭＡＣ地址也就是主机Ｂ，主机Ｂ在收　

通过上面的例子知道，在以太局域网内数据包传输依靠的　到这个包后再转发给主机Ａ完成一次完整的数据通信，这样就　

是ＭＡＣ地址，ＩＰ地址与ＭＡＣ对应的关系依靠ＡＲＰ表，每台主　

成功地实现了一次ＡＲＰ欺骗攻击。因此简单点说，ＡＲＰ欺骗的　

机（包括网关）都有一个ＡＲＰ缓存表。在正常情况下这个缓存　

目的就是为了实现全交换环境下的数据监听。大部分的木马或　

表能够有效保证数据传输的一对一性，像主机Ｂ之类的是无法　病毒使用ＡＲＰ欺骗攻击也是为了达到这个目的。　

截获Ａ与Ｄ之间的通信信息的。　

１．２　ＡＲＰ病毒的症状　

但是主机在实现ＡＲＰ缓存表的机制中存在一个不完善的地　

局域网内一旦有ＡＲＰ的攻击存在，会欺骗局域网内所有主　

方，当主机收到一个ＡＲＰ的应答包后，它并不会去验证自己是否　

机和网关，让所有上网的流量必须经过ＡＲＰ攻击者控制的主机。　

发送过这个ＡＲＰ请求，而是直接将应答包里的ＭＡＣ地址与ＩＰ　

其他用户原来直接通过网关上网，现在却转由通过被控主机转　

对应的关系替换掉原有的ＡＲＰ缓存表里的相应信息。这就导致　

发上网。由于被控主机性能和程序性能的影响，这种转发并不会　

主机Ｂ截取主机Ａ与主机Ｄ之间的数据通信成为可能。　

非常流畅，因此就会导致用户上网的速度变慢甚至频繁断线。另　

是还是需要技术人员去一台一台地去进行设置。（２）必须有一　

地址、端口、监控状态（检测客户端打开的监控模块）、查杀状　

台补丁搜集的计算机。　

态、当前版本、连接（客户端是否在线）、系统类型（检测客户端　

３通过网络版瑞曼杀毒软件来实现　

操作系统类型）等等。　

这个方式也是最方便、最直接、最省事的方法，如果您局域　

（２）点击“操作”一“漏洞扫描”，在弹出来的对话框中，你可　

网正在使用的是网络版瑞星杀毒软件而且更新到最新版本的　

以设置要扫描的选项。点击“开始扫描”就在全网范围内进行漏　

话，你不用因为打不了补丁而发愁了。　

洞扫描。　

瑞星网络版杀毒软件在国内算是比较好点的企业版杀毒　

扫描完漏洞之后，服务端会自动下载漏洞补丁程序。如果　

软件了，其完美的集中管理功能给网管省了好多时间和精力，　

你以前下载过的也可以放到《瑞星网络版服务器端》安装目录　

服务器的架设和客户端的安装方法在这不用介绍了（已经超出　

底下的ＰＡＴＣＨ目录下，这样可避免重复下载。　

讨论范围了）直接进入主题。　

建议：在“操作”一“设置客户端选项”，在打开的对话框中　

提示：该方式的前提条件是客户端必须安装瑞星网络版客　

选择“漏洞扫描设置”，在右边的选项中两个都选中，这样可避　

户端程序。　

免客户端因安装补丁而反复重启。　

服务器上的操作：　

客户端上的操作：　

（１）打开网络版瑞星“管理控制台”，打开之后就可以看到　

客户端不用进行任何操作，所以这种集中补丁分发是最简　

目前安装网络版客户端软件的所有机器的机器名称、机器ＩＰ　

便、最省事。　

・

７１・　

新疆电力技术　２００８年第３期　总第９８期　

外ＡＲＰ欺骗需要不停地发送ＡＲＰ应答包，会造成网络拥塞。　

ａｒｐ　ｓ　１０．２１８．１０２．２５４　

（静态指定网关　

综上所述在用户方面表现为计算机有时候无法正常上网，　

的ＭＡＣ地址）　

有时候又好了，包括访问网上邻居也是如此，拷贝文件无法完　

成，出现错误；　

随后下载了一款名为“Ａｎｔｉ　Ａｒｐ　Ｓｎｉｆｅｒ”的工具，这是一款　

ＡＲＰ防火墙软件，该软件通过在系统内核层拦截虚假ＡＲＰ数　

网管员会发现局域网内的ＡＲＰ包爆增，使用Ａｒｐ查询的时　

据包来获取中毒电脑的ＩＰ地址和ＭＡＣ地址。此外，该软件能　

候会发现不正常的Ｍａｃ地址，或者是错误的Ｍａｃ地址对应，还　

有效拦截ＡＲＰ病毒的攻击，保障该电脑数据流向正确。　

有就是一个Ｍａｃ地址对应多个ＩＰ的情况也会有出现。　

使用“Ａｎｔｉ　Ｓｎｉｆｅｒ”查找感染毒电脑时，启动该程序，随　

在网络设备上来说由于ＡＲＰ病毒机使用网关ｌＰ地址和自　

后在右侧的“网关地址”项中输人该局域网内的网关ＩＰ，随后单　

己的ＭＡＣ地址向本网段主机广播，所以必然会在三层交换机　击“枚取ＭＡＣ”这是该出现会自动获取到网关电脑网卡的ＭＡＣ　

的日志上出现ＩＰ地址冲突的记录。同时病毒机还会和所有主　地址。ＭＡＣ获取后单击“自动保护”按钮，这样“Ａｎｔｉ　ＡＷ　Ｓｎｉｆｆｅｒ”　

机冲突，造成网段内计算机出现依次瞬断，时断时续的现象出　

便开始监视通过该网关上网的所有电脑了。　

现，当然这也会在三层交换机的日志中留下相应的记录。　

片刻功夫，看到系统的任务栏中的“Ａｎｔｉ　Ａｒｐ　Ｓｎｉｆｆｅｒ”图标上　

１．３　ＡＲＰ协议欺骗技术相应对策　

弹出一个“ＡＲＰ欺骗数据包”提示信息。这就说明该软件已经侦　

各种网络安全的对策都是相对的，主要要看网管平时对网　

测到ＡＲＰ病毒。于是打开“Ａｎｔｉ　ＡｆｐＳｎｉｆｆｅｒ”程序的主窗口，在程　

络安全的重视性了。下面介始～些相应的对策：　

（１）先保证网络正常运行　

方法一：编辑个　．ｂａｔ文件内容如下：　

ａｒｐ．ｅｘｅ—ｓ　网关ｉｐ　网关ｍａｃ地址　

ｅｎｄ　

序的“欺骗数据详细记录”列表中看到一条信息，这就是“Ａｎｔｉ　

Ｓｎｉｆｅｒ”程序捕获的ＡＲＰ病毒信息。　

其中“网关ＩＰ地址”和“网关ＭＡＣ地址”两项中是网关电脑　

的的真实地址，后面的欺骗机ＭＡＣ地址就是中ＡＲＰ病毒的　

让网络用户点击就可以了！　

办法二：编辑一个注册表问题，键值如下：　

Ｗｉｎｄｏｗｓ　Ｒｅｇｉｓｔｒｙ　Ｅｄｉｔｏｒ　Ｖｅｒｓｉｏｎ　５．Ｏ０　

ＭＡＣ地址。ＡＲＰ病毒将该局域网的网关指向了这个ＩＰ地址，导　

致其他电脑无法上网。　

２．２获取欺骗机ＩＰ　

知道ＭＡＣ地址后，为避免事态扩大，可直接登陆到接人层　

交换机通过查看ＭＡＣ地址表找到端口，将其直接ＳＨＵＴＤＯＷＮ　

然后登陆局生产管理系统查询计算机台帐中的ＭＡＣ地址，就　

，

［ＨＫＥＹ—ＬＯＣＡＬ—ＭＡＣＨＩＮＥ＼ｓＯＦｒＷＡＲＥ＼Ｍｉｃｒｏｓｏｆｔ＼Ｗｉｎ—　

ｄｏｗｓ＼ＣｕｒｒｅｎｔＶｅｒｓｉｏｎ＼ＲｕｎＪ　

“

ｍａｃ”＝“ａｒｐ—ｓ网关ＩＰ地址网关Ｍａｃ地址”　可找到使用人及相关的部门。也可直接通过ＩＰ地址工具杏看　

寻找ＩＰ及计算机名。　然后保存成Ｒｅｇ文件以后在每个客户端上　击导人注册表。　

２．３清除ＡＲＰ病毒　

（２）找到感染ＡＲＰ病毒的机器　

在乌鲁木齐电业局网络中，通过查看三层交换机日志中的　

顺藤摸瓜，通过ＩＰ地址有找到了感染病毒的电脑，首先就　

ＩＰ地址冲突记录，其中和网关地址冲突并和计算机ＩＰ依次冲突　是将这台电脑断网，随后在该电脑上运行“ＡＲＰ病毒专杀”包中　

ＴＳＣ．ＥＸＥ”程序，该程序运行后，自动扫描电脑中的ＡＲＰ病　

的同一个ＭＡＣ地址一定是ＡＲＰ病毒机的ＭＡＣ地址，通过查找　

的“

交换机ＭＡＣ表确认学习到此ＭＡＣ地址的端口，然后通过ＩＰ台　毒，功夫不大就将该电脑上的ＡＲＰ病毒清除了。　

帐或使用ｍａｃ地址扫描工具，ｎｂｔｓｃａｎ扫描全网段ＩＰ地址和ＭＡＣ　

３　ＡＲＰ病毒预防措施　

地址对应表。查找到ＩＰ，在通过计算机实名找到具体计算机。　对于计算机来说，预防措施是保证自己计算机正常运行　

也可在受攻击的电脑上ｐｉｎｇ一下网关的ＩＰ地址，然后使　

的主要手段，在日常工作中我们要作到以下几个方面才能更　

用ＡＲＰ－－ａ的命令看得到的网关对应的ＭＡＣ地址是否与实际　

有效的遏制病毒的蔓延，保护我们工作的正常进行。　

（１）及时升级客户端的操作系统和应用程式补丁；　

情况相符，如不符，可去查找与该ＭＡＣ地址对应的电脑。　

２乌局局域网内ＡＲＰ病毒捕杀过程　

（２）安装和更新杀毒软件。　

某分场的局域网总是不稳定，连连出现断网的现象。网段　（３）如果网络规模较少，尽量使用手动指定ＩＰ设置，而不是　

Ｐ地址。　

１０．２１８．１０２．１２９—１０．２１８．１０２．２５４。根据局域网内计算机频繁掉　

使用ＤＨＣＰ来分配Ｉ

线的现象，分析认为分场内的某台电脑可能中了“ＡＲＰ”的病毒，　

于是便在局域网内展开了ＡＲＰ病毒捕杀过程。　

２．１找出病毒的根源　

（４）如果交换机支持，在交换机上绑定ＭＡＣ地址与ＩＰ地　

址。（不过这个实在不是好主意）　

（５）网络管理员定期对网络设备进行巡检，对与日志中的　

Ｐ冲突记录要多加注意。　

首先登陆到局核心三层交换机上，由于是星形网络，所有　

Ｉ

（６）在路由器上做ＩＰ地址与ＭＡＣ地址的静态绑定。　

网关地址都集中在三层交换机上，通过查看交换机日志就可以　

看见ＩＰ冲突记录。ＡＲＰ病毒一旦开始攻击会导致分场中多有　

（７）最主要是要提高用户的安全意识，养成良好的安全习　

包括：及时安装系统补丁程序；为系统设置强壮的密码；安　

的计算机都不能上网，当然也不能登录交换机（不在同一　

惯，

安装有效的杀毒软件并及时升级病毒库；不主动进　

ＶＬＡＮ），同时分场距离局中心太远，通过交换机日志远程查找　

装防火墙；

病毒源是最快捷有效的方法。　

通过日志可以明显看出有一个ＭＡＣ地址是　

行网络攻击，不随便运行不受信任的软件。　

４总结　

００５０一ＢＡＡ４—４Ｂ１０的计算机和１０．２１８．１２网段内的计算机挨着　０

冲突，此ＭＡＣ地址应该就是病毒机的网卡地址　

通过以上综合的方法来解决ＡＲＰ病毒攻击是行之有效的。　

虽然ＡＲＰ病毒版本不断更新、不断升级，给企业用户不断带来　

但是如果能够提前做好防制工作，相信ＡＲＰ　

当然在分场信息员在本地也可处理，办法如下：首先打开　

新的冲击与危害，

局域网一台电脑，在客户端使用ａｒｐ命令绑定网关的真实ＭＡＣ　的危害会减少到最小的程度。　

地址命令如下：　

ｍ－ｐ－ｄ（先清除错误的ＡＲＰ表）　

・

７２・　

本文标签： 病毒地址网关客户端计算机