ARP病毒处理方法

admin管理员组

文章数量:1531406

2024年5月20日发(作者：)

内蒙古电力技术　

２０（１８年第１６卷第５劁　

ＮＮＥＲ　Ｍ０ＮＧ０　ＬｌＡ　ＥＬＥＣＴＲｌＣ　Ｐ０ＷＥＲ　６ｌ　

ＡＲＰ病毒处理方法　

Ｔｒｅａｔｍｅｎｔ　Ｍｅｔｈｏｄｓ　ｏｆ　ＡＲＰ　Ｖｉｒｕｓ　

冯普胜　

（鄂尔多斯电业局，内蒙古　鄂尔多斯０１７０００）　

『摘要１介绍了ＡＲＰ病毒的发生原理及其对网络所造成的危害。结合鄂尔多斯电业局ＡＲＰ　

病毒爆发的实际处理过程，提出了判断攻击机的ＩＰ地址、判断攻击机的ＭＡＣ地址、寻找所在　

端口、断网查杀病毒的解决方法，并给出预防措施。　

『关键词１信息网络；ＡＲＰ病毒；解决措施　

『中图分类号１　ＴＰ３９３．０８　［文献标识码］Ｂ　

『文章编号］１００８—６２１８（２００８）０５—００６１—０２　

随着信息化技术在电力企业应用的进一步深　

入，企业的生产、营销、办公ＯＡ等各环节在信息网　

络平台上的应用日臻完善和普及，信息网络的安全　

１．２．２　第２种ＡＲＰ欺骗　

第２种ＡＲＰ欺骗的原理是伪造网关。它的原理　

是建立假网关，让被它欺骗的ＰＣ向假网关发送数　

与稳定运行显得尤为重要。ＡＲＰ病毒是造成网络不　

稳定的常见因素之一。本文介绍了ＡＲＰ病毒的危害　

性，结合鄂尔多斯电业局的实际给出了处理ＡＲＰ病　

毒的方法　

据，而不是通过正常的路由器途径上网。在ＰＣ看　

来，就是上不了网，“网络掉线”。　

１．３　ＡＲＰ病毒危害性　

在局域网中，通过ＡＲＰ协议来完成ＩＰ地址转　

换为第２层物理地址（即ＭＡＣ地址）。一般来说，如　

１　ＡＲＰ简介　

１．１　ＡＲ上，　

果局域网中有中了ＡＲＰ欺骗木马的机器，就会造成　

本Ｖｌａｎ网段的机器由于本网段网关ＭＡＣ地址而被　

欺骗，网关路由被指到病毒机，先是部分机器网络中　

断，而后造成局域网无法正常工作，而且整个局域网　

ＡＲＰ（Ａｄｄｒｅｓｓ　Ｒｅｓｏｌｕｔｉｏｎ　Ｐｒｏｔｏｃｏ１．地址解析协　

议）是１个位于ＴＣＰ／ＩＰ协议栈中的低层协议，负责　

将某个ＩＰ地址解析成对应的ＭＡＣ地址。　

１．２　ＡＲＰ欺骗原理　

的网速会越来越慢，严重的甚至可能使整个网络瘫　

痪　

根据影响网络连接通畅的方式，ＡＲＰ欺骗分为　

２种：１种是对路由器ＡＲＰ表的欺骗：另１种是对内　

网ＰＣ的网关欺骗　

１．２．１　第１种ＡＲＰ欺骗　

２　ＡＲＰ病毒处理办法　

如果１个网段不能正常使用局域网，初步判断　

是第２种ＡＲＰ欺骗，是对内网ＰＣ的网关欺骗，其处　

理方法如下。　

２．１判断攻击机的ＩＰ地址　

第１种ＡＲＰ欺骗的原理是截获网关数据。它通　

过路由器一系列错误的内网ＭＡＣ地址，并按照一　

定的频率，使真实的地址信息无法通过更新保存在　

路由器中，结果路由器的所有数据只能发送错误的　

ＭＡＣ地址，造成正常ＰＣ无法收到信息。　

【收稿日期】２００７—０９—０２；［修改日期１　２００８—０５—１６　

某计算机所处网段的路由ＩＰ地址为ＸＸ．ＸＸ．××．１．　

本机地址为××．××．××．５，在计算机上运行ａｒｐ—ａ后输　

出如下：　

【作者简介］冯普胜（１９６９一），男，内蒙古人，毕业于内蒙古大学，工程师，现从事计算机网络管理工作。　

６２　

Ｃｏｃｕｍｅｎｔｓ　ａｎｄ　Ｓｅｔｔｉｎｇｓ＞ａｒｐ－ａ　

Ｉｎｔｅｒｆａｃｅ：××．××．××．５…０ｘ１０００３　

内蒙古电力技术　２（）（）８午第２６替第５期　

兆端口下联，结合实际６５０９端口和交换机对应关　

系，确定故障微机所在的交换机。登录到此交换机　

上，输入命令Ｊｇ２＃ｓｈ　ｍａｃ—ａｄｄｒｅｓｓ—ｔａｂｌｅ　ｄｙ４ｎａｍｉｃ　

ａｄｄｒｅｓｓ　０００１．Ｃ２０Ｆ．Ｂ４０９，进一步确认故障机所在端　

口，如ｆ／１５，再把此端口ｄｏｗｎ掉，命令如下：　

Ｊｇ２（ｃｏｎｆ－ｔ）＃ｉｎｔ　ｆＯ／１５　

Ｉｎｔｅｒｎｅｔ　Ａｄｄｒｅｓｓ　Ｐｈｙｓｉｃａｌ　Ａｄｄｒｅｓｓ　Ｔｙｐｅ　

××．××．ＸＸ．１　００—０１－０２—０３－０４—０５　ｄｙｎａｍｉｃ　

其中，００＿０１＿ｏ２—０３＿０４　５就是路由器××．××．××．１对　

应的ＭＡＣ地址，类型为动态（ｄｙｎａｍｉｃ），因此可被改　

变。正常情况下，××．××．××．１和００＿０１．０２＿０３－０４＿０５始　

Ｊｇ２（ｃｏｎｆ－ｉｆ）＃ｓｈｕｔ　

终对应。被攻击后，重复使用该命令查看，就会发现该　

ＭＡＣ已经被替换成攻击机器的ＭＡＣ（００－０１一Ｃ２　Ｆ－　

２．４断网查杀病毒　

利用上面介绍的ＡＲＰ木马检测方法在局域网　

Ｂ４－－０９），而且攻击机器的ＭＡＣ地址和真正的网关　

ＭＡＣ地址会出现交替现象，如：　

Ｃｏｃｕｍｅｎｔｓ　ａｎｄ　Ｓｅｔｔｉｎｇｓ＞ａｒｐ——ａ　

Ｉｎｔｅｒｆａｃｅ：ＸＸ．××．××．５一ＯｘｌＯ００３　

的交换机上查出受感染该病毒的端口后，立即关闭　

中病毒的端口，通过端口查出相应的用户并对其彻　

底查杀；而后做好单机防范，在其彻底查杀病毒后再　

开放相应的交换机端口，重新开通上网。局域网正　

常。　

如果是第１种ＡＲＰ欺骗，考虑重启路由器。　

Ｉｎｔｅｒｎｅｔ　Ａｄｄｒｅｓｓ　Ｐｈｙｓｉｃａｌ　Ａｄｄｒｅｓｓ　Ｔｙｐｅ　

××．××．××．１　００—０１－０２—０３－０４—０５　ｄｙｎａｍｉｃ　

××．××．××．８　００—０１－０２—０３－０４—０５　ｄｙｎａｍｉｃ　

由此可判断，ＸＸ．ｘｘ．××．８的计算机就是攻击机。　

２．２判断攻击机的ＭＡＣ地址　

３　预防措施　

（１）不要把网络安全信任关系建立在ＩＰ基础上　

某公司的核心交换机为Ｃｉｓｃｏ６５０９，用如下命　

令：　

６５０９（ｒ０ｕｔｅｒ）＃ｓｈ　ａｒｐ　Ｉ　ｉｎ××．××．××．８　

ＩｎｔｅｒｎｅｔＸＸ．××．ＸＸ．８　１２９０００１．Ｃ２０Ｆ．Ｂ４０９ＡＲＰＡ　ｖｌａｎ２６　

或ＭＡＣ基础上（ａｒｐ同样存在欺骗的问题），理想的　

关系应该建立在ＩＰ＋ＭＡＣ基础上。　

（２）设置静态的ＭＡＣ—ＩＰ对应表。　

（３）使用ＡＲＰ服务器，通过该服务器查找自己　

的ＡＲＰ转换表来响应其他机器的ＡＲＰ广播；但要确　

保这台ＡＲＰ服务器不被黑。　

（４）管理员要定期轮询，发现可疑情况，积极采　

取果断措施。　

找到攻击机对应的ＭＡＣ地址为０００１．Ｃ２０Ｆ．Ｂ４０９。　

２＿３寻找所在端口　

确定攻击机ＭＡＣ地址后，接着需要寻找所在　

的端口。某公司的核心交换机为Ｃｉｓｃｏ６５０９，二级交　

换机为Ｃｉｓｅｏ２９５０，寻找方法如下：先用命令６５０９　

（ｓｗｉｔｃｈ）＃ｓｈ　ｃａｍ　ｍａｃ（ｏｏ—Ｏ１一Ｃ２一ＯＦ—Ｂ４—０９），找至０　

（５）使用防火墙等网络管理软件监控网络。　

编辑：王金丽　

此攻击机ＭＡＣ地址所在交换机通过６５０９上的千　

内蒙古风电装机容量居全国首位　

国家能源局日前发布的￣１２００８中国风电发展报告》显示，到２００７年底，全国共有２０个省（区、　

市）开发建设了风电场。其中，内蒙古自治区总装机１　５９０　ＭＷ，占全国风电总装机的２６％，位居国　

内首位、据统计，内蒙古自治区风能资源技术可开　

１５０　ＧＷ，占全国的５０％，居首位　预计到今年底，全区　

装容量将突破３　０００　ＭＷ。其中，赤峰市今年底风电装　

破ｌ　０００　ＭＷ．在全国率先建成地级市级百万千瓦级　

地：　

本文标签： 病毒地址端口欺骗