什么是ARP?

      ARP（Address Resolution Protocol,，地址解析協(xié)議）是一個位于TCP/IP協(xié)議棧中的低層協(xié)議，負(fù)責(zé)將某個IP地址解析成對應(yīng)的MAC地址,。

什么是ARP欺騙?   

    從影響網(wǎng)絡(luò)連接通暢的方式來看,，ARP欺騙分為二種，一種是對路由器ARP表的欺騙,；另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙,。   

   第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯誤的內(nèi)網(wǎng)MAC地址,，并按照一定的頻率不斷進(jìn)行,，使真實的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC地址,，造成正常PC無法收到信息,。第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān),，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù),，而不是通過正常的路由器途徑上網(wǎng)。在PC看來,，就是上不了網(wǎng)了,，“網(wǎng)絡(luò)掉線了”。     

      近期,，一種新型的“ ARP 欺騙”木馬病毒正在校園網(wǎng)中擴(kuò)散,，嚴(yán)重影響了校園網(wǎng)的正常運行。感染此木馬的計算機(jī)試圖通過“ ARP 欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計算機(jī)的通信信息,，并因此造成網(wǎng)內(nèi)其它計算機(jī)的通信故障,。

       ARP欺騙木馬的中毒現(xiàn)象表現(xiàn)為：使用校園網(wǎng)時會突然掉線，過一段時間后又會恢復(fù)正常,。比如客戶端狀態(tài)頻頻變紅,，用戶頻繁斷網(wǎng)，IE瀏覽器頻繁出錯,，以及一些常用軟件出現(xiàn)故障等,。如果校園網(wǎng)是通過身份認(rèn)證上網(wǎng)的，會突然出現(xiàn)可認(rèn)證,，但不能上網(wǎng)的現(xiàn)象（無法ping通網(wǎng)關(guān)）,，重啟機(jī)器或在MS-DOS窗口下運行命令arp -d后，又可恢復(fù)上網(wǎng),。ARP欺騙木馬十分猖狂,，危害也特別大，各大學(xué)校園網(wǎng),、小區(qū)網(wǎng),、公司網(wǎng)和網(wǎng)吧等局域網(wǎng)都出現(xiàn)了不同程度的災(zāi)情,，帶來了網(wǎng)絡(luò)大面積癱瘓的嚴(yán)重后果。

       ARP欺騙木馬只需成功感染一臺電腦,，就可能導(dǎo)致整個局域網(wǎng)都無法上網(wǎng)，嚴(yán)重的甚至可能帶來整個網(wǎng)絡(luò)的癱瘓,。該木馬發(fā)作時除了會導(dǎo)致同一局域網(wǎng)內(nèi)的其他用戶上網(wǎng)出現(xiàn)時斷時續(xù)的現(xiàn)象外,，還會竊取用戶密碼。如盜取QQ密碼,、盜取各種網(wǎng)絡(luò)游戲密碼和賬號去做金錢交易,，盜竊網(wǎng)上銀行賬號來做非法交易活動等，這是木馬的慣用伎倆,，給用戶造成了很大的不便和巨大的經(jīng)濟(jì)損失,。  

       如何檢查和處理“ ARP 欺騙”木馬的方法

       1 ．檢查本機(jī)的“ ARP 欺騙”木馬染毒進(jìn)程同時按住鍵盤上的“ CTRL ”和“ ALT ”鍵再按“ DEL ”鍵，選擇“任務(wù)管理器”,，點選“進(jìn)程”標(biāo)簽,。察看其中是否有一個名為“ MIR0.dat ”的進(jìn)程。如果有,，則說明已經(jīng)中毒,。右鍵點擊此進(jìn)程后選擇“結(jié)束進(jìn)程”。參見右圖,。

       2 ．檢查網(wǎng)內(nèi)感染“ ARP 欺騙”木馬染毒的計算機(jī)在“開始” - “程序” - “附件”菜單下調(diào)出“命令提示符”,。輸入并執(zhí)行以下命令：ipconfig記錄網(wǎng)關(guān) IP 地址，即“ Default Gateway ”對應(yīng)的值,，例如“ 59.66.36.1 ”,。再輸入并執(zhí)行以下命令：arp –a在“ Internet Address ”下找到上步記錄的網(wǎng)關(guān) IP 地址，記錄其對應(yīng)的物理地址,，即“ Physical Address ”值,，例如“ 00-01-e8-1f-35-54 ”。在網(wǎng)絡(luò)正常時這就是網(wǎng)關(guān)的正確物理地址,，在網(wǎng)絡(luò)受“ ARP 欺騙”木馬影響而不正常時,，它就是木馬所在計算機(jī)的網(wǎng)卡物理地址。也可以掃描本子網(wǎng)內(nèi)的全部 IP 地址,，然后再查 ARP 表,。如果有一個 IP 對應(yīng)的物理地址與網(wǎng)關(guān)的相同，那么這個 IP 地址和物理地址就是中毒計算機(jī)的 IP 地址和網(wǎng)卡物理地址,。

     3 ．設(shè)置 ARP 表避免“ ARP 欺騙”木馬影響的方法本方法可在一定程度上減輕中木馬的其它計算機(jī)對本機(jī)的影響,。用上邊介紹的方法確定正確的網(wǎng)關(guān) IP 地址和網(wǎng)關(guān)物理地址，然后在 “命令提示符”窗口中輸入并執(zhí)行以下命令：arp –s 網(wǎng)關(guān) IP 網(wǎng)關(guān)物理地址4.態(tài)ARP綁定網(wǎng)關(guān)  

          步驟一：   在能正常上網(wǎng)時,，進(jìn)入MS-DOS窗口,，輸入命令：arp －a,，查看網(wǎng)關(guān)的IP對應(yīng)的正確MAC地址， 并將其記錄下來,。   注意：如果已經(jīng)不能上網(wǎng),，則先運行一次命令arp －d將arp緩存中的內(nèi)容刪空，計算機(jī)可暫時恢復(fù)上網(wǎng)（攻擊如果不停止的話）,。一旦能上網(wǎng)就立即將網(wǎng)絡(luò)斷掉（禁用網(wǎng)卡或拔掉網(wǎng)線）,，再運行arp －a。  

       步驟二：   如果計算機(jī)已經(jīng)有網(wǎng)關(guān)的正確MAC地址,，在不能上網(wǎng)只需手工將網(wǎng)關(guān)IP和正確的MAC地址綁定,，即可確保計算機(jī)不再被欺騙攻擊。   要想手工綁定,，可在MS-DOS窗口下運行以下命令：   arp －s 網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC  

         例如：假設(shè)計算機(jī)所處網(wǎng)段的網(wǎng)關(guān)為192.168.1.1,，本機(jī)地址為192.168.1.5，在計算機(jī)上運行arp －a后輸出如下：  

          Cocuments and Settings>arp -a  

          Interface:192.168.1.5 --- 0x2  

          Internet Address   192.168.1.1

         Physical Address Type     00-01-02-03-04-05

         dynamic  

        其中,，00-01-02-03-04-05就是網(wǎng)關(guān)192.168.1.1對應(yīng)的MAC地址,，類型是動態(tài)（dynamic）的，因此是可被改變的,。   被攻擊后,，再用該命令查看，就會發(fā)現(xiàn)該MAC已經(jīng)被替換成攻擊機(jī)器的MAC,。如果希望能找出攻擊機(jī)器,，徹底根除攻擊，可以在此時將該MAC記錄下來,，為以后查找該攻擊的機(jī)器做準(zhǔn)備,。  

     4.手工綁定的命令為：   arp －s 192.168.1.1   00-01-02-03-04-05   綁定完，可再用arp －a查看arp緩存：   Cocuments and Settings>arp -a   Interface: 192.168.1.5 --- 0x2   Internet Address Physical Address Type   192.168.1.1   00-01-02-03-04-05 static   這時,，類型變?yōu)殪o態(tài)（static）,，就不會再受攻擊影響了。   但是,，需要說明的是,，手工綁定在計算機(jī)關(guān)機(jī)重啟后就會失效，需要再次重新綁定,。所以,，要徹底根除攻擊，只有找出網(wǎng)段內(nèi)被病毒感染的計算機(jī),，把病毒殺掉,，才算是真正解決問題。

    5 .作批處理文件   在客戶端做對網(wǎng)關(guān)的arp綁定，具體操作步驟如下：  

       步驟一：   查找本網(wǎng)段的網(wǎng)關(guān)地址,，比如192．168．1．1,，以下以此網(wǎng)關(guān)為例。在正常上網(wǎng)時,，“開始→運行→cmd→確定”,，輸入：arp －a，點回車,，查看網(wǎng)關(guān)對應(yīng)的Physical Address,。比如：網(wǎng)關(guān)192.168.1.1 對應(yīng)00－01－02－03－04－05。  

      步驟二：   編寫一個批處理文件rarp.bat,，內(nèi)容如下：   @echo off   arp －d   arp -s   192.168.1.1   00－01－02－03－04－05   保存為：rarp.bat。  

     步驟三：   運行批處理文件將這個批處理文件拖到“Windows→開始→程序→啟動”中,，如果需要立即生效,，請運行此文件。  

     注意：以上配置需要在網(wǎng)絡(luò)正常時進(jìn)行

    6.使用安全工具軟件  

      及時下載Anti ARP Sniffer軟件保護(hù)本地計算機(jī)正常運行,。具體使用方法可以在網(wǎng)上搜索,。  

     如果已有病毒計算機(jī)的MAC地址，可使用NBTSCAN等軟件找出網(wǎng)段內(nèi)與該MAC地址對應(yīng)的IP,，即感染病毒的計算機(jī)的IP地址,，然后報告單位的網(wǎng)絡(luò)中心對其進(jìn)行查封。

   或者利用單位提供的集中網(wǎng)絡(luò)防病毒系統(tǒng)來統(tǒng)一查殺木馬,。

   另外還可以利用木馬殺客等安全工具進(jìn)行查殺,。

   7.應(yīng)急方案  

     網(wǎng)絡(luò)管理管理人員利用上面介紹的ARP木馬檢測方法在局域網(wǎng)的交換機(jī)上查出受感染該病毒的端口后，立即關(guān)閉中病毒的端口,，通過端口查出相應(yīng)的用戶并通知其徹底查殺病毒,。而后，做好單機(jī)防范,，在其徹底查殺病毒后再開放相應(yīng)的交換機(jī)端口,，重新開通上網(wǎng)。

    附錄一

    清華大學(xué)校園網(wǎng)絡(luò)安全響應(yīng)小組編的一個小程序下載地址： ftp://166.111.8.243/tools/ArpFix.rar

    清華大學(xué)校園網(wǎng)絡(luò)安全響應(yīng)小組編了一個小程序,，它可以保護(hù)您的計算機(jī)在同一個局域網(wǎng)內(nèi)部有ARP欺騙木馬計算機(jī)的攻擊時,，保持正常上網(wǎng)。

   具體使用方法：

   1,、 程序運行后請先選擇網(wǎng)卡,，選定網(wǎng)卡后點擊“選定”按鈕。

   2,、 選定網(wǎng)卡后程序會自動獲取您機(jī)器的網(wǎng)關(guān)地址,。

   3、獲得網(wǎng)關(guān)地址后請點擊獲取MAC地址按鈕獲取正確的網(wǎng)關(guān)MAC地址。

   4,、 確認(rèn)網(wǎng)關(guān)的MAC地址后請點擊連接保護(hù),，程序開始保護(hù)您的機(jī)器。

   5,、 點擊程序右上角的叉,，程序自動隱藏到系統(tǒng)托盤內(nèi)。

   6,、要完全退出程序請在系統(tǒng)托盤中該程序圖標(biāo)上點擊右鍵選擇EXIT,。

   注意：

    1、這個程序只是一個ARP攻擊保護(hù)程序,，即受ARP木馬攻擊時保持自己計算機(jī)的MAC地址不被惡意篡改,，從而在遭受攻擊時網(wǎng)絡(luò)不會中斷。本程序并不能清除已經(jīng)感染的ARP木馬,，要預(yù)防感染或殺除木馬請您安裝正版的殺毒軟件,！

     附錄二Anti Arp Sniffer 的用法下載地址：http://www./Files/wlzx/Antiarp.rar

     雙擊Antiarp文件，出現(xiàn)圖二所示對話框,。

     圖二輸入網(wǎng)關(guān)地址（網(wǎng)關(guān)地址獲取方式：[開始] -->[程序]--> [附件]菜單下調(diào)出“命令提示符”,，輸入ipconfig，其中Default Gateway即為網(wǎng)關(guān)地址）,；

     點擊獲取網(wǎng)關(guān)MAC地址,，點擊自動防護(hù)保證當(dāng)前網(wǎng)卡與網(wǎng)關(guān)的通信不被第三方監(jiān)聽。

     點擊恢復(fù)默認(rèn),，然后點擊防止地址沖突,，如頻繁的出現(xiàn)IP地址沖突，這說明攻擊者頻繁發(fā)送ARP欺騙數(shù)據(jù)包,。

    右擊[我的電腦]-->[管理]-->點擊[事件查看器]-->點擊[系統(tǒng)]-->查看來源為[TcpIP]--->雙擊事件可以看到顯示地址發(fā)生沖突,，并記錄了該MAC地址，請復(fù)制該MAC地址并填入Anti ARP Sniffer的本地MAC地址輸入框中(請注意將:轉(zhuǎn)換為-),，輸入完成之后點擊[防護(hù)地址沖突],，為了使MAC地址生效請禁用本地網(wǎng)卡然后再啟用網(wǎng)卡，在CMD命令行中輸入Ipconfig /all,，查看當(dāng)前MAC地址是否與本地MAC地址輸入框中的MAC地址相符,，如果成功將不再會顯示地址沖突。

    注：1,、如果您想恢復(fù)默認(rèn)MAC地址,請點擊[恢復(fù)默認(rèn)],為了使MAC地址生效請禁用本地網(wǎng)卡然后再啟用網(wǎng)卡,；本軟件不支持多網(wǎng)卡，部分網(wǎng)卡可能更改MAC會無效,。
      你的網(wǎng)絡(luò)是否經(jīng)常掉線,，是否經(jīng)常發(fā)生IP沖突？

    你是否擔(dān)心通訊數(shù)據(jù)受到監(jiān)控（如MSN、QQ,、EMAIL）,？

   你的網(wǎng)絡(luò)速度是否受到網(wǎng)管軟件限制（如聚生網(wǎng)管、P2P終結(jié)者）,？

   你是否深受各種ARP攻擊軟件之苦（如網(wǎng)絡(luò)執(zhí)法官,、網(wǎng)絡(luò)剪刀手、局域網(wǎng)終結(jié)者）,？

   以上各種問題的根源都是ARP欺騙（ARP攻擊）,。在沒有ARP欺騙之前，數(shù)據(jù)流向是這樣的：網(wǎng)關(guān)<->本機(jī),。ARP欺騙之后,，數(shù)據(jù)流向是這樣的：網(wǎng)關(guān)<->攻擊者（“網(wǎng)管”）<->本機(jī)，本機(jī)與網(wǎng)關(guān)之間的所有通訊數(shù)據(jù)都將流經(jīng)攻擊者（“網(wǎng)管”）,，所以“任人宰割”就在所難免了,。 ARP防火墻通過在系統(tǒng)內(nèi)核層攔截虛假ARP數(shù)據(jù)包以及主動通告網(wǎng)關(guān)本機(jī)正確的MAC地址，可以保障數(shù)據(jù)流向正確,，不經(jīng)過第三者，從而保證通訊數(shù)據(jù)安全,、保證網(wǎng)絡(luò)暢通,、保證通訊數(shù)據(jù)不受第三者控制，從而完美的解決上述所有問題,。 ARP防火墻六大功能 * 攔截外部攻擊,。在系統(tǒng)內(nèi)核層攔截外部虛假ARP數(shù)據(jù)包，保障系統(tǒng)不受ARP欺騙,、ARP攻擊影響,，保持網(wǎng)絡(luò)暢通及通訊安全； * 攔截IP沖突,。在系統(tǒng)內(nèi)核層攔截IP沖突數(shù)據(jù)包,，保障系統(tǒng)不受IP沖突攻擊的影響； * 攔截外對攻擊,。在系統(tǒng)內(nèi)核層攔截本機(jī)對外的ARP攻擊數(shù)據(jù)包,，以減少感染惡意程序后對外攻擊給用戶帶來的麻煩； * 監(jiān)測ARP緩存,。自動監(jiān)測本機(jī)ARP緩存表,，如發(fā)現(xiàn)網(wǎng)關(guān)MAC地址被惡意程序篡改，將報警并自動修復(fù),，以保持網(wǎng)絡(luò)暢通及通訊安全,； * 主動防御。主動與網(wǎng)關(guān)保持通訊，通告網(wǎng)關(guān)正確的MAC地址,，以保持網(wǎng)絡(luò)暢通及通訊安全,； * 鎖定攻擊者。發(fā)現(xiàn)攻擊行為后,，自動快速鎖定攻擊者IP地址,；