建立局域网主机资料，快速查杀ARP病毒

建立局域网主机资料，快速查杀ARP病毒

南京市雨花台中学信息处史成宝  邮箱：njyzscb@163.com

摘要：ARP病毒导致局域网计算机无法上网使网络管理员深感头疼，本文根据ARP协议的工作机理，并结合网络管理的实践，介绍了快速查杀ARP病毒的基本方法，同时强调了平时建立局域网主机资料的重要性。

关键词：ARP、MAC、欺骗、主机资料。

信息化的高度发展使企业、公司、机关、学校几乎都组建了局域网，网内用户计算机大多是通过路由器、智能网关、防火墙、代理服务器等网关设备上网，网关设备的重要性不言而喻。近期很多单位出现用户计算机局域网资源可访问，却无法访问公网的怪现象，有些网络管理员感到无从下手，只能采取重启路由器、代理服务器等网关设备的方法暂时解决，时间不长故障又会重现。

上述无法上网的原因其实这多半是ARP地址欺骗类病毒在作祟，最主要的是计算机感染了病毒自动发起了ARP攻击，少数是本网段内有人为的恶意ARP攻击。

在TCP/IP协议中,每一个网络结点是用IP地址标识的,IP地址是一个逻辑地址。以太网中数据包的寻址是依赖48位MAC地址（即物理地址如00:18:F3:5A:37:5C）进行的，而32位IP地址只是用来标识计算机的网卡与交换机等网络设备的逻辑地址，建立MAC地址与IP地址之间的对应关系就是ARP协议的任务，ARP是Address Resolution Protocol即地址解析协议的缩写，它的作用是负责在网络通信之前将目标设备的IP地址解析为目标设备的MAC地址，确保数据包能正确无误的传输。

在计算机、交换机和路由器等设备里都有一个ARP缓存表，里面暂存有数分钟至二十分钟前访问的计算机的IP地址与MAC地址对应表，倘若某地址没有数据包传输，数分钟至二十分钟后老化机制就会删除表中对应的那一行。机器会在无法解析时会向局域网发一个ARP广播包，网络中具有需解析IP地址的计算机会通报它的MAC地址，本机会改变ARP缓存表，用arp -a命令即可看到如图1所示的ARP缓存表信息：

图1

这是个运行正常的局域网，未受到ARP病毒的欺骗，这里网关的IP地址是192.168.100.1，MAC地址是：00:13:32:03:66:45。

由于ARP协议的基础是信任局域网内所有主机，因此很容易遭到以太网上的ARP地址欺骗。ARP地址欺骗病毒属于木马类，发作时有两种形式，一是用假冒内网的MAC地址表使路由器的ARP表受到欺骗；使数据包无法发送给需要的MAC地址；二是对内网的网关欺骗，用假的网关MAC地址欺骗内网计算机，使内网计算机发出的上网请求都只发送给假的网关MAC地址，导致内网用户无法上网，严重的还可能被假冒网关的计算机窃取网上银行、邮箱、游戏的账号和密码等其他重要信息。

要想在有众多用户的局域网里快速查出具有ARP病毒的计算机，其首要条件是：网络管理员在网络正常时做好局域网用户主机登记，建立具有计算机名、MAC地址、使用者等信息的局域网主机资料，需要时查找即可。MAC地址表可用局域网查看工具、内网MAC.IP.机名快速收集机、MAC扫描器等软件获取。

排除ARP地址欺骗常用方法如下：

1、使用路由器做网关设备的局域网，可在故障出现时登录路由器后使用show arp命令，发现有多个IP地址与一个MAC地址对应的，毫无疑问那就是ARP地址欺骗主机，只需在局域网主机资料的电子文档中查出该MAC地址对应的使用者，将其从网络中断开，同时使用clear arp命令清空路由器的arp动态缓存，在局域网用户机器上用arp -d命令清除本机arp缓存，或重启机器就可消除故障。

2、使用硬件防火墙做网关设备的局域网，可在出现大面积无法上网故障时登录防火墙，并使用show arp命令，有些防火墙还提供web管理方式，如图2所示。进入网络选项，打开arp表，若发现有多个IP地址与某个MAC地址对应的，毫无疑问那就是网络中有ARP地址欺骗，只需在局域网主机资料的电子文档中查出该MAC地址对应的使用者，将其从网络中断开，同时清空防火墙的arp缓存，故障随即消除。

图2 未受到ARP攻击的局域网

图3  已受到ARP攻击的局域网

3、无法用上述方法进行查找的局域网，可先在无法上网的计算机上尝试上网，然后运行cmd，在命令提示符下输入“arp -a” ,当发现显示网关的MAC地址与真实网关的MAC地址不符时,如网关IP是192.168.100.1,对应的MAC地址已变为00:60:08:F6:FA:OF,这里显示的网关MAC地址所对应的计算机就是假冒网关，即病毒携带机器，通过在局域网主机资料的电子文档中查出使用者，断开假冒网关的网络连接，在局域网用户机器上用arp -d命令清除本机arp缓存，或重启机器就可消除故障，恢复上网。

无论用什么方法排查，对感染ARP病毒的计算机必须断开网络连接，经全盘杀毒或重装系统后才能接入局域网。

检查过程看似很简单,其实故障出现时可能有若干台染毒计算机在发送欺骗数据包，就需要我们耐心细致的逐个检查，充要条件是平时加强常规管理，最好建立严格的入网用户管理制度：将指定计算机名、IP地址分配、MAC地址登记、确定登录名与密码等管理工作结合起来，并建立准确翔实的局域网主机资料。在网络出现ARP等故障时有案可稽，可在数分钟内快速查出病毒，使网络通畅，信息化应用得以保证。