迅速找出局域网中的ARP病毒

在局域网环境中上网的朋友会经常碰到无故断线的情况， 并且检查电脑也检查不出什么原因。 其实出现这种情况， 大部分情况下都是局域网中的某一台电脑感染了ARP类型的病毒所至。 感染病毒， 电脑一一杀毒， 电脑过多的情况下显然很费时费力。 现在就告诉你这三招两式， 快速找出局域网中的“毒瘤”。

小提示： ARP：Address Resolution Protocol的缩写， 即地址解析协议。 ARP负责将电脑的IP地址转换为对应的物理地址， 即网卡的MAC地址。 当发生ARP欺骗时， 相关主机会收到错误的数据， 从而造成断网的情况发生。

一、查看防火墙日志

局域网中有电脑感染ARP类型病毒后， 一般从防火墙的日志中可以初步判断出感染病毒的主机。

感染病毒的机器的典型特征便是会不断的发出大量数据包， 如果在日志中能看到来自同一IP的大量数据包， 多半情况下是这台机器感染病毒了。

这里以Nokia IP40防火墙为例， 进入防火墙管理界面后， 查看日志项， 在“Event Log”标签下可以明显看到内网中有一台机器不断的有数据包被防火墙拦截， 并且间隔的时间都很短。 目标地址为公司WEB服务器的外网IP地址， 设置过滤策略时对WEB服务器特意加强保护， 所以可以看到这些项目全部是红色标示出来的(图1)。

图1

到WEB服务器的数据包被拦截了， 那些没有拦截的数据包呢?自然是到达了目的地， 而“目的”主机自然会不间断的掉线了。

由于内网采用的DHCP服务器的方法， 所以只知道IP地址还没有用， 必须知道对应的MAC地址， 才能查到病毒源。 我们可以利用NBTSCAN来查找IP所对应的MAC地址。 如果是知道MAC地址， 同样可以使用NBBSCAN来得到IP地址(图2)。

图2

由此可见， 防火墙日志， 有些时候还是可以帮上点忙的。

小提示：如果没有专业的防火墙， 那么直接在一台客户机上安装天网防火墙之类的软件产品， 同样能够看到类似的提醒。

二、利用现有工具

如果觉得上面的方法有点麻烦， 且效率低下的话， 那么使用专业的ARP检测工具是最容易不过的事了。 这里就请出简单易用， 但功能一点也不含糊的ARP 防火墙。

ARP防火墙可以快速的找出局域网中ARP攻击源， 并且保护本机与网关之间的通信， 保护本机的网络连接， 避免因ARP攻击而造成掉线的情况发生。

软件运行后会自动检测网关IP及MAC地址并自动保护电脑。 如果软件自动获取的地址有错误， 可单击“停止保护”按钮， 填入正确的IP地址后， 单击“枚取MAC”按钮， 成功获取MAC地址后， 单击“自动保护”按钮开始保护电脑。

当本机接收到ARP欺骗数据包时， 软件便会弹出气泡提示， 并且指出机器的MAC地址(图3)。

图3

单击“停止保护”按钮， 选中“欺骗数据详细记录”中的条目， 再单击“追捕攻击者”按钮， 在弹出的对话框中单击确定按钮。

软件便开始追捕攻击源， 稍等之后， 软件会提示追捕到的攻击者的IP地址(图4)。

图4

其实大多数时候， 不用手工追捕， 软件会自动捕获到攻击源的MAC地址及IP地址。

还等什么?找到那颗“毒瘤”， 将其断网， 杀毒。 局域网总算清静了!

三、有效防守

俗话说， 进攻才是最好的防守。 虽然通过上面的方法可以找到病毒源， 并最终解决问题， 不过长期有人打电话抱怨“又断线了……”。 总是这样擦屁股， 似乎不是长久之际， 因此有效保护每一台机器不被ARP欺骗攻击才是上策。

比较有效的方法之一便是在每一台机器上安装ARP防火墙， 设置开机自启动， 并且在“拦截本机发送的攻击包”项打勾(图5)， 这样不仅可以保护不受攻击， 还可以防止本机已感染病毒的情况下， 发送欺骗数据攻击别的机器的情况发生。

图5

另外， 如果你只是在一个较小的局域网环境中， 并且也不想安装ARP防火墙增加系统开销， 可以手工绑定自己的MAC地址及IP地址， 这样就也可以避免被ARP欺骗数据攻击。

首先使用IPCONFIG命令查看本机网卡的MAC地址及IP地址。 然后输入“arp -d”将缓存数据清空， 再执行“arp –s IP地址 Mac地址”绑定MAC地址及IP地址(图6)。

图6

使用这种方法绑定的弱点便是， 机器重新启动之后， 绑定便会失效， 需要重新绑定。 因此可将上面的命令行做成一个批处理文件， 并将快捷方式拖放到开始菜单的“启动”项目中， 这样就可以实现每次开机自动绑定了。

所谓“道高一尺， 魔高一丈”， 技术总是在不断更新， 病毒也在不断的发展。 使用可防御ARP攻击的三层交换机， 绑定端口MAC-IP， 合理划分VLAN， 彻底阻止盗用IP、MAC地址， 杜绝ARP的攻击， 才是最佳的防范策略。 对于经常爆发病毒的网络， 可以进行Internet访问控制， 限制用户对网络的访问。 因为大部分ARP攻击程序网络下载到客户端， 如果能够加强用户上网的访问控制， 就能很好的阻止这类问题的发生。