Arp知识＋防护＋杀毒

近期国内很多单位的局域网爆发ARP病毒，具体表现为局域网内一些正在上网的电脑主机频繁掉线或是断线。现我校也开始发现某些宿舍楼校园网用户出现掉线的故障，经调查发现，该故障应该是ARP病毒所致。

一、故障原因及现象
　　局域网内有电脑使用ARP欺骗程序（比如：传奇、QQ盗号的软件等）发送ARP数据包，致使被攻击的电脑不能上网。  
当局域网内某台电脑A向电脑B发送ARP欺骗数据包时，会欺骗电脑B将其通信的数据发向电脑A，电脑A通过对截获的数据进行分析，达到窃取数据（如用户账号）的目的。   
　　被ARP欺骗的电脑会出现突然不能上网，重新连接后又能上网，但过会还是掉线的反复现象。

二、故障诊断
　　如果用户发现突然不能上网，可以通过如下操作进行诊断：   
　　点击“开始”按钮->选择“运行”->输入“arp -d”->点击“确定”按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。
　　“arp -d”命令能清除本机的arp表，arp表被清除后接着系统会自动重建新的arp表，“arp -d”命令并不能抵御ARP欺骗，执行“arp -d”命令后仍有可能再次遭受ARP攻击。

三、故障处理   
　　1. 杀毒。   
　　(1)诺顿、卡巴斯基、瑞星等杀毒软件均可查杀此类病毒，注意：查杀病毒只能避免电脑主机成为ARP攻击方，并不能抵御ARP攻击。
　　(2)ARP病毒专杀工具下载。
　　下载后解压缩，运行包内TSC.exe文件，不要关让它一直运行完，最后查看report文档便知是否中毒。
http://bbs.gdut.edu.cn/NGPXBBS/attach/bbscon/_ARP_TSC.rar?B=GDUT_NIC&F=M.1159457306.A&attachpos=1428&attachname=/_ARP_TSC.rar   
2. 使用AntiArp软件抵御ARP攻击。
最新版本arp防火墙:
http://bbs.gdut.edu.cn/NGPXBBS/attach/bbscon/antiarp4.1.1.exe?B=GDUT_NIC&F=M.1159457306.A&attachpos=2051048&attachname=/antiarp4.1.1.exe

先查明本机的网关IP地址，可通过以下操作获取：点击“开始”按钮->选择“运行”->输入“cmd”点击“确定”->输入“ipconfig”按回车，“Default ateway”后的IP地址就是网关地址。 　　  
　　运行AntiArp，在管理右栏那“网关地址”里填入刚才查到的IP地址，然后点击“获取MAC”，检查网关IP地址和MAC地址无误后，点击“自动保护”。
　　最后注意的是该软件右下方有一个“开机自动运行软件”选项，记得要钩上，因为使用AntiArp软件防止arp攻击时需要每次系统启动后运行该软件

3. 除用AntiArp软件外，也可以用arp命令抵御ARP攻击：  
先打开命令提示符窗口（方法如上），然后用“arp –a”命令查出默认网关和mac地址   
运行arp –a 命令后会得出类似如下列表  
Internet Address Physical Address Type   
222.200.112.1 00-e0-fc-22-ab-c2 dynamic
其中Internet Address就是默认网关，Physical Address就是mac地址   
然后就用“arp -s 默认网关 mac地址”进行绑定

例如: arp –s 222.200.112.1 00-e0-fc-22-ab-c2
不过因为这重启机后是不起作用的，如需开机就自行绑定arp，则需利用bat处理文件
该bat文件写法如下:

@echo off

arp -d
arp -s 网关IP地址 网关MAC地址

然后再将该bat文件加入“启动”项，系统启动后会自动执行arp命令绑定网关。