瑞星卡卡安全论坛

ARP病毒病毒发作时候的特征为，中毒的机器会伪造某台电脑的MAC地址，如该伪造地址为网关服务器的地址，那么对整个网络均会造成影响，用户表现为上网经常瞬断。

一、在任意客户机上进入命令提示符(或MS-DOS方式)，用arp –a命令查看：

C:WINNTsystem32>arp -a
Interface: 192.168.100.93 on
Interface 0x1000003Internet Address Physical Address Type
192.168.100.1 00-50-da-8a-62-2c dynamic
192.168.100.23 00-11-2f-43-81-8b dynamic
192.168.100.24 00-50-da-8a-62-2c dynamic
192.168.100.25 00-05-5d-ff-a8-87 dynamic
192.168.100.200 00-50-ba-fa-59-fe dynamic

可以看到有两个机器的MAC地址相同，那么实际检查结果为 00-50-da-8a-62-2c为192.168.0.24的MAC地址，192.168.100.1的实际MAC地址为00-02-ba-0b-04-32，我们可以判定192.168.100.24实际上为有病毒的机器，它伪造了192.168.100.1的MAC地址。



[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 2.0.50727; Alexa Toolbar)

二、在192.168.100.24上进入命令提示符(或MS-DOS方式)，用arp –a命令查看：

C:WINNTsystem32>arp -a
Interface: 192.168.100.24 on
Interface 0x1000003Internet Address Physical Address Type
192.168.100.1 00-02-ba-0b-04-32 dynamic
192.168.100.23 00-11-2f-43-81-8b dynamic
192.168.100.25 00-05-5d-ff-a8-87 dynamic
192.168.100.193 00-11-2f-b2-9d-17 dynamic
192.168.100.200 00-50-ba-fa-59-fe dynamic

可以看到带病毒的机器上显示的MAC地址是正确的，而且该机运行速度缓慢，应该为所有流量在二层通过该机进行转发而导致，该机重启后所有电脑都不能上网，只有等arp刷新MAC地址后才正常，一般在2、3分钟左右。

三、如果主机可以进入dos窗口，用arp –a命令可以看到类似下面的现象：

C:WINNTsystem32>arp -a
Interface: 192.168.100.1 on Interface 0x1000004
Internet Address Physical Address Type
192.168.100.23 00-50-da-8a-62-2c dynamic
192.168.100.24 00-50-da-8a-62-2c dynamic
192.168.100.25 00-50-da-8a-62-2c dynamic
192.168.100.193 00-50-da-8a-62-2c dynamic
192.168.100.200 00-50-da-8a-62-2c dynamic

该病毒不发作的时候，在代理服务器上看到的地址情况如下：

C:WINNTsystem32>arp -a
Interface: 192.168.100.1 on Interface 0x1000004
Internet Address Physical Address Type
192.168.0.23 00-11-2f-43-81-8b dynamic
192.168.100.24 00-50-da-8a-62-2c dynamic
192.168.100.25 00-05-5d-ff-a8-87 dynamic
192.168.100.193 00-11-2f-b2-9d-17 dynamic
192.168.100.200 00-50-ba-fa-59-fe dynamic 


病毒发作的时候，可以看到所有的ip地址的mac地址被修改为00-50-da-8a-62-2c，正常的时候可以看到MAC地址均不会相同。

解决办法：

一、采用客户机及网关服务器上进行静态ARP绑定的办法来解决。

1． 在所有的客户端机器上做网关服务器的ARP静态绑定。

首先在网关服务器（代理主机）的电脑上查看本机MAC地址

C:WINNTsystem32>ipconfig /all
Ethernet adapter 本地连接 2:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/100B PCI Adapter (TX)
Physical Address. . . . . . . . . : 00-02-ba-0b-04-32
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.100.1
Subnet Mask . . . . . . . . . . . : 255.255.255.0



然后在客户机器的DOS命令下做ARP的静态绑定

C:WINNTsystem32>arp –s 192.168.100.1 00-02-ba-0b-04-32

注：如有条件，建议在客户机上做所有其他客户机的IP和MAC地址绑定。

2． 在网关服务器（代理主机）的电脑上做客户机器的ARP静态绑定

首先在所有的客户端机器上查看IP和MAC地址，命令如上。

然后在代理主机上做所有客户端服务器的ARP静态绑定。如：

C:winntsystem32> arp –s 192.168.0.23 00-11-2f-43-81-8b
C:winntsystem32> arp –s 192.168.0.24 00-50-da-8a-62-2c
C:winntsystem32> arp –s 192.168.0.25 00-05-5d-ff-a8-87。。。。。。。。。

3． 以上ARP的静态绑定最后做成一个windows自启动文件，让电脑一启动就执行以上操作，保证配置不丢失。

二、有条件的网吧可以在交换机内进行IP地址与MAC地址绑定

三、IP和MAC进行绑定后，更换网卡需要重新绑定，因此建议在客户机安装杀毒软件来解决此类问题

现在对于ARP病毒，网卡双绑定已经失效了。现在的病毒可以把绑定好的机子解绑，使双绑定失效，郁闷呀！！！！！！！！！！！！！！！！！

学习了。

什么年代的贴子？？

【回复“西安建大网管”的帖子】
已我在两家网吧担任技术网管,使用路由单绑定,就极少出现ARP问题,下面的电脑均未装杀毒软件,有时候,会出现单台电脑掉线.绑定一下就可以了..采用双绑定对现在还是比较理想的,如果是家庭用户或企业用户.建议安装瑞星防火墙2008,已经提供针对ARP的模块

我这里也常出现IP冲突啊，用ARP绑定也不行啊？常上不了网

这年头不懂的太多了

楼主只说了有服务器局域网的解决方法，而用路由作代理服务器的怎么解决阿

并没有提出真正解决问题的方法，网卡绑定根本不是方法了。

只有用高档路由器绑定+单机绑定路由器,打上系统补丁包才可有效的防御ARP,我就是这么做的,效果也很好

多多指教 !

ms最近这些看过了

引用:

【favor2008的贴子】我这里也常出现IP冲突啊，用ARP绑定也不行啊？常上不了网 ………………

这不关arp 的事吧

了解！~了解~最近經常聽到ARP，，呵~···

删除npptools.dll文件，创建一个同名文件夹，设置为只读，免疫
目前可以有效阻止～～

第一在路由上做正确的绑定客户机
第二使用以下批处理自动绑定网关与本身IP
@echo off
:::::::::读取本机Mac地址
if exist ipconfig.txt del ipconfig.txt
ipconfig /all >ipconfig.txt
if exist phyaddr.txt del phyaddr.txt
find "Physical Address" ipconfig.txt >phyaddr.txt
for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M
:::::::::读取本机ip地址
if exist IPAddr.txt del IPaddr.txt
find "IP Address" ipconfig.txt >IPAddr.txt
for /f "skip=2 tokens=15" %%I in (IPAddr.txt) do set IP=%%I
:::::::::绑定本机IP地址和MAC地址
arp -s %IP% %Mac%
:::::::::读取网关地址
if exist GateIP.txt del GateIP.txt
find "Default Gateway" ipconfig.txt >GateIP.txt
for /f "skip=2 tokens=13" %%G in (GateIP.txt) do set GateIP=%%G
ping %GateIP% -n 1
:::::::::读取网关Mac地址
if exist GateMac.txt del GateMac.txt
arp -a %GateIP% >GateMac.txt
for /f "skip=3 tokens=2" %%H in (GateMac.txt) do set GateMac=%%H
:::::::::绑定网关Mac和IP
arp -s %GateIP% %GateMac%
:::::::::删除临时文件
del GateIP.txt
del GateMac.txt
del IPAddr.txt
del ipconfig.txt
del phyaddr.txt
exit 
——————————————————————————
目前使用在三家网吧里面，均无问题。。客户机上无装杀毒软件

太好了！早看到就好了！！！有这么多的热心朋友！

    但：
      我单位就是在路由器上绑定的！还是受到ARP病毒影响！！我正在头痛！经常出现与网关有冲突的ARP包，造成断网！只有重启路由才行，望楼主多费心！看有没有更有效方法，谢谢了

学习了，ARP欺骗让人很郁闷的

学习了

学习

ARP
目录·一、什么是ARP协议
·二、ARP协议的工作原理
·三、如何查看ARP缓存表
·四、ARP欺骗
·五、遭受ARP攻击后现象


我们知道，当我们在浏览器里面输入网址时，DNS服务器会自动把它解析为IP地址，浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物理地址（即MAC地址）的呢？在局域网中，这是通过ARP协议来完成的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。所以网管们应深入理解ARP协议。


一、什么是ARP协议


ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。


二、ARP协议的工作原理

在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如附表所示。

附表

我们以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.1.1的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。
        ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。
ARP攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。


三、如何查看ARP缓存表


ARP缓存表是可以查看的，也可以添加和修改。在命令提示符下，输入“arp -a”就可以查看ARP缓存表中的内容了，如附图所示。

用“arp -d”命令可以删除ARP表中某一行的内容；用“arp -s”可以手动在ARP表中指定IP地址与MAC地址的对应。


四、ARP欺骗

其实，此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首，是网吧老板和网管员的心腹大患。

从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。

一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。有些网管员对此不甚了解，出现故障时，认为PC没有问题，交换机没掉线的“本事”，电信也不承认宽带故障。而且如果第一种ARP欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。为此，宽带路由器背了不少“黑锅”。

作为网吧路由器的厂家，对防范ARP欺骗不得已做了不少份内、份外的工作。一、在宽带路由器中把所有PC的IP-MAC输入到一个静态表中，这叫路由器IP-MAC绑定。二、力劝网管员在内网所有PC上设置网关的静态ARP信息，这叫PC机IP-MAC绑定。一般厂家要求两个工作都要做，称其为IP-MAC双向绑定。




显示和修改“地址解析协议”(ARP) 所使用的到以太网的 IP 或令牌环物理地址翻译表。该命令只有在安装了 TCP/IP 协议之后才可用。

    arp -a [inet_addr] [-N [if_addr]

    arp -d inet_addr [if_addr]

    arp -s inet_addr ether_addr [if_addr]

    参数

    -a

    通过询问 TCP/IP 显示当前 ARP 项。如果指定了 inet_addr，则只显示指定计算机的 IP 和物理地址。

    -g

    与 -a 相同。

    inet_addr

    以加点的十进制标记指定 IP 地址。

    -N

    显示由 if_addr 指定的网络界面 ARP 项。

    if_addr

    指定需要修改其地址转换表接口的 IP 地址（如果有的话）。如果不存在，将使用第一个可适用的接口。

    -d

    删除由 inet_addr 指定的项。

    -s

    在 ARP 缓存中添加项，将 IP 地址 inet_addr 和物理地址 ether_addr 关联。物理地址由以连字符分隔的6 个十六进制字节给定。使用带点的十进制标记指定 IP 地址。项是永久性的，即在超时到期后项自动从缓存删除。

    ether_addr

    指定物理地址。


五、遭受ARP攻击后现象

      ARP欺骗木马的中毒现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp -d后，又可恢复上网。
ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。

局域网内的任何一台机器都安上瑞星个人防火墙，开启ARP欺骗防御，再来ANTI ARP，再加上360safe，大功告成，就等着攻击IP被格了