【IT168 专稿】身为网管，小于（化名）近日对频繁的断网事故头疼不已，开始以为是网内哪台机器中招了，每台机器都查了一遍，却没有发现哪台机器不正常。问题的症结没有找到，可是网络亦然是时通时断，极不稳定。

　　咨询朋友之后，小于了解到，“ARP”欺骗可能是这种网络不稳定现象的产生原因。小于的朋友告诉他，当带有ARP欺骗程序的计算机在网内进行通讯时，就会导致频繁掉线，出现此类问题后重启计算机或禁用网卡会暂时解决问题，但掉线情况还会发生。

　　在网络发展的今天，很多单位的网管都和小于一样，不仅遭受各种病毒的经常性骚扰，近来他们还要ARP欺骗不停的侵袭。这些都让他们疲惫不堪，尤其是后者，近来状况越来越严重，而且危害也是不可预估的——因为ARP欺骗不仅使局域网内频繁性区域或整体掉线，网络通道阻塞，造成网络设备的承载过重，导致网络的通讯质量不稳定；而且一些人为了获取非法利益，利用ARP欺骗程序在网内进行非法活动，此类程序的主要目的在于破解账号登陆时的加密解密算法，通过截取局域网中的数据包，然后以分析数据通讯协议的方法截获用户的信息，运行这类木马病毒，就可以获得整个局域网中上网用户账号的详细信息并盗取。

　　就目前状况看，企业内部网络“ARP”欺骗如病毒发作一样，在所难免。问题不可避免，应急预案就十分重要，其原则是“ARP”欺骗一旦发生，首先要理清思路，找到问题的关键，使用行之有效方式，彻底清除。

　　定位攻击发起端是解决问题的关键

　　故障现象：机器以前可正常上网的，突然出现可认证，不能上网的现象，重启机器或在MS-DOS窗口下运行命令ARP -d后，又可恢复上网一段时间。

　　故障原因：这是典型APR病毒欺骗攻击。　

　　引起问题的原因：初期由传奇外挂携带的ARP木马攻击，当在局域网内使用上述外挂时，外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上，向局域网内大量发送ARP包，从而致使同一网段地址内的其它机器误将其作为网关，这就是为什么掉线时内网是互通的，计算机却不能上网的主要原因。

　　当病毒发作的时候，为了更快定位攻击发起端，是解决问题根源。我们通过NBTSCAN查找病毒主机，关闭所有二层交换机，把管理员的计算机接在核心交换机上，此时管理员的计算机可正常上网。Ping三层交换机的地址，查看相关MAC地址，再通过三层交换机IP地址获取三层交换机真实的MAC地址。使用同样的方法得到路由器真实MAC地址。打开所有二层交换机，在ARP病毒攻击时所有计算机都表现为有网络连接，但打不开网页。此时在dos窗口下输入命令arp -a，查看网关的IP地址和MAC地址对应关系，与刚才得到的真实MAC地址对比，如果不相同，此次获得的MAC地址即为病毒主机的MAC地址。

　　使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址，可以找到病毒主机的IP、机器名和MAC地址。

　　命 令："nbtscan -r 192.168.2.0/24"（搜索整个192.168.2.0/24网段,输出结果第一列是IP地址，最后一列是MAC地址。

　　彻底清除局域网内arp病毒

　　要彻底根除arp病毒攻击，只有找到局域网内被病毒感染的计算机，病毒程序给与清除，方可真正地解决。根据病毒在局域网中发作时间，快速定位攻击发起端，找到问题的根源。对已有病毒计算机的MAC地址，使用NBTSCAN软件找出网段内与该MAC地址对应的IP，即病毒计算机的IP地址，然后对其进行查封。 NBTSCAN的使用方法：下载nbtscan.rar到硬盘后解压，然后将cygwin1.dll和nbtscan.exe两文件拷贝到c:\windows\system32(或system)下，进入MSDOS窗口就可以输入命令： nbtscan -r 10.1.180.0/24 （假设本机所处的网段是10.1.180.192，掩码是255.255.255.0；实际使用该命令时，应将改为正确的网段）。 注：使用nbtscan时，有时因为有些计算机安装防火墙软件，nbtscan的输出不全，但在计算机的arp缓存中却能有所反应，所以使用nbtscan时，还可同时查看arp缓存，就能得到比较完全的局域网内计算机IP与MAC的对应关系。

　　防御的最有效方法是“IP与MAC地址绑定”

　　1、在PC上绑定路由器的IP和MAC地址。

　　在c:\（C盘根目录）下创建或修改autoexec.bat文件，加入如下命令：
　　arp -d
　　arp -s 10.1.180.1  00-22-aa-11-22-6s
　　autoexec.bat放在C盘根目录下，每次开机后会自动执行。arp -d 删除ARP缓存表中的所有条目，arp -s 10.1.180.1  00-22-aa-11-22-6s静态绑定网关IP地址与MAC地址。使用时将网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。 把该文件放到启动菜单中，重启计算机，就能执行该文件。

　　2、在路由器上绑定的PC上IP和MAC地址

　　通过NBTSCAN软件获取局域网内每台计算机IP和对应MAC地址。如图1

　　根据路由器所提供IP/MAC绑定功能，将路由器对没有绑定的IP/MAC将其封锁，当内网有ARP欺骗攻击的时候，其伪造IP/MAC向路由器发送消息，这时候由于伪造的IP/MAC并不在路由器的IP/MAC绑定列表里面，路由器会拒绝这类消息，将其挡掉。

　　通过一些手段来进一步控制ARP的攻击。
（1）病毒源，对病毒源头的机器进行处理，杀毒或者重新装系统。
（2）管理员定期检查局域网是否有病毒，安装杀毒软件。
（3）及时为系统安装补丁程序。
（4）给系统管理员帐户设置足够复杂的强密码。
（5）经常更新杀毒软件，安装并使用网络防火墙软件。
（6）建议不要随便点击打开QQ、MSN等聊天工具上发来的链接信息，避免病毒的传播。

　　尽管近期ARP病毒版本不断更新、不断升级，给我们网络不断带来新的冲击与危害；如果能够提前能够提前做好防制工作，相信ARP的危害会减少到最小的程度，给我们网络一片净土。