最近以来,公司局域网中很多机器中了ARP木马,在网络中发送大量的虚假ARP数据包,造成其他机器无法正常上网。勉强可以上网的机器,也频繁弹出病毒警告窗口,严重影响了正常的工作。为了解决这个问题,使用了很多方法,此文将这些此过程中积累的一些经验进行了总结,与大家分享。图1
病毒警告提示
一、ARP协议不坚定的“投递员”
很多朋友都认为此现象是由于中了病毒或木马造成的,其实追根溯源,这与ARP协议本身有很大关系。这位“投递员”无法区分局域网广播或ARP询问包的是否真实,从而造成用户无法通过MAC与IP的映射,访问正确的地址。网上关于ARP协议的资料很多,在此不再复述。
通常的ARP攻击对象包括路由器和局域网中的客户端主机,其中针对客户端主机的攻击居多,因此着重于客户端主机ARP欺骗的防治。通常解决ARP欺骗攻击的方法有三种:
1、 利用ARP echo传送正确的ARP对照表,达到防御目的;
2、 进行MAC与IP地址的绑定,生成固定的ARP对照表,保证映射关系的正确;
3、 采用其他协议(如:PPPoE)传送地址信息。
以上三种方法中,第二种方法最为方便和有效。主要原因如下:使用ARP echo方式,需要配置一台负责发送ARP echo广播的设备,当ARP攻击非常频繁时,该设备的负担将很大,因此ARP echo将无法达到理想的效果。而局域网主机众多的网络,想要实施第三种方法,其工作量也是相当庞大的。因此,上述三种方法中,以第二种方法最为实用。
二、查找攻击主机
若使用第二种方法,就需要查找出局域网中,发送虚假ARP信息或中了ARP病毒的主机,这里为大家介绍一款非常简便实用的工具:ARP防火墙,此软件可以安装在局域网中任意一台主机上,软件中提供了“追踪”功能,可以自动识别哪台机器发起了ARP攻击,从而帮助用户采取有针对性的防治措施。其实,即使是没有发起ARP攻击的主机,也可以安装此软件进行预防,因为它不仅可以阻挡外来的ARP攻击,也可以阻断主机自身发送ARP攻击包,去攻击局域网中其他的主机。图2
ARP防火墙
三、清除ARP病毒
查找出发起攻击的主机后,需要对计算机进行检查,查看其是否中了ARP病毒,对于感染了Arp欺骗病毒(木马)的机器可以使用以下两款软件(都是完全免费的软件)对其进行查杀:
1、恶意软件清理助手下载:该软件是绿色免费软件,无需安装,可升级特征库。
2、360安全卫士由此下载:免费软件,需要安装,可升级特征库。
四、MAC地址绑定
如果中毒的主机较多,通常此过程需要较长的时间,此期间,为了解决其他主机上网以及正常的工作,可以对遭受攻击的其他主机进行地址绑定。这里为大家推荐一款可以绑定MAC的小软件(下载地址:http://green.crsky.com/soft/6064.html),这也是一款绿色的软件,下载后解压,双击相应的exe程序即可运行。图3
MAC绑定
首先,双击图3中的“MacScan.exe”打开MAC地址扫描窗口。扫描完成后,会在当前目录下,自动生成和创建“BindArp.bat”批处理文件,同时也将扫描出的MAC和IP地址添加到ini文件“ArpList.ini”中,格式如下:
192.168.1.1|00:14:78:AE:9F:28
192.168.1.2|00:14:78:1B:A7:36
192.168.1.11|00:0C:76:11:1A:9C
192.168.1.12|00:19:21:8A:53:F3
192.168.1.16|00:40:05:63:19:59
……图4
MAC地址扫描
以上步骤完成后,双击图3中exe程序“BindArp.exe”,即可根据“MacScan.exe”的扫描结果进行MAC地址的绑定。为了使省事,可以将“BindArp.exe”和“ArpList.ini”拷贝到其他主机,双击运行即可。图5
ARP绑定程序
为了使绑定程序可以自动运行,可将“BindArp.exe”拖动到启动菜单中让自动运行即可,还有一种方法,也可以将运行“MacScan.exe”后,自动生成的“BindArp.bat”批处理文件拖动到启动菜单,进行计算机启动时的MAC与IP的自动绑定。
提示:进行MAC绑定时,不能运行“ARP防火墙“,因为ARP防火墙的进程保护功能会阻止批处理文件修改ARP对照表,不仅如此,甚至连杀毒软件也无法访ARP防火墙的进程。
结束语:这里需要提醒大家的是,当局域网增加主机或主机更换网卡以及修改IP地址后,需要使用“MacScan.exe”重新扫描MAC地址列表,并分发“ArpList.ini”文件,因此,查找出发起ARP攻击的主机,并对其进行有效的清除,才能减少工作量。
