论文导读：局域网中感染ARP病毒的情况也越来越多。而且该病毒危害较大。病毒的防范措施。掌握其防范和清除方法十分必要。清除方法，浅谈ARP病毒的危害及防治。

　　关键词：ARP病毒，危害，防范措施，清除方法

　　随着网络技术的发展，局域网的使用日益广泛，局域网中感染ARP病毒的情况也越来越多，而且该病毒危害较大，清理和防范较难，给网络管理员和用户造成了诸多困扰。因此，了解ARP病毒，掌握其防范和清除方法十分必要。

　　1 ARP病毒简介

　　ARP本身不是病毒，而是一种地址解析协议。ARP就是主机在发送数据帧前将目标IP地址转换成目标MAC地址的协议，与之相对应的是RARP。

　　1.1 ARP病毒的起源

　　2007年春，许多局域网出现网络运行不稳定，频繁断网、IE浏览器接连出错、IP地址冲突等问题。6月上旬，国家计算机病毒应急处理中心通报一种新型“地址解析协议欺骗”（简称：ARP欺骗）的恶意木马程序正在网络中传播。论文检测，清除方法。这是ARP病毒第一次公开出现在大众视线中，从此，ARP病毒逐渐在校园网、部门网、企业网、社区网以及网吧等局域网中蔓延。

　　1.2 ARP病毒的分类

　　ARP病毒可分为两种，一种是ARP欺骗，另一种是ARP攻击。ARP欺骗最先是黑客们偷盗网络账号使用的，后来被广泛用于类似网路岗、网络执法官之类的网络管理工具。ARP欺骗主要有三种形式，即冒充主机欺骗主机、冒充网关欺骗主机和冒充主机欺骗网关。ARP欺骗中，被骗主机或网关会将数据发送给伪装的主机，从而伪装主机就达到了截获数据的目的。而ARP攻击纯粹是以破坏网络通讯为主要目的，伪造出大量的ARP报文（内含MAC和IP地址），在局域网内广播，造成主机和网关的ARP高速缓存表溢出，使得局域网内所有主机都失去了有序的组织和联系。

　　1.3 ARP病毒原理分析

　　这里以一种ARP欺骗病毒为例介绍其运作过程，病毒样本有三部分组件构成：

　　“病毒组件释放者”：

　　%windows%\System32\LOADHW.EXE

　　“发ARP欺骗包的驱动程序”：

　　%windows%\System32\drivers\npf.sys

　　“命令驱动程序发ARP欺骗包的控制者”：%windows%\System32\msitinit.dll

　　具体过程如下：

　　（1）LOADHW.EXE在执行的时候，会释放两个组件npf.sys 和msitinit.dll，LOADHW.EXE释放组件后即终止运行。

　　（2）接着msitinit.dll将npf.sys注册为内核级驱动设备： "NetGroup Packet FilterDriver"，并监视其运行，另外它还控制npf.sys发送APR欺骗包、抓包、过滤包等。

　　（3）同时npf.sys 负责监护msitinit.dll. 并将LOADHW.EXE注册为自启动程序：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]dwMyTest =LOADHW.EXE

　　2 ARP病毒的危害

　　主机中了ARP病毒后，有些行为就不受用户的意愿控制了，会给用户本身和网络造成很大的危害。

　　2.1 ARP病毒对PC的危害

　　ARP病毒会使PC出现网络异常、IP冲突，打开网页速度慢甚至无法打开网页，或者打开网页时莫名的弹出广告窗口等。可能造成用户数据被窃取（如重要资料、涉密文件等）、个人隐私泄漏（如MSN聊天记录、邮件等）、账号被盗用（如QQ账号、网银账号等）等恶性事件；也可能造成请求数据被篡改（如访问的网页被添加了恶意内容，俗称“挂马”）和用户主机遭非法控制（如某些文件打不开、某些网络应用程序用不了）等情况。

　　2.2 ARP病毒对网络的危害

　　先说ARP攻击病毒，只要局域网内有一台主机中了该病毒，它就会不断地在全网内发送虚假的ARP请求包和应答包，造成网络拥堵，全网主机无法正常通信。其次ARP欺骗病毒，无论是三种欺骗方式的哪种，都会造成网络组织和秩序的混乱。论文检测，清除方法。冒充主机欺骗主机与冒充主机欺骗网关会使得被冒充的主机（真主机）无法收到其他设备的数据，冒充网关欺骗主机会使得全网主机都把数据发送给冒充网关（假网关），而无法正常向外发送数据（即无法上网）。

　　3 ARP病毒的防范措施

　　ARP病毒的危害很大，防范ARP病毒，要从两方面入手，一是接入设备，二是用户主机。

　　3.1 接入设备层的防范措施

　　局域网的接入设备方面，主要由网络管理员负责，具体可以通过以下五个方法来防范。

　　3.1.1 使用PVLAN技术实现端口隔离

　　ARP病毒一般是针对同一网段内的某台或所有主机，因此只要VLAN足够小，就可以有效避免ARP病毒的攻击。但就简单的在交换机上多划分一些VLAN，给每个VLAN少分配一些端口，会造成IP地址的严重浪费并增加交换机的管理难度。所以要使用PVLAN技术，以实现端口之间的隔离，而又不用为每个端口划分虚拟子网和分配子网IP地址。接于同一PVLAN的主机之间无法直接通信，而要通过默认网关的配置来实现。具体配置命令因不同交换机而异，可查阅交换机说明书或访问公司官方网站，或者在配置时通过“？”查看命令和参数（一般交换机有isolate命令可用）。

　　3.1.2 静态绑定MIC和IP地址

　　在为局域网用户分配IP地址时，先收集用户的MAC地址。在交换机端口上实施MAC地址与端口绑定、IP地址与端口的绑定相结合，从而达到在端口上应用IP与MAC地址绑定的功能。一旦绑定之后， 交换机的ARP表就固定了，无论接收到来自任何计算机的ARP欺骗都无法修改交换机的ARP表，同时也就保证了路由的准确性，以此来避免ARP病毒各式各样的攻击、欺骗。

　　3.1.3 使用具有ARP过滤功能的路由器和交换机

　　如果有条件的话，尽量使用可防御ARP病毒的三层交换机，设置端口流量限制，对超过阈值的端口进行自动断开；对ARP包进行过滤，监控频繁发送请求包和应答包的端口，及时发现并自动阻断ARP攻击端口；同时配合ARP软件防火墙，会有更好的效果。目前市场上，具有防ARP病毒的产品较多，如思科（Cisco）路由器、侠诺（Qno）路由器等。

　　3.1.4 使用DHCP Snooping技术

　　如果局域网比较大，可以使用DHCP Snooping技术实现主机的IP地址动态分配。DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期和VLAN-ID接口等信息。交换机中连接普通主机的端口在发送ARP报文时受到交换机检测，报交中IP地址与MAC地址对必须与DHCP Snooping检测并记录的主机当时动态申请的IP地址相符，这样中毒主机就无法发送虚假的ARP报文了。

　　3.1.5 使用专用机器作为ARP解析服务器

　　在局域网内部设置一台机器作为ARP服务器，专门保存并且维护网络内的所有主机的IP地址与M AC地址映射记录，使其他计算机的ARP配置只接受来自ARP服务器的ARP响应。当有ARP请求时该服务器通过查阅自己缓存的静态记录并以被查询主机的名义响应ARP局域网内部的请求，从而防止了ARP欺骗攻击的发生。

　　3.2 用户主机层的防范措施

　　作为局域网用户，要防范ARP病毒，主要应该做到以下三点。论文检测，清除方法。

　　3.2.1 开机绑定MIC和IP

　　用户开机后，进入命令提示符窗口下，运行以下三行代码，就可以对网关IP与MAC地址以及本机IP与MAC地址进行静态绑定。为了避免麻烦，也可以把它形成批处理文件后，保存在启动项中，这样开机就实现了静态绑定。

　　ARP -d

　　ARP -sXX-XX-XX-XX（网关ip地址） XX-XX-XX-XX-XX-XX（网关MAC地址）

　　ARP -sXX-XX-XX-XX（本机ip地址） XX-XX-XX-XX-XX-XX（本机MAC地址）

　　3.2.2 安装杀毒软件和防火墙

　　网络上病毒很多，用户上网，安装杀毒软件和防火墙是十分必要的。常用的具有防ARP病毒的杀毒软件有瑞星、金山等。而且防火墙在防ARP病毒过程中也可以起到至关重要的作用，能有效地阻挡其攻击和欺骗，日常比较熟悉的有ARP防火墙、360防火墙、AntiARP等。注意在安装了杀毒软件和防火墙后，要及时更新。

　　3.2.3 养成良好的上网习惯

　　用户上网时，要提高安全意识，并且养成良好的上网习惯，不打开来历不明的邮件，不浏览不健康的网页；特别是克服好奇心理，对那种弹出来的诱人窗口或链接，（如：恭喜你中了一等奖，发送你的银行卡号码领钱）一般都是带有欺骗类或控制类病毒，千万不要打开。

　　4 ARP病毒的清除方法

　　ARP病毒没有明显的特征字，对于一般的杀毒软件来说是很难查杀的。ARP病毒的查杀首先要对局域网内的ARP中毒机进行定位，然后再进行清除。

　　4.1 ARP病毒机的定位

　　ARP病毒的定位有三种方法，直接定位、工具定位以及嗅探定位，结合起来效果更佳。首先在命令提示符下敲入“ARP –a”命令查询一下当前网关的MAC地址，如果与网关的真实MAC不符，那它就是攻击者的MAC地址。论文检测，清除方法。如果相符，则打开MAC地址扫描工具，形成当前局域网的IP和MAC对应表，再与正确的对应表相比较，即可确定攻击者的MAC地址。如果是ARP报文泛洪攻击，使用Sniffer软件嗅探全网，哪个MAC地址的ARP包泛滥即为攻击者。

　　4.2 手动清除

　　在此仍以1.3的病毒为例，按以下顺序删除病毒组件：

　　（1）删除“病毒组件释放者”：％windows％\SYSTEM32\LOADHW.EXE

　　（2）删除“发ARP欺骗包的驱动程序”（兼“病毒守护程序”）：％windows％\System32\drivers\npf.Sys

　　具体步骤如下：

　　a.在设备管理器中，单击“查看”->“显示隐藏的设备”。

　　b.在设备树结构中，打开“非即插即用？ ”。

　　c.找到“NetGroup Packet FiiterDriver”，若没找到，请先刷新设备列表。

　　d.右键点击“NetGroup Packet FilterDriver”菜单，并选择“卸载”。

　　e.重启windows系统。论文检测，清除方法。

　　f.删除％windows％\System32\drivers\npf.sys

　　（3）删除“命令驱动程序发ARP欺骗包的控制者”：％windows％\System32\msn init.dll

　　（4）删除以下“病毒的假驱动程序”的注册表服务项：

　　HKEY_LOCAL_MACHINE\SYSTEM\

　　CurrentControlSet\Services\Npf

　　4.3 软件清除

　　在确定了病毒机之后，断开其网络，再用专门的ARP病毒清除软件（ARP专杀、anti-ARP等）进行查杀，之后重启机器即可。论文检测，清除方法。

　　随着计算机技术的发展，ARP病毒也在不断变异中，甚至嵌入其它病毒，给局域网安全带来新的挑战。网络的安全需要广大网络用户和管理员共同

　　努力，密切配合，提高警惕，加强安全意识，营造良好的上网环境，减少ARP病毒对网络的影响。

　　参考文献：

　　[1]Tanenbaum，A.S著，潘爱民译。计算机网络（第4版）[M].北京： 清华大学出版社，2004;

　　[2]李俊民，郭丽艳。网络安全与黑客攻防宝典[M].北京：电子工业出版社，2010;

　　[3]王文寿，王珂。网管员必备宝典—网络安全[M].北京：清华大学出版社，2007;

　　[4]宋志。一种基于PVLAN的反ARP欺骗的技术实现方法[J].计算机安全，2007，（10）；