ARP防范

来源：互联网发布：网络安全技术的发展编辑：程序博客网时间：2024/04/29 10:41

一、ARP病毒发作的可能症状
　　1. 感染ARP病毒的电脑：
　　(1). 系统启动了可疑的进程
　　(2). 系统向外发送大量的ARP广播包（可由第三方软件拦截提示，比如最新版的ARP防火墙单）
此时用户应
　　(1). 立即通过网络（网络保持连通的情况下）或通过U盘下载安装最新版的ARP防火墙，拦截本机向外发起的ARP攻击，保证不影响同网段的其他用户。
　　(2). 下载和安装杀毒软件或者专杀工具，进行安全模式，全面查杀病毒。

　　2. 受ARP欺骗攻击影响的电脑：
　　(1).网速偏慢
　　(2). QQ、MSN或上网直通车出现频繁掉线
　　(3).网络时断时续
　　(4).甚至是长时间断网
　　此时用户可立即通过网络（网络连通的情况下）或通过U盘下载并安装最新版的ARP防火墙①，或者静态绑定网关MAC②，从而来
　　(1). 拦截外部ARP攻击，保证正常上网。
　　(2).锁定攻击者，同时将攻击者的MAC地址提交到我们的网络报障系统，由我们的网管人员来定位出攻击者机器，隔离进行杀毒。　

　　二、ARP病毒查杀方法

　　趋势公司推出一款ARP病毒专杀工具。
　　使用方法：下载后解压缩，运行包内TSC.exe文件，不要关闭程序，直到它运行完毕自动关闭，然后查看report文档便可查看本次病毒查杀情况。

　　三、ARP病毒的防护措施

　　1.静态绑定网关MAC
　　方法一、手工绑定：
　　(1).确定用户计算机所在网段
　　(2).查出用户网段网关IP
　　(3).根据网关IP查出用户网段网关Mac
　　(4).用命令 arp -s 网关IP 网关MAC 静态绑定网关IP和MAC　

举例:
　　(1).确定用户计算机所在网段
　　开始->程序->附件->命令提示符,打开命令提示符窗口,输入ipconfig命令，查出用户正常分配到的IP地址：
　　本机IP:　10.13.2.62
　　网关IP:　10.13.2.254

　　(2).在以下网关IP地址，可从本站网关MAC查询查得　　　
　　IP为　10.13.3.254　的网关的MAC地址为　00-0b-46-01-01-00

　　(4).在命令提示符窗口中输入以下命令

　　arp –d　　//清空ARP缓存
　　arp -s 10.13.2.254　　00-0b-46-01-01-00　　//静态绑定网关MAC地址
　　arp –a　　//查看ARP缓存记录
未命名-2.png

　　方法二、脚本绑定
    将下面的代码拷贝到记事本中,保存为.bat文件,双击运行即可
-------------------------------------------------------------------------------------
    ::arp -d&arp -s Default Gateway mac
    ::绑定本机的批处理
    @echo off
    @color f0
    if exist ipconfig.txt del ipconfig.txt
    ipconfig /all >ipconfig.txt

    if exist phyaddr.txt del phyaddr.txt
    find "Physical Address" ipconfig.txt >phyaddr.txt
    for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M
    if exist IPAddr.txt del IPaddr.txt
    find "IP Address" ipconfig.txt >IPAddr.txt
    for /f "skip=2 tokens=15" %%I in (IPAddr.txt) do set IP=%%I
    @echo %ip% %mac%
    arp -s %IP% %Mac%
    del ipaddr.txt
    del ipconfig.txt
    del phyaddr.txt
    pause
-------------------------------------------------------------------------------------

　　2.使用第三方工具

　推荐工具：ARP防火墙单机版
　　官方站点：http://www.antiarp.com/
　　最新版本：v4.0.2
　　功能特性：
　　　　* 拦截外部攻击。
　　　　* 拦截IP冲突。
　　　　* 拦截外对攻击。
　　　　* 监测ARP缓存。
　　　　* 主动防御。
　　　　* 锁定攻击者。　

　　四、上网安全建议

　　1.及时更新系统补丁；
　　2.安装杀毒软件，及时更新病毒定义库，并定期查杀病毒；
　　3.不随便打开QQ、MSN等聊天工具上发来的链接信息；
　　4.不随便接收、打开或运行陌生、可疑文件和程序，如邮件中的陌生附件，QQ好友发送的可疑文件等；
　　5.不随便去非官方的小型站点下载程序或文件。
　　6.不随便访问不明、不健康的网站。

　　五、对中ARP病毒用户的举报和处理流程

　　（一）、举报流程
　 1.用户举报：用户将ARP防火墙举报的中毒计算机的MAC地址提交到网管
　 2.主动发现：由网关人员利用抓包分析工具等主动发现

3.将中毒计算机的MAC地址公布

　（二）、处理流程
　　网管人员处理流程

　　1.联系中毒计算器用户，安装ARP防火墙单机版
　　可以连网则通过网络安装，已经断网则通过移动U盘等方式安装
　　2.运行ARP防火墙，观察ARP防火墙拦截对外攻击日志，一旦有对外攻击的迹象则表明ARP病毒发表，此时用户应立即
　　(1).安装杀毒软件
　　(2).重启系统并进入安全模式
　　(3).全面杀毒
　　当ARP防火墙不再报告本机对外发起攻击时才表明全部ARP病毒已经被清除干净。
　　3.若用户计算机再次被发现或被举报发送ARP欺骗攻击时，网管人员可关闭用户上网端口3天。