如何防范ARP病毒 | 易学教程

近期网络中ARP病毒流行，我校校园网内也发现许多电脑中毒，对同一局域网内的其他用户造成了较大的影响。此病毒为木马病毒附带的一种欺骗病毒，这些计算机病毒一般都是利用ARP协议的漏洞进行危害活动。

被攻击的电脑现象

被欺骗电脑的典型症状是刚开机能上网，几分钟之后断网，过一会又能上网，或者重启一遍电脑就可以上网，一会又不好了，如此不断重复，造成校园网的不稳定，影响正常使用。重启机器或在MSDOS窗口下运行命令ARP -d后，又可恢复上网一段时间。

ARP病毒原理

电脑中毒后会向同网段内所有计算机发ARP欺骗包，从而致使同一网段地址内的其它机器误将其作为网关，导致网络内其它电脑因网关物理地址被更改而无法上网，这就是为什么掉线时内网是互通的，计算机却不能上网的原因。

ARP病毒手动处理方法

步骤一在网关地址栏内输入您的网关IP地址。获取网关地址的方法：打开一个DOS窗口，

输入命令ipconfig/all后回车，得到如图结果：

图中“Default Gateway”行显示的就是您的网关地址（注：各网段的网关地址是不一样的，切记：请不要照搬）。

步骤二. 如果已经有网关的正确MAC地址，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令：arp –s 网关IP 网关MAC

例如：假设计算机所处网段的网关为210.38.202.126，本机地址为210.38.202.1在计算机上运行arp –a后输出如下：

C:Documents and Settings>arp -a

Interface: 210.38.202.1 --- 0x2

Internet Address Physical Address Type

210.38.202.126 00-d0-95-d8-3c-12 dynamic

其中00-d0-95-d8-3c-12就是网关210.38.202.126对应的MAC地址，类型是动态（dynamic）的，因此是可被改变。

被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC，如果大家希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找做准备。

手工绑定的命令为：arp –s 210.38.202.126 00-d0-95-d8-3c-12

这时，类型变为静态（static），就不会再受攻击影响了。但是，需要说明的是，手工绑定在计算机关机重开机后就会失效，需要再绑定。所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，令其杀毒，方可解决。

ARP病毒专杀，防御工具下载

1、请用户下载AntiArpSniffer3.zip文件(右键下载、另存为)；

2、解压安装后，运行程序AntiArpSniffer3，出现如下界面：

3、使用说明：

开启Anti ARP Sniffer 3,输入网关IP地址，点击［枚取MAC］如你网关填写正确将会显示出网关的MAC地址。

点击[自动保护],即可保护当前网卡与网关的通信不会被第三方监听。

追踪ARP攻击者,当局域网内有人试图与本机进行ARP欺骗，其数据会被Anti ARP Sniffer记录。请在欺骗数据详细记录表中选择需要追踪的行，然后点击［追捕欺骗机］，追捕过程中需要几分钟时间，如果该ARP地址是真实的，也快就能追捕到攻击者。(追捕ARP攻击者时需要停止自动保护)

解决的最基本的办法还是：

1、用户要提高网络安全意识，不要轻易下载、使用盗版和存在安全隐患的软件；或浏览一些缺乏可信度的网站（网页）；不要随便打开不明来历的电子邮件，尤其是邮件附件；不要随便共享文件和文件夹，以免个人计算机受到木马病毒的侵入。

2、用户要及时下载和更新操作系统的补丁程序，安装正版的杀毒软件，增强个人计算机防御计算机病毒的能力。

何防范ARP欺骗病毒攻击

2006-11-9 阅读562次

近期，很多用户反映校园网速度比较慢，经过网络中心的排查，主要原因是用户
所在的网段存在感染ARP欺骗病毒的主机，而没有感染该病毒的用户也未使用我们以
前通知大家使用的ARP欺骗病毒防护软件，从而导致该病毒在网上扩散。在这里再次
提醒大家：由于目前无专杀ARP欺骗病毒的有效软件，为了您和其他用户的利益，请
用户注意查杀ARP病毒（多用几种防毒软件进行杀毒）。如有可能最好能够重新安装
系统，而没有感染此类病毒机器的用户请按照以下防护措施进行，防范步骤如下：

1. 请用户下载AntiArpSniffer3.zip文件(右键下载、另存为)；

2. 解压AntiArpSniffer3.zip文件；

3. 安装AntiArpSniffer软件；

4. 运行程序AntiArpSniffer3，出现如下界面：

图1 AntiArpSniffer3界面

5. 在网关地址栏内输入您的网关IP地址。获取网关地址的方法：打开一个DOS窗口，
输入命令ipconfig/all后回车，得到如图2结果：

图2 ipconfig/all图

图中“Default Gateway”行显示的就是您的网关地址（注：各网段的网关地址是
不一样的，切记：请不要照搬）。

6. 在图1 的AntiArpSniffer3运行界面上点击“枚取MAC”按钮，这样就自动获取了
网关的MAC地址。之后，点击“自动保护”按钮，AntiArpSniffer3就能自动的防护
ARP欺骗病毒的攻击。为了使AntiArpSniffer3在系统启动后能够自动运行，请确保
AntiArpSniffer3界面上右下角“开机自动运行软件”打勾。

7. 利用AntiArpSniffer3可以发现感染ARP欺骗病毒的主机的IP地址和MAC地址，
为了使整个校园网正常运转，也为了确保您的上网速度，如有可能，请您通知感染
此类病毒的主机的用户杀毒或重装系统，并将信息发送到邮箱：wlzx@sgu.edu.cn，
网络中心将根据情况进行进一步的处理，谢谢您的合作！

关于防范ARP病毒的公告

发布人:网络中心||发布时间:2006-12-18

近期一些校园网用户出现正在上网的电脑主机频繁掉线或是断线，网速慢，或无法上网，症状常为本地联接打了感叹号,无法获取正常的IP地址。经调查，导致该故障的主要原因是ARP病毒，所以我们整理以下相关防治办法发给大家，请大家提高警惕，做好防范措施。

一、故障原因及现象
　　具体表现为：电脑中毒后会向同网段内所有计算机发ARP欺骗包，导致网络内其它电脑因网关物理地址被更改而无法上网，被欺骗电脑的典型症状是刚开机可以上网，几分钟之后断网，过一会又恢复，或者重启电脑后恢复，如此不断重复，造成校园网不稳定，影响正常使用。

二、故障诊断
　　如果用户发现突然不能上网，可以通过如下操作进行诊断：
　　点击“开始”按钮->选择“运行”->输入“arp -d”->点击“确定”按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。
　　“arp -d”命令能清除本机的arp表，arp表被清除后接着系统会自动重建新的arp表，“arp -d”命令并不能抵御ARP欺骗，执行“arp -d”命令后仍有可能再次遭受ARP攻击。

三、故障处理
　　杀毒。
　（1）趋势、诺顿、卡巴斯基、瑞星等杀毒软件均可查杀此类病毒，注意：查杀病毒只能避免电脑主机成为ARP攻击方，并不能抵御ARP攻击。