由于篇幅關(guān)系我們不可能在這里大幅講解ARP欺騙病毒的工作原理和擴散機理，筆者只是對ARP欺騙病毒進行一個大概介紹。所謂ARP欺騙病毒實際上就是一臺感染了病毒的計算機不斷的冒充網(wǎng)關(guān)的IP地址，不停的告訴網(wǎng)絡(luò)中所有計算機網(wǎng)關(guān)地址對應(yīng)的MAC信息是感染病毒機器的MAC，這樣由于他的發(fā)包量大大大于網(wǎng)關(guān)實際發(fā)送的ARP信息數(shù)據(jù)。

　　所以正確的ARP數(shù)據(jù)包被虛假偽裝過的數(shù)據(jù)包所掩蓋，從而導致到其他計算機要上網(wǎng)時會把對應(yīng)的數(shù)據(jù)發(fā)送到網(wǎng)關(guān)（實際上這個網(wǎng)關(guān)對應(yīng)的MAC已經(jīng)是中毒機器的MAC地址了），接下來數(shù)據(jù)的發(fā)送與接收完全由中毒機器和正常機器進行了，正確的網(wǎng)關(guān)地址被徹底跳過，從而造成網(wǎng)絡(luò)訪問出現(xiàn)問題，虛假欺騙信息赫然網(wǎng)頁之上，其他計算機上網(wǎng)緩慢或者根本無法上網(wǎng)，甚至訪問到的地址變成了一個虛假頁面等。

　　二，ARP欺騙病毒防治關(guān)鍵：

　　ARP欺騙病毒的誕生和傳播與爆發(fā)關(guān)鍵在于他向網(wǎng)絡(luò)中發(fā)送了大量的虛假數(shù)據(jù)包，虛假數(shù)據(jù)包的內(nèi)容是告訴其他計算機網(wǎng)關(guān)地址的MAC是感染病毒的MAC，比如這臺機器的MAC地址是1111-1111-1111，自己的IP地址是192.168.1.5，網(wǎng)絡(luò)中真正網(wǎng)關(guān)地址是192.168.1.254，那么虛假數(shù)據(jù)包就是告訴其他計算機192.168.1.254對應(yīng)的MAC地址是1111-1111-1111。

　　由于TCP/IP協(xié)議傳輸是從低層數(shù)據(jù)鏈路層開始到高層網(wǎng)絡(luò)層的，所以辨認計算機先要通過MAC地址，由于網(wǎng)絡(luò)中其他計算機已經(jīng)接收到了192.168.1.254地址對應(yīng)的MAC是1111-1111-1111，那么他們將首先通過MAC和ARP緩存信息來確定定位目標網(wǎng)關(guān)計算機。

　　因此通過上面的分析我們可以明確一點，那就是防范ARP欺騙病毒的關(guān)鍵就是處理這種非法數(shù)據(jù)包——IP地址是網(wǎng)關(guān)而MAC地址是感染病毒的計算機。

　　三，ARP病毒的防治思路：

　　本文主要討論的是一種ARP欺騙蠕蟲病毒的防治思路，是一種防患于未燃的措施，如果ARP欺騙病毒已經(jīng)爆發(fā)，那么各位網(wǎng)絡(luò)管理員需要做的就是通過sniffer來檢測病毒定位目標計算機了，具體的方法我在之前的“零距離接觸Downloader病毒”文章中已經(jīng)介紹過，這里就不詳細說明了。

　　下面說下防治思路——我們將防治的關(guān)鍵點放在處理ARP欺騙數(shù)據(jù)包上，由于我們知道了欺騙數(shù)據(jù)包內(nèi)容是“IP地址是網(wǎng)關(guān)而MAC地址是感染病毒的計算機”，只要針對此數(shù)據(jù)包進行過濾即可。在網(wǎng)絡(luò)沒有病毒時我們是可以知道真正的網(wǎng)關(guān)對應(yīng)的正確MAC地址的，只需要通過arp -a或者直接在交換機上查詢即可。這里假設(shè)真正網(wǎng)關(guān)對應(yīng)MAC地址是2222-2222-2222。

　　那么我們需要在交換機上設(shè)置一種訪問控制列表過濾策略，將所有從交換機各個端口out方向上發(fā)送的源地址是192.168.1.254但是源MAC地址不是2222-2222-2222，或者目的地址是192.168.1.254而目的MAC地址不是2222-2222-2222的數(shù)據(jù)包丟棄（放入黑洞loopback環(huán)路），同時自動關(guān)閉相應(yīng)的交換機端口。

　　四，防治ARP欺騙病毒模擬流程：

　　由于ARP欺騙病毒的傳播是需要通過交換機發(fā)送虛假廣播信息的，而虛假數(shù)據(jù)信息內(nèi)容中源或目的地址IP信息一定包括192.168.1.254，而對應(yīng)的MAC地址一定不是正確的2222-2222-2222，因此這類虛假數(shù)據(jù)會被之前我們在交換機上設(shè)置的訪問控制列表或過濾策略所屏蔽，再結(jié)合自動關(guān)閉對應(yīng)端口徹底避免ARP欺騙蠕蟲病毒的傳播。之后感染了病毒的計算機將無法上網(wǎng)，他一定會聯(lián)系網(wǎng)絡(luò)管理員，從而幫助我們快速定位問題計算機，在第一時間解決問題。

　　小提示：

　　不過如果企業(yè)網(wǎng)絡(luò)中采取的拓撲是在一個交換機端口下還連接有諸如HUB的設(shè)備的話，那么如果連接HUB設(shè)備的下屬計算機中有感染ARP欺騙病毒的話，交換機端口依然會自動關(guān)閉，整個HUB設(shè)備下連計算機都將無法上網(wǎng)，所以建議大家還是盡量采用交換機來連接企業(yè)計算機。

　　五，總結(jié)：

　　這種防范措施是需要結(jié)合ACL訪問控制列表以及路由策略等多個路由交換設(shè)備功能的，首先要保證路由交換設(shè)備支持這些功能，另外還要進行合理的設(shè)置，不能夠過濾掉正確的數(shù)據(jù)包。當然本文內(nèi)容只是筆者在多次對抗ARP欺騙病毒后產(chǎn)生的一個防范思路，希望可以和更多的朋友一起探討，了解更多的建議，大家共同進步將ARP欺騙病毒徹底查殺。
【看看這篇文章在百度的收錄情況】

相關(guān)文章

• 上一篇： 如何配置防火墻與路由器安全
• 下一篇： 如何應(yīng)用網(wǎng)絡(luò)防火墻全方位保護網(wǎng)絡(luò)安全