综合方法来解决ARP病毒防治问题(1)

l        ARP病毒防制方法函待加强

ARP病毒问题已经讲了很长一段时间了，大家对于ARP病毒的防制也总结了不少的经验，不断在网上发更新防制方法。但是新的ARP病毒的变种更加猖獗，更加充斥我们网络的不同角落给我们的管理工作带来不大不小的问题，同时也影响到网络的正常运行，所以对ARP病毒的防护仍然是一个热点问题。

近日，又听到有许多网管抱怨传统的绑定方法有时候不能做到防制或者不能根本解决问题，例举一些在日常处理中经常会出现的问题：

1、在PC上绑定安全网关的IP和MAC地址或者做一个批处理文件来进行绑定，ARP病毒可以自己动改写错误网关MAC地址造成网络中网关错误，造成局部或者大面积掉线问题。

2、在路由器做MAC绑定，没有从根本上解决ARP防护,当中ARP病毒的机器将其数据发到伪造的网关同样会造成掉线等相关问题。

3、使用监视软件，但是ARP病毒的发作是没有规律可言的，网管不能可时时都去注意这样的问题。

4、客户机安装时绑定IP-MAC软件，根据CPU利用率而定，因为需要时时网络连通，当病毒发作的时候会突然掉线。

5、某些软件通过做几个假的DLL文件欺骗探测软件，但是某些ARP病毒软件不需要探测就可以进行ARP攻击。

以上几个常用的方法其起到的作用是有限的，但是都会存在这样或者那样的弊端，我们必须寻求更好的解决办法，下面我们来介绍几招新的升级版的防治办法，这些都是Qno侠诺工程师们长期服务在一线工作中所积累宝贵经验。

l        解决客户实例

对于合肥有一家网吧有做了ARP绑定，亦无法抵挡ARP攻击，我们Qno的工程师有联系到客户看他的电脑，我看到的批处理如下，并且PC 端通过Arp –a命令来确认并没有绑定。原因在与其echo后面的中文的叙述没有用“ ”来做标示，造成其批处理文件无法执行，其用户本机上根本没做相应的绑定工作，如图1。

@echo OFF

ping XXX.XXX.XXX.XXX(保证客户网络安全，其IP地址数字用X代替)

if %~n0==arp exit

if %~n0==Arp exit

if %~n0==ARP exit

echo 正在获取本机信息..... 

:IP

FOR /f "skip=13 tokens=15 usebackq " %%i in (`ipconfig /all`) do Set IP=

%%i && GOTO MAC

:MAC

echo IP:%IP%

FOR /f "skip=13 tokens=12 usebackq " %%i in (`ipconfig /all`) do Set

MAC=%%i && GOTO GateIP

:GateIP

echo MAC:%MAC%

arp -s %IP% %MAC%

echo 正在获取网关信息.....

FOR /f "skip=17 tokens=13 usebackq " %%i in (`ipconfig /all`) do Set

GateIP=%%i && GOTO GateMac

:GateMac

echo IP:%GateIP%

FOR /f "skip=3 tokens=2 usebackq " %%i in (`arp -a %GateIP%`) do Set

GateMAC=%%i && GOTO Start

:Start

echo MAC:%GateMAC%

arp -d

arp -s %GateIP% %GateMAC%

echo 操作完成!!!

exit

图1

Qno侠诺工程师通过对批处理文件做相应的修改，再检查路由器上的绑定，之后这个网吧就没有发现掉线问题了，至今网络运行正常，所以可看出通过双向绑定是完全可以解决ARP病毒防制的，确实是一个行之有效的办法，完全可以解决ARP病毒造成网络吊线、IP冲突的现象，使ARP病毒无能为力。同时建议用户在做双向绑定后，通过Arp –a的命令检查绑定是否有效，和路由器上的绑定是否有错误，这样来进一步确保防制ARP病毒的攻击，下面强调防制几个注意的问题。

1、执行完之后要用 arp -a 看 type 是 static 还是 dynamic。

2、不要用复杂的脚本，最简单的即可防止别人中了，自己不受影响，一般网吧都有还原卡，网管可以用软件监察，发现有中了ARP，提醒一下客人以防盗取帐号密码。

3、目前防毒软件也没有对此有很好的防范。

4、ARP称之为病毒，但实质上对于ARP协议来说，只是完善和加强（就好象信用卡在中国需要加密码，在外国只需要签名一样，但不是信用机制出了问题）。

5、不要指望能过广播发包，最终受影响的是自己的网络。