瀏覽我們網站的讀者中大部分都是企業的網管以及網絡安全愛好者， 相信最近一段時間最讓我們頭疼的莫過于ARP欺騙類蠕蟲病毒了， 這種病毒處理起來很麻煩， 一臺機器感染會造成網段中所有機器的上網中斷或混亂。 筆者也曾經為ARP欺騙類蠕蟲病毒所困饒， 下面筆者根據自己的經驗和經歷和大家一起探討下ARP欺騙類病毒的防治思路。

　　一， ARP欺騙病毒概述：

　　由于篇幅關系我們不可能在這里大幅講解ARP欺騙病毒的工作原理和擴散機理， 筆者只是對ARP欺騙病毒進行一個大概介紹。 所謂ARP欺騙病毒實際上就是一臺感染了病毒的計算機不斷的冒充網關的IP地址， 不停的告訴網絡中所有計算機網關地址對應的MAC信息是感染病毒機器的MAC， 這樣由于他的發包量大大大于網關實際發送的ARP信息數據。

　　所以正確的ARP數據包被虛假偽裝過的數據包所掩蓋， 從而導致到其他計算機要上網時會把對應的數據發送到網關（實際上這個網關對應的MAC已經是中毒機器的MAC地址了）， 接下來數據的發送與接收完全由中毒機器和正常機器進行了， 正確的網關地址被徹底跳過， 從而造成網絡訪問出現問題， 虛假欺騙信息赫然網頁之上， 其他計算機上網緩慢或者根本無法上網， 甚至訪問到的地址變成了一個虛假頁面等。

　　二， ARP欺騙病毒防治關鍵：

　　ARP欺騙病毒的誕生和傳播與爆發關鍵在于他向網絡中發送了大量的虛假數據包， 虛假數據包的內容是告訴其他計算機網關地址的MAC是感染病毒的MAC， 比如這臺機器的MAC地址是1111-1111-1111， 自己的IP地址是192.168.1.5， 網絡中真正網關地址是192.168.1.254， 那么虛假數據包就是告訴其他計算機192.168.1.254對應的MAC地址是1111-1111-1111。

　　由于TCP/IP協議傳輸是從低層數據鏈路層開始到高層網絡層的， 所以辨認計算機先要通過MAC地址， 由于網絡中其他計算機已經接收到了192.168.1.254地址對應的MAC是1111-1111-1111， 那么他們將首先通過MAC和ARP緩存信息來確定定位目標網關計算機。

　　因此通過上面的分析我們可以明確一點， 那就是防范ARP欺騙病毒的關鍵就是處理這種非法數據包——IP地址是網關而MAC地址是感染病毒的計算機。

　　三， ARP病毒的防治思路：

　　本文主要討論的是一種ARP欺騙蠕蟲病毒的防治思路， 是一種防患于未燃的措施， 如果ARP欺騙病毒已經爆發， 那么各位網絡管理員需要做的就是通過sniffer來檢測病毒定位目標計算機了， 具體的方法我在之前的“零距離接觸Downloader病毒”文章中已經介紹過， 這里就不詳細說明了。

　　下面說下防治思路——我們將防治的關鍵點放在處理ARP欺騙數據包上， 由于我們知道了欺騙數據包內容是“IP地址是網關而MAC地址是感染病毒的計算機”， 只要針對此數據包進行過濾即可。 在網絡沒有病毒時我們是可以知道真正的網關對應的正確MAC地址的， 只需要通過arp -a或者直接在交換機上查詢即可。 這里假設真正網關對應MAC地址是2222-2222-2222。

　　那么我們需要在交換機上設置一種訪問控制列表過濾策略， 將所有從交換機各個端口out方向上發送的源地址是192.168.1.254但是源MAC地址不是2222-2222-2222， 或者目的地址是192.168.1.254而目的MAC地址不是2222-2222-2222的數據包丟棄（放入黑洞loopback環路）， 同時自動關閉相應的交換機端口。

　　四， 防治ARP欺騙病毒模擬流程：

　　由于ARP欺騙病毒的傳播是需要通過交換機發送虛假廣播信息的， 而虛假數據信息內容中源或目的地址IP信息一定包括192.168.1.254， 而對應的MAC地址一定不是正確的2222-2222-2222， 因此這類虛假數據會被之前我們在交換機上設置的訪問控制列表或過濾策略所屏蔽， 再結合自動關閉對應端口徹底避免ARP欺騙蠕蟲病毒的傳播。 之后感染了病毒的計算機將無法上網， 他一定會聯系網絡管理員， 從而幫助我們快速定位問題計算機， 在第一時間解決問題。

　　小提示：

　　不過如果企業網絡中采取的拓撲是在一個交換機端口下還連接有諸如HUB的設備的話， 那么如果連接HUB設備的下屬計算機中有感染ARP欺騙病毒的話， 交換機端口依然會自動關閉， 整個HUB設備下連計算機都將無法上網， 所以建議大家還是盡量采用交換機來連接企業計算機。

　　五， 總結：

　　這種防范措施是需要結合ACL訪問控制列表以及路由策略等多個路由交換設備功能的， 首先要保證路由交換設備支持這些功能， 另外還要進行合理的設置， 不能夠過濾掉正確的數據包。 當然本文內容只是筆者在多次對抗ARP欺騙病毒后產生的一個防范思路， 希望可以和更多的朋友一起探討， 了解更多的建議， 大家共同進步將ARP欺騙病毒徹底查殺。