ARP病毒的防护

2024年5月8日发(作者：)

校园网管理之ARP病毒的防护

内容简介：本文就校园网出现ARP病毒的产生原因，处理方法，进

行了实际讲解。本文对校园网的管理能起到一定的辅助作用。

关 键 词：ARP病毒

原文：

我校自01年起就建设成功了校园网,并已正常运行了好几年,可

这段时间总有老师反映：计算机上网不是很好,经常出现掉线,上网速

慢等故障现象,本人就此问题认真分析,排查最终发现故障原因为部分

机器中了ARP病毒所致,最后加以处理，系统恢复正常运转。那么为

什么ARP病毒会导致整个网络出现瘫痪现象呢?本文就ARP病毒的

发生机理，以及本人的处理方法谈谈，仅作抛砖引玉。

一、什么是ARP？

ARP是“Address Resolution Protocol”（地址解析协议）

的缩写，它工作在tcp/ip协议的网络层。

它的功能是通过目标设备的IP地址，查询目标设备的MAC地

址。那么为什么数据通讯一定需要知道MAC地址呢？因为在以太网

中，一个主机和另一个主机进行通信，本质上是通过MAC地址来锁

定目的计算机的，因此仅知道对方机器的IP地址，是无法来进行数

据的交换，要进行数据交换必需先通过地址解析协议（ARP）获得对

方的MAC地址，然后根据获得的MAC地址来进行数据交换，也可

以这么说“地址解析过程”就是主机在发送数据帧之前将目标IP地

址转换成目标MAC地址的过程。

在实际应用中，每台安装有TCP/IP协议的电脑里都有一个ARP

缓存表，表里的IP地址与MAC地址是一一对应的，计算机要同另

外一台计算机进行通讯，首先要在这个缓冲表里找，看是否有目标机

的IP地址，如果找到就使用对应的MAC地址来进行通信。如果没

有找到，计算机会通过ARP广播的方式请求目标计算机返回目标计

算机的MAC地址，然后用返回的MAC地址来进行通信。

二、什么是ARP病毒？

ARP病毒是通过中毒计算机向网络设备发送伪造IP地址和

MAC地址的ARP包，来达到欺骗网络设备并对网络数据交换进行干

扰，以造成传输过程出现错误为目的的病毒。ARP病毒大概可以通

过以下两种方式来进行：一种是对路由器ARP表的欺骗，这种方法

造成整个网络IP地址的混乱，最终使路由器数据转发时发生错误，

另一种是修改局域网内计算机ARP缓冲表中网关对应的MAC地址

来进行欺骗计算机，让被欺骗计算机的数据包通过假网关来发送，以

达到数据包不可达的结果。我校发生ARP病毒为第二种，后面就这

种原因的病毒，谈谈处理方法。

三、如何判断中ARP病毒的方法

ARP病毒攻击常会造成内网IP或MAC冲突，出现短时间内部

份断线。上网时感觉网络经常掉线，重新开机或修复本地连接（或先

停用再启用）后又能上一会儿。不断弹出“本机的XXX段硬件地址

与网络中的XXX段地址冲突”的对话框。 对于此类arp攻击,在

病毒发作时，我们可任找一台机器，点开始运行，输入“CMD“，

开启DOS窗口并输入“arp -a” 命令, 会发现很多不同IP地址有着

相同的MAC地址表现象。

故障如图：

从上图可以看到地址为 192.168.1.1 和192.168.1.252的

MAC地址是一样的，而192.168.1.1又是计算机的网关地址，所以

本应向正确网关发送的数据却会转向错误地址192.168.1.252发送，

可是192.168.1.252却不具备网关转发功能，所以最终导致上网中断

现象。

四、ARP病毒处理方法。

1、在网络PC上APR缓冲表中锁定网关的IP和MAC地址，保护机

器能够正常上网

1）首先获得网关的内网的MAC地址

假如：网关地址192.168.1.1的MAC地址为000faa0022aa。

2）编写批处理文件kill_内容如下

@echo off

arp -d

arp -s 192.168.1.1 00-0f-aa-00-22-aa

将这个批处理软件拖到“windows--开始--程序--启动”中,然后

重新启动计算机。

2、在网络上找到发出虚假ARP数据包的中ARP病毒的计算机，有

下面两种方法。

1）通过网卡的混杂模式来寻找中毒计算机

因为所有的ARP攻击源都会有其特征——网卡会处于混杂模

式，可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处

于混杂模式的，从而判断这台机器有可能就是“元凶”。定位好机器

后，再做杀毒或系统重装处理。

2）通过ARP缓冲表中的错误MAC地址来查找中病毒计算机。

首先在DOS窗口下直接Ping网关IP，完成Ping后，迅速用

ARP –a查看网关IP对应的MAC地址，此MAC地址应该为欺骗

的MAC，记下来。然后通过使用软件NBTSCAN可以取得的本网段

所有计算机的真实IP地址、机器名和MAC地址表，再进行比对，

看那个IP的MAC地址和欺骗的MAC一致，发现后我们就可以锁定

的到病毒计算机的IP，机器名，找到中病毒的计算机以后进行杀毒安

装系统等处理。

例：命令：“nbtscan -r 192.168.16.0/24”（搜索整个

192.168.16.0/24网段, 即192.168.16.1-192.168.16.254）；或

“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段，

即192.168.16.25-192.168.16.137。输出结果第一列是IP地址，最

后一列是MAC地址。

3）做好防毒工作，下载安装微软MS07-17补丁。

4）对网内所有计算机的MAC地址和IP地址进行登记。

四、结语

通过上述操作，我们很快的找到了中ARP病毒的计算机，然

后进行杀毒处理，现系统运行正常，这起病毒引发的故障让我们深深

体会到ARP缓冲表正确性对一个网络系统的正常运转的重要性。