浅析医院局域网ARP病毒及其清除方法

2024年5月8日发(作者：)

第１６期总第２１８期　

２０１０年８月　

内蒙古科技与经济　

Ｉｎｎｅｒ　Ｍｏｎｇｏｌｉａ　Ｓｃｉｅｎｃｅ　Ｔｅｃｈｎｏｌｏｇｙ＆Ｅｃｏｎｏｍｙ　

Ｎｏ．１６．ｔｈｅ　２１８ｔｈ　ｉｓｓｕｅ　

Ａｕｇ．２０１０　

除　方法　

浅析医院局域网ＡＲＰ病毒及　其清　

贾彦萍　

（包头医学院第二附属医院信息科，内蒙古包头０１４０３０）　

摘　要：文章介绍了ＡＲＰ病毒、现象及其工作原理，并结合实际情况，给出了一些实用性较强且操　

作简单的有效清除及防范的方法。　

关键词：ＡＲＰ；ＡＲＰ病毒；清除方法；医院局域网　

中图分类号：ＴＰ３９３．０８　文献标识码：Ａ　

在当今网络信息化时代，网络的开放性和共享　

性在方便了人们使用的同时，也使得网络容易遭受　

到攻击，其中利用ＡＲＰ协议漏洞对网络进行攻击就　

是其中的一种重要方式，其后果是严重的。　

１　什么是ＡＲＰ病毒　

ＡＲＰ病毒也叫做ＡＲＰ地址欺骗类病毒，是一　

类特殊的病毒。该病毒一般属于木马病毒，不具备主　

动传播的特性，不会自我复制，但是由于其发作的时　

候会向全网发送伪造的ＡＲＰ数据包，严重干扰全网　

的正常运行，其危害甚至比一些蠕虫病毒还要严重　

得多。　

２　ＡＲＰ病毒现象　

ＡＲＰ病毒发作时，通常会造成网络掉线，但网　

络连接正常，内网的部分电脑不能上网，或者所有电　

脑均不能上网，无法打开网页或打开网页慢以及局　

域网连接时断时续并且网速较慢等现象，严重影响　

到局域网的正常运行。更为严重的是，ＡＲＰ病毒新　

变种出现了新特征，该类ＡＲＰ病毒同样是向全网发　

送伪造的ＡＲＰ欺骗广播，但病毒把自身伪装成网　

关，在所有用户请求访问的网页添加恶意代码，导致　

杀毒软件在用户访问任意网站均发出病毒警报。包　

头医学院第二附属医院局域网正是遭到了该新型　

ＡＲＰ病毒的攻击。　

３　ＡＲＰ病毒的攻击方式　

３．１　中间人攻击　

中间人攻击就是攻击者将自己的主机插入ｉＮ个　

目标主机通信路径之间，使他的主机如同两个目标　

主机通信路径上的一个中继，这样攻击者就可以监　

听两个目标主机之间的通信。　

３．２拒绝服务攻击　

拒绝服务攻击就是使目标主机不能响应外界请　

求，从而不能对外提供服务的攻击方法。　

３．３　克隆攻击　

攻击者首先对目标主机实施拒绝服务攻击，使　

其不能对外界作出任何反应。然后攻击者就可以将　

自己的ＩＰ与ＭＡＣ地址分别改为目标主机的ＩＰ与　

ＭＡＣ地址，这样攻击者的主机变成了与目标主机　

～

样的副本。　

４　ＡＲＰ协议的工作原理　

正常情况下，每台主机都会在自己的ＡＲＰ缓冲　

区中建立一个ＡＲＰ列表，以表示ＩＰ地址和ＭＡＣ地　

址的对应关系。当源主机需要将一个数据包要发送　

到目的主机时，会首先检查自己ＡＲＰ列表中是否存　

在该ＩＰ地址对应的ＭＡＣ地址，如果有，就直接将　

数据包发送到这个ＭＡＣ地址；如果没有，就向本地　

网段发起一个ＡＲＰ请求的广播包，查询此目的主机　

对应的ＭＡＣ地址。此ＡＲＰ请求数据包里包括源主　

收稿日期：２Ｏ１Ｏ一０５—１８　

文章编号：１ＯＯ７—６９２１（２０１Ｏ）１７一Ｏ０９１一Ｏ１　

机的ＩＰ地址、硬件地址以及目的主机的ＩＰ地址　网　

络中所有的主机收到这个ＡＲＰ请求后，会检查数据　

包中的目的ＩＰ是否和自己的ＩＰ地址一致。如果不相　

同就忽略此数据包；如果相同，该主机首先将发送端　

的ＭＡＣ地址和ＩＰ地址添加到自己的ＡＲＰ列表中，　

如果ＡＲＰ表中已经存在该ＩＰ的信息，则将其覆盖，　

然后给源主机发送一个ＡＲＰ响应数据包，告诉对　

方自已是它需要查找的ＭＡＣ地址；源主机收到这　

个ＡＲＰ响应数据包后，将得到的目的主机的ＩＰ地　

址和ＭＡＣ地址添加到自己的ＡＲＰ列表中，并利用　

此信息开始数据的传输。　

５清除方法　

５．１　清空ＡＲＰ缓存　

如果是遇到使用ＡＲＰ欺骗工具来进行攻击的　

情况，可以通过ＡＲＰ的指令来清空本机的ＡＲＰ缓　

存对应关系，让网络设备从网络中重新获得正确的　

对应关系，具体解决过程如下：　

第一步：通过点击桌面上任务栏的“开始”一“运　

行”，然后输入ｃｍｄ一回车，进入ｃｍｄ命令行模式。　

第二步：在命令行模式下输入ａｒｐ—ａ命令来查　

看当前本机储存在本地系统ＡＲＰ缓存中ＩＰ和ＭＡＣ　

对应关系的信息。　

第三步：使用ａｒｐ—ｄ命令，将储存在本机系统　

中的ＡＲＰ缓存信息清空，这样错误的ＡＲＰ缓存信　

息就被删除了，本机将重新从网络中获得正确的　

ＡＲＰ信息，达到局域网机器间互访和正常上网的目　

的。　

如果是感染ＡＲＰ欺骗病毒，病毒每隔一段时间　

自动发送ＡＲＰ欺骗数据包，这时使用清空ＡＲＰ缓　

存的方法将无能为力了。　

５．２　指定ＡＲＰ对应关系　

该方法强制指定ＡＲＰ对应关系。由于绝大部分　

ＡＲＰ欺骗病毒都是针对网关ＭＡＣ地址进行攻击　

的，使本机上ＡＲＰ缓存中存储的网关设备的信息出　

现紊乱，这样当机器要上网发送数据包给网关时就　

会因为地址错误而失败，造成计算机无法上网。　

第一步：我们假设网关地址的ＭＡＣ信息为００　

—

１４～７８一ａ７—７７—５ｃ，对应的ＩＰ地址为１９２．１６８．　

２．１，指定ＡＲＰ对应关系就是指这些地址。在感染了　

病毒的机器上，点击桌面一任务栏的“开始”一“运　

行”，输入ｃｍｄ一回车，进入ｃｍｄ命令行模式。　

第二步：使用ａｒｐ—ｓ命令来添加一条ＡＲＰ地　

址对应关系，例如ａｒｐ—ｓ　１９２．１６８．２．１　００—１４—７８　

ａ７～７７—５ｃ命令。这样就将网关地址的ＩＰ与正确　

的ＭＡＣ地址绑定好了，本机网络连接将恢复正常　

了。　

第三步：因为每次重新启动　（下转第９３页）　

・

９１・　

金华明・装载机常见故障分析及处理方法　２０１０年第１６期　

顿的时间也会相应延长，工作负荷越大，越感到动力　

针、逆时针转动外环齿轮。良好者应是顺时针能转　

不足。　

动，逆时针不能转动。若顺时针、逆时针都能转动，说　

３．２　Ⅱ挡行驶ａＹ－常，突然工作无力　

明其已经损坏。有时顺时针能转动，逆时针不能转　

装载机平时工作良好，Ⅱ挡行驶正常，但会突然　动，这也不能说明其是良好的。此时，若振动几下外　

出现工作无力现象。检查时若发现变速箱液压油没　环齿轮，使其与内环凸轮及滚柱的相对位置有较小　

有变质，油位符合要求且油底滤网没有堵塞，变速压　的变化或调整，若出现顺时针、逆时针都能相对转动　

力也正常，这说明超越离合器已损坏失效。　

的情况，说明超越离合器已经损坏；若只能顺时针转　

３．３　变速箱突发异响，车速骤减　

动，且转动时有滚柱旷动的声音，并且手感有松旷的　

装载机以较高速度行驶时，突然在变速箱部位　感觉，这也是超越离合器损坏的表现。上述３种损坏　

发出较大的机械异响，随即像是被制动似的车速骤　情况会造成以上３．１～３．４项中所述故障现象。若顺　

减，此时松开油门、停住车，无须摘挡，怠速运转一会　时针、逆时针都不能转动，说明其外环齿轮与内环凸　

儿，异响即消失，然后踏下油门，机车行驶恢复正常。　轮已咬死，会出现上述第３．５种故障现象。　

这种现象若不时地出现，这是由于超越离合器的滚　

一

般说来，凭经验对超越离合器总成进行检查　

柱有发卡现象所致，滚柱本应在不工作位置而现在　时，应注意装载机解体前各种工况下的工作情况，且　

卡在了工作位置，使原来不参加工作的一级涡轮输　

只能检查出损坏较大、较严重的故障，而对于其锁紧　

出齿轮与超越离合器的外环齿轮间断地工作，致使　性能不良但尚能锁紧的故障，在装载机又工作不良　

齿轮发出较大的撞击声，同时产生较大的制动力。　的情况下是不能被检查出来的，必须用一定的仪器　

３．４起步或换挡时，车辆反应迟缓　

来检查。因超越离合器损坏而使装载机性能不良时，　

装载机作业中，挂挡时手感节奏正常，挂挡杆无　应根据其变速压力、挂挡手感、换挡时压力变化等特　

松旷现象，变速压力及换挡时的反应也正常，但在装　

点，结合装载机的使用情况对超越离合器进行检查　

载机起步、换挡时有时车辆反应较缓慢。这是因为超　并做出较为正确的检查结论。　

越离合器外环齿轮与内环凸轮接合不良、锁死缓慢　

超越离合器的损坏一般表现为滚柱、外环齿轮　

所致。　

的内轨道、内环凸轮的楔形面磨损超限或挤压变形，　

３．５　Ⅱ挡、Ｉ挡速度无区别　

使外环齿轮与内环凸轮不能锁紧或卡死而不能分　

有的装载机在低速、重载时工作有力，但变矩器　

离；工作弹簧压盖损坏，弹簧折断、变形、变软而失去　

油温升高较快，并且Ⅱ挡与Ｉ挡的速度无区别。这是　作用，使滚柱不能顶在内环凸轮楔形面较高的位置　

因为超越离合器的滚柱卡死在工作位置，使外环齿　

上而起到锁死作用；隔离环损坏或变形、松旷，使滚　

轮与内环凸轮始终处于接合的状态，即一、二级涡轮　

柱、弹簧脱落，或使滚柱不能顶在楔形面的高位处。　

一

直在较大负荷、较低转速下工作，致使油温升高较　

４结束语　

快、车辆行驶速度较慢。　

通过对装载机的一些常见故障的分析，认识到　

３．６超越离合器总成的检查　

只有对车辆的结构和原理有全面的了解，才能更准　

检查超越离合器总成时，一般是先看轴承有无　

确地判断故障所在，才能采取正确的处理方法，才能　

损坏，滚柱、弹簧有无脱落。若有则应换件修复或更　

保证车辆正常使用。　

换总成；若没有，应将中间输入轴制动住，分别顺时　

（上接第９１页）　计算机的时候，ＡＲＰ缓存信息　

查找病毒源，对病毒源头的机器进行处理，杀毒　

都会被全部清除。所以我们应该把这个ＡＲＰ静态地　或重新安装系统。解决了ＡＲＰ攻击的源头ＰＣ机的　

址添加指令写到一个批处理文件中，然后将这个文　

问题，可以保证内网免受攻击。及时升级客户端的　

件放到系统的启动项中。当程序随系统的启动而加　操作系统和应用程式补丁。　

载的话，就可以免除因为ＡＲＰ静态映射信息丢失的　

如果网络规模较少，尽量使用手动指定ＩＰ设　

困扰了。　

置，而不是使用ＤＨＣＰ来分配ＩＰ地址。　

５．３　添加路由信息应对ＡＲＰ欺骗　

时常关注本机的服务项和启动项，关闭一些不　

一

般的ＡＲＰ欺骗都是针对网关的，那么我们是　

需要的服务。条件允许的可关闭一些没有必要的共　

否可以通过给本机添加路由来解决此问题呢。只要　享，也包括Ｃ￥、Ｄ￥等管理共享。完全单机的用户也　

添加了路由，那么上网时都通过此路由出去即可，自　可直接关闭Ｓｅｒｖｅｒ服务。　

然也不会被ＡＲＰ欺骗数据包干扰了。　

经常更新杀毒软件（病毒库）。设置为每天定　

第一步：先通过点击桌面上任务栏的“开始”一　

时自动更新，安装并使用网络防火墙软件。　

“运行”，然后输入ｃｍｄ一回车，进入ｃｍｄ命令行模　

７结束语　’　

式。　

此类ＡＲＰ病毒攻击危害大，病毒变种形式多　

第二步：手动添加路由，详细的命令如下：删除　样，给包头医学院第二附属医院宽网用户带来极大　

默认的路由：ｒｏｕｔｅ　ｄｅｌｅｔｅ　０．０．０．０；添加路由：　

不便。包头医学院第二附属医院信息中心将继续密　

ｒｏｕｔｅ　ａｄｄ——Ｐ　０．０．０．０　ｍａｓｋ　０．０．０．０　１９２．１６８．１．　

切关注网络运行状态，一旦确认ＡＲＰ攻击源，无论　

２５４　ｍｅｔｒｉｃ　１；确认修改：ｒｏｕｔｅ　ｃｈａｎｇｅ此方法对网　是无意中毒还是有意攻击，将对其采取断网措施，待　

关固定的情况比较适合，如果将来更改了网关，那么　

用户ＰＣ机病毒清除后再行解封。为营造良好上网环　

就需要更改所有的客户端的路由配置了。　境，请大家理解、积极配合，良好上网环境需要大家　

安装杀毒软件并及时升级，有条件的单位可以　

共同维护。　

使用网络版的防病毒软件。　

６　防范方法　

［参考文献］　

使用可防御ＡＲＰ攻击的三层交换机，绑定端　

［１］　陈英，马洪涛．局域网内ＡＲＰ协议攻击及解决　

口ＭＡＣ—ＩＰ。限制ＡＲＰ流量，及时发现并自动阻断　

办法［Ｊ］．中国安全科学学报，２００７，１７（７）．　

ＡＲＰ攻击端口。合理划分ＶＬＡＮ，彻底阻止盗用ＩＰ、　［２］　谭敏，杨卫平．ＡＲＰ病毒攻击与防范［Ｊ］．网络　

ＭＡＣ地址，杜绝ＡＲＰ的攻击。　

安全技术与应用，２００８，（４）．　

・

９３・