ARP病毒的认识及解决方案（精编2篇）

【导言】此例“ARP病毒的认识及解决方案（精编2篇）”的范文资料由阿拉题库网友为您分享整理，以供您学习参考之用，希望这篇资料对您有所帮助，喜欢就复制下载支持吧！

ARP病毒的原理与防治1

摘 要： ARP病毒是对局域网影响较大的病毒之一，给个人用户和网络管理员都带来莫大的麻烦。如何识别ARP病毒，以及采用什么样的方法来进行预防和解决，是个人用户和网管们都必须掌握的。本文介绍了ARP病毒的简单原理、ARP病毒的症状，以及解决ARP病毒的一些常用的方法。

关键词： ARP病毒 工作原理 处理方法

最近一段时间，我校局域网感染了ARP病毒，导致一部分机器无法上网，影响了正常的网络使用。ARP病毒的清理和防范都比较困难，给个人用户甚至是网管都带来很大的麻烦。下面我就简单地介绍一下ARP病毒的一些原理和简单的预防措施。

一、何为ARP病毒（攻击）

其实ARP病毒并不是某一种病毒的名称，而是对利用ARP协议的漏洞进行传播的一类病毒的总称。

ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写，它是TCP/IP协议组的一个协议，是用于进行把网络地址翻译成物理地址（又称MAC地址）。

通常此类攻击的手段有两种：路由欺骗和网关欺骗。是一种入侵电脑的木马病毒。对电脑用户私密信息的威胁很大。ARP病毒主要就是冒充网关，将局域网内的信息拦截，或者拦截外网的数据，通过中了ARP病毒的机器（其冒充网关）中转一下（顺便添加木马）发送到各个终端，导致信息无法发送到要求的地方去。

二、ARP病毒的症状

1.有时候无法正常上网，有时候又好了，包括访问网上邻居也是如此。

2.当局域内的某台计算机存在ARP的病毒时，它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包，阻塞网络通道，造成网络设备的承载过重，网速时快时慢，极其不稳定，但单机进行数据测试时一切正常。

3.使用ARP查询的时候会发现不正常的MAC地址，或者是错误的MAC地址对应，还有就是一个MAC地址对应多个IP的情况也会有出现。

一些安装了杀毒软件的用户，常常会出现ARP攻击的提示，也说明你的机器正在遭受ARP的攻击。

三、ARP病毒的工作原理

局域网主机上网的一般步骤：

1.主机发送请求服务器（或网关）转发互联网

2.互联网返回信息服务器（或网关）转发主机

3.主机得到信息，完成一次信息交流

图示如下：

当局域网存在ARP攻击时，整个顺序可能会被打乱。染毒的主机会不停地向局域网中的其他机器发ARP包，告诉局域网中的主机错误的服务器（网关）地址，以后主机请求信息不会向服务器（网关）发送，而是向错误的地址发送，就会导致信息的时断时续，网速很慢，或者信息丢失，直接打不开网页。

图示如下：

四、常用的处理方法

解决ARP病毒攻击的方法有多种，下面列举几种常用的方法。

（一）受到ARP攻击的电脑，可以在DOS方式下清除ARP缓存。

一般来说，ARP欺骗都是通过发送虚假的MAC地址与IP地址的对应ARP数据包来迷惑网络设备，用虚假的或错误的MAC地址与IP地址对应关系取代正确的对应关系。若是一些初级的ARP欺骗，可以通过ARP的指令来清空本机的ARP缓存对应关系，让网络设备从网络中重新获得正确的对应关系，方法如下：

第一步：通过点击桌面上任务栏的“开始”“运行”，然后输入cmd后回车，进入cmd命令行模式；

第二步：在命令行模式下输入arp -a命令来查看当前本机储存在本地系统ARP缓存中IP和MAC对应关系的信息；

第三步：使用arp -d命令，将储存在本机系统中的ARP缓存信息清空。这样错误的ARP缓存信息就被删除了，本机将重新从网络中获得正确的ARP信息，达到局域网机器间互访和正常上网的目的。如果遇到使用ARP欺骗工具来进行攻击的情况，使用上述的方法就完全可以解决。但如果是感染ARP欺骗病毒，病毒每隔一段时间自动发送ARP欺骗数据包，这时使用清空ARP缓存的方法将无能为力了。

（二）指定ARP对应关系：其实该方法就是强制指定ARP对应关系。由于绝大部分ARP欺骗病毒都是针对网关MAC地址进行攻击的，使本机上ARP缓存中存储的网关设备的信息出现紊乱。这样当机器要上网发送数据包给网关时就会因为地址错误而失败，造成计算机无法上网。

第一步：如果网关地址的MAC信息为00-08-0F-67-02-7c，对应的IP地址为。指定ARP对应关系就是指这些地址。在感染了病毒的机器上，点击桌面任务栏的“开始”“运行”，输入cmd后回车，进入cmd命令行模式；

第二步：使用arp -s命令来添加一条ARP地址对应关系，例如arp -s 00-08-0F-67-02-7c命令。这样就将网关地址的IP与正确的MAC地址绑定好了，本机网络连接将恢复正常；

第三步：因为每次重新启动计算机的时候，ARP缓存信息都会被全部清除。所以我们应该把这个ARP静态地址添加指令写到一个批处理文件（例如：bat）中，然后将这个文件放到系统的启动项中。当程序随系统的启动而加载的话，就可以免除因为ARP静态映射信息丢失的困扰。

（三）添加路由信息应对ARP欺骗。

一般的ARP欺骗都是针对网关的，那么我们是否可以通过给本机添加路由来解决此问题呢？只要添加了路由，那么上网时都通过此路由出去即可，自然也不会被ARP欺骗数据包干扰了。

第一步：先通过点击桌面上任务栏的“开始”“运行”，然后输入cmd后回车，进入cmd(黑色背景)命令行模式；

第二步：手动添加路由，详细的命令如下：删除默认的路由： route delete ;添加路由：route add -p mask metric 1;确认修改：route change。

（四）使用杀毒软件来清除ARP病毒，同时对本机进行网关地址（MAC地址）绑定。

这里主要讲述使用“360安全卫士”进行服务器（网关地址）绑定的方法，来解决ARP攻击。

其步骤如下：

在“网关MAC”里填写：00-08-0F-67-02-7c（减号也要写上），

然后单击“确定”；

（8）最后单击“保存”，就实现了服务器MAC地址绑定，可以有效地预防ARP攻击。

通过这样的方法绑定了以后，基本上就会免受ARP病毒的攻击，而且360安全卫士是免费软件，可以从网络上下载安装，网址是省略。

ARP病毒一直是局域网中危害较大的病毒之一，但它的清除和防治相对又较专业，因此造成了它在局域网中的横行。本文讲了一些ARP病毒的普及知识，简单的防治办法，希望对大家有所帮助。

本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文

ARP病毒的认识及解决方案2

摘要ARP协议由于自身的漏洞，在实际应用中给病毒和恶意软件带来了可乘之机。本文对ARP病毒进行了介绍，揭示其攻击原理和解决办法等。

关键词ARP病毒；MAC地址；局域网；网络安全

病毒介绍

ARP（AddressResolutionProtocol）协议是TCP/IP协议组中的一个协议，能够把网络地址翻译成物理地址（又称MAC地址），但是存在漏洞，对于木马病毒的入侵埋下了隐患。这一类利用ARP协议的漏洞进行传播的病毒总称为ARP病毒，对电脑用户私密信息的威胁很大。

病毒发作时的症状表现为计算机网络连接正常，能登陆成功却时常上不了网，局域网的网络情况却时好时坏，这很可能就是ARP欺骗已经发作的征兆。

协议的工作原理

在局域网中，两台主机之间要进行通信，必须知道目标主机的IP地址，但是网卡并不能直接识别IP地址，只能识别其硬件地址MAC地址，这就必须进一步通过ARP协议将数据包中的IP地址转换为MAC地址。IP地址与MAC对应的关系依靠ARP缓存表，每台主机（包括网关）都有一个ARP缓存表，在正常情况下这个缓存表能够有效保证数据传输的一对一性。假设某局域网有由三台电脑组成。电脑A代表攻击方，电脑S代表源主机，另一台电脑B代表目的主机。这三台电脑的IP地址分别为：，，，MAC地址分别为：MAC-A，MAC-S，MAC-B。

在数据传输过程中，S电脑要给B电脑发送数据，则要先查询自身的ARP缓存表，查看里面是否有这台电脑的MAC地址，如果有就将MAC-B封装在数据包的外面，直接发送出去即可。如果没有，S电脑便向全网络发送一个ARP广播包，要求返回IP地址为的主机的MAC地址。B电脑接收到该广播，就将自身的IP地址和MAC-B地址返回到S电脑。现在S电脑可以在要发送的数据包上贴上目的地址MAC-B发送出去，同时它还会动态更新自身的ARP缓存表，将这一条记录添加进去。这样，等S电脑下次再给B电脑发送数据的时候，就不用发送ARP广播包进行查询了。若数据源主机一直没有收到ARP响应数据包，表示ARP查询失败。这就是ARP工作原理下的数据包正常发送过程。

病毒的欺骗过程和欺骗原理

数据发送机制有一个致命的缺陷，即它是建立在对局域网中电脑全部信任的基础上的。比如在上述数据发送中，当S电脑向全网询问后，B电脑也回应了自己的正确MAC地址，但同时，A电脑却返回了B电脑的IP地址和和自己的硬件地址。由于A电脑不停地发送这样的应答数据包，则会导致S电脑又重新动态更新自身的ARP缓存表，这回记录成：与MAC-A对应，我们把这步叫做ARP缓存表中毒。这样，就导致以后凡是S电脑要发送给B电脑，都将会发送给A主机。也就是说，A电脑就劫持了由S电脑发送给B电脑的数据，完成了ARP欺骗过程。

如果A电脑不冒充B电脑，而是冒充网关，那后果会更加严重。A电脑将会监听整个局域网发送给互联网的数据包。

4.判断一台电脑是否受到ARP攻击的办法

（1）在正常情况下，登录网关路由器的管理界面并记录网关面向局域网接口（LAN口）的MAC地址。如查看结果：MAC地址：00-0A-EB-B9-5C-CE，IP地址：

（2）当发生异常情况的时候，在内网发生故障的电脑（或任意一台电脑）上运行ARPa命令，在回显的信息中查看对应网关IP的MAC地址，对比是不是之前记录的网关的MAC地址。如果不是，则说明局域网发生了ARP攻击。

5.针对ARP病毒的应对策略

由于ARP攻击有时不是病毒造成的，而是合法运行的程序（外挂、网页等）造成的，所以常见的杀毒软件多数时候束手无策。

要真正消除ARP病毒攻击的隐患，必须“双向绑定”：在每台电脑上绑定一些常用的ARP表项，同时设置“局域网核心”路由器。由于任何ARP包，都必须经由交换机转发，才能达到被攻击的目标，那么只要路由器拒收非法的ARP包，ARP攻击就不能造成任何影响。

第一步：电脑端进行ARP条目绑定

A.打开“记事本”程序，在里面输入命令：

命令中参数的四部分，分别是：“ARP”、“-s”、“网关IP地址”、“网关MAC地址”，中间以空格隔开。对于局域网中的所有电脑来说，它们的“网关IP地址”就是路由器的LAN口IP地址，“网关MAC地址”就是LAN口的MAC地址。

B.输入完成后另存为批处理文件。

C.将复制到“启动”文件夹中。

打开“开始”-“程序”-“启动”，右击菜单，选择“打开”命令，打开“启动”文件夹，将复制到“启动”文件夹中。

D.复制完成后，重新启动电脑，让文件自动执行一次。目的是让ARP条目成为静态不再改变，确保这台电脑不会因为受到ARP欺骗而动态修改自己的ARP表，导致不能上网。

在DOS界面运行ARPa可以看到当前ARP条目已由以前的动态（Dynamic）改为静态（Static）。实际上，局域网中的电脑不仅和路由器之间有MAC地址询问的过程，任意两台电脑之间通讯，都首先有一个询问对方MAC地址的过程。为了安全和方便，可以将文件复制到每台电脑的“启动”文件夹中。

第二步：在网关路由器端进行ARP绑定

现在，局域网内的电脑可以将数据包正常发送到路由器。然而，路由器也有一张ARP缓存表，用来记录网内主机的IP地址和MAC地址，如果网关路由器受到欺骗后，路由器就会向错误的目的主机发送数据。也就是说，现在的防范效率只有50%，在网关路由器上进行配置，将局域网网内的每台电脑的IP地址和MAC地址绑定到路由器，才真正是万事大吉。

下面就在路由器端绑定主机。

首先登录路由器，找到“IP与MAC绑定-静态ARP绑定设置”，再在“ARP绑定”部分选中启用。然后点击“增加单个条目”来新增一个绑定。要添加多个静态绑定请重复上述步骤。当然还可以快捷的来添加静态绑定，切换到“IP与MAC绑定-ARP映射表”，查看所有连接到此路由器的主机IP与MAC地址信息，要绑定某一台主机，只需要点击导入即可，如图1所示：

图1

然后切换到“IP与MAC绑定-静态ARP绑定设置”，在刚才导入的条目中间勾选“绑定”即可完成绑定。至此，在路由器端绑定ARP设置就完成了。

考括坟籍，博采群议。以上这2篇ARP病毒的认识及解决方案是来自于山草香的arp病毒的相关范文，希望能有给予您一定的启发。