关于ARP病毒的防御

工具：AntiArpSniffer ，ARP趋势专杀工具，nbtscan.rar1,arp病毒清除方法故障现象：机器以前可正常上网的，突然出现可认证，不能上网的现象（无法ping通网关），重启机器或在MSDOS窗口下运行命令ARP -d后，又可恢复上网一段时间。故障原因：这是APR病毒欺骗攻击造成的。　　引起问题的原因一般是由传奇外挂携带的ARP木马攻击。当在局域网内使用上述外挂时，外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上，向局域网内大量发送ARP包，从而致使同一网段地址内的其它机器误将其作为网关，这就是为什么掉线时内网是互通的，计算机却不能上网的原因。删除病毒组件:1) 删除 ”病毒组件释放者”%windows%\SYSTEM32\LOADHW.EXE2) 删除 ”发ARP欺骗包的驱动程序” (兼 “病毒守护程序”)%windows%\System32\drivers\npf.sysa. 在设备管理器中, 单击”查看”–>”显示隐藏的设备”b. 在设备树结构中,打开”非即插即用….”c. 找到” NetGroup Packet Filter Driver” ,若没找到,请先刷新设备列表d. 右键点击” NetGroup Packet Filter Driver” 菜单,并选择”卸载”.e. 重启windows系统,f. 删除%windows%\System32\drivers\npf.sys3) 删除 ”命令驱动程序发ARP欺骗包的控制者”%windows%\System32\msitinit.dll2. 删除以下”病毒的假驱动程序”的注册表服务项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf临时处理对策：　　步骤一. 在能上网时，进入MS-DOS窗口，输入命令：arp –a 查看网关IP对应的正确MAC地址，将其记录下来。注：如果已经不能上网，则先运行一次命令arp –d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话），一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp –a。步骤二. 如果已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令： arp –s 网关IP 网关MAC 例如：假设计算机所处网段的网关为218.197.192.254，本机地址为218.197.192.1在计算机上运行arp –a后输出如下： C:\Documents and Settings>arp -a Interface: 218.197.192.1 — 0x2 Internet Address Physical Address Type 218.197.192.254 00-01-02-03-04-05 dynamic 其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址，类型是动态（dynamic）的，因此是可被改变。被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC，如果大家希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找做准备。手工绑定的命令为： arp –s 218.197.192.254 00-01-02-03-04-05 绑定完，可再用arp –a查看arp缓存， C:\Documents and Settings>arp -a Interface: 218.197.192.1 — 0x2 Internet Address Physical Address Type 218.197.192.254 00-01-02-03-04-05 static 这时，类型变为静态（static），就不会再受攻击影响了。但是，需要说明的是，手工绑定在计算机关机重开机后就会失效，需要再绑定。所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，令其杀毒，方可解决。找出病毒计算机的方法：如果已有病毒计算机的MAC地址，可使用NBTSCAN软件找出网段内与该MAC地址对应的IP，即病毒计算机的IP地址，然后可报告校网络中心对其进行查封。 NBTSCAN的使用方法：下载nbtscan.rar到硬盘后解压，然后将cygwin1.dll和nbtscan.exe两文件拷贝到c:\windows\system32(或system)下，进入MSDOS窗口就可以输入命令： nbtscan -r 218.197.192.0/24 （假设本机所处的网段是218.197.192，掩码是255.255.255.0；实际使用该命令时，应将斜体字部分改为正确的网段）。注：使用nbtscan时，有时因为有些计算机安装防火墙软件，nbtscan的输出不全，但在计算机的arp缓存中却能有所反应，所以使用nbtscan时，还可同时查看arp缓存，就能得到比较完全的网段内计算机IP与MAC的对应关系。补充一下：（一）Anti ARP Sniffer 使用说明一、功能说明: 使用Anti ARP Sniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包。二、使用说明：1、ARP欺骗：填入网关IP地址，点击［获取网关mac地址］将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。注意：如出现ARP欺骗提示，这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包，如果您想追踪攻击来源请记住攻击者的MAC地址，利用MAC地址扫描器可以找出IP 对应的MAC地址。2、IP地址冲突首先点击“恢复默认”然后点击“防护地址冲突”。如频繁地出现IP地址冲突，这说明攻击者频繁发送ARP欺骗数据包，才会出现IP冲突的警告，利用Anti ARP Sniffer可以防止此类攻击。首先您需要知道冲突的MAC地址，Windows会记录这些错误。查看具体方法如下：右击[我的电脑]–>[管理]–>点击[事件查看器]–>点击[系统]–>查看来源为[TcpIP]—>双击事件可以看到显示地址发生冲突，并记录了该MAC地址，请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-)，输入完成之后点击[防护地址冲突]，为了使MAC地址生效请禁用本地网卡然后再启用网卡，在CMD命令行中输入Ipconfig /all，查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符。如果成功将不再会显示地址冲突。注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。（二） ARP专杀工具使用说明：运行TSC.exe文件，不要关让它一直运行完，然后查看report文档便可。2,Nbtscan.rar 【格式】：rar【大小】：398KB【出处】：酷客天堂【平台】：[Win9X/WinMe] [WinXP] [WinNT/Win2K/Win2003]【M D 5】：0c76e38dbbeca5814460ccc9d6ccc167nbtscan是一个扫描WINDOWS网络NetBIOS信息的小工具，2005年11月23日发布。NBTSCAN身材娇小，简单快速。但只能用于局域网，可以显示IP，主机名，用户名称和MAC地址等等。使用帮助：nbtscan.exe -v Usage:nbtscan [-v] [-d] [-e] [-l] [-t timeout] [-b bandwidth] [-r] [-q] [-s separator] [-m retransmits] (-f filename)|()-v verbose output. Print all names receivedfrom each host-d dump packets. Print whole packet contents.-e Format output in /etc/hosts format.-l Format output in lmhosts format.Cannot be used with -v, -s or -h options.-t timeout wait timeout milliseconds for response.Default 1000.-b bandwidth Output throttling. Slow down outputso that it uses no more that bandwidth bps.Useful on slow links, so that ougoing queriesdon’t get dropped.-r use local port 137 for scans. Win95 boxesrespond to this only.You need to be root to use this option on Unix.-q Suppress banners and error messages,-s separator Script-friendly output. Don’t printcolumn and record headers, separate fields with separator.-h Print human-readable names for services.Can only be used with -v option.-m retransmits Number of retransmits. Default 0.-f filename Take IP addresses to scan from file filename.-f – makes nbtscan take IP addresses from stdin.what to scan. Can either be single IPlike 192.168.1.1 orrange of addresses in one of two forms:xxx.xxx.xxx.xxx/xx or xxx.xxx.xxx.xxx-xxx.Examples:nbtscan -r 192.168.1.0/24Scans the whole C-class network.nbtscan 192.168.1.25-137Scans a range from 192.168.1.25 to 192.168.1.137nbtscan -v -s : 192.168.1.0/24Scans C-class network. Prints results in script-friendlyformat using colon as field separator.Produces output like that:192.168.0.1:NT_SERVER:00U192.168.0.1:MY_DOMAIN:00G192.168.0.1:ADMINISTRATOR:03U192.168.0.2:OTHER_BOX:00U…nbtscan -f iplistScans IP addresses specified in file iplist.

中小企业ARP病毒攻击防范解决方案系列（一）

1.前言

随着网络应用的日益广泛，网络安全问题日益突出。网络病毒和攻击的形式也日趋多样。危害也逐渐增大。其中泛滥于企业网络中的ARP病毒攻击就是典型的代表。也是让众多网络管理员头痛的问题之一。这类病毒针对ARP协议固有的缺陷（啥缺陷？往下看科普幺！），采用发送假ARP保温的方式欺骗和攻击目标。它极可能造成网络内出现随机断线，也可能造成整个网络的瘫痪。还可能造成通信被窃听，信息被篡改等各种严重后果，不能不重视起来啊各位网络管理者们！

2.ARP病毒攻击企业网络的典型症状

典型症状1：上网速度慢，或者网络内共享文件巨慢（表现为利用WIRESHARK抓包，抓到局域网中有大量的ARP报文）；

典型症状2：全网同样配置下，唯独某台或者部分电脑无法上网（表现为掉线后，重启电脑或者禁用网卡后再启用就能暂时恢复正常，但一会又会断！）；

典型症状3：大面积同时掉线，或时通时断（也就是常见的用户描述“网络突然不好了，卡的不行啊！打开一个网页需要1分钟！”）；

典型症状4：电脑挨个掉线，或时通时断（表现为正在使用某一类应用程序的PC依次掉线）

3.ARP病毒攻击科普

ARP病毒是什么呢？ARP全名叫 ADDRESS RESOLUTION PROTOCOL,地址解析协议。网络设备之间是通过ARP协议查找到彼此的IP地址和MAC地址对应关系。从而实现局域网内设备间的正常通信。

下图中所示的IP地址和MAC地址对应表，就是我的PC机通过ARP协议生成的，当我的电脑要和网关192.168.1.1进行通信时，就从这个表中找到网关的MAC地址。从而正确的把报文发送出去。然后在网关设备上通过路由协议找到相应的路由，达到我们的PC上网的目的。

ARP病毒攻击的核心说白了，也就是要破坏掉网络设备的ARP表内容，使得设备无法查到IP地址对应的正确MAC地址，导致报文发送错误。网络通信瘫痪。通俗的理解，我们可以把IP地址看成是人名，MAC地址看成电话号码，那么ARP就是电话薄，如果电话薄上某人的电话号码错了，我们怎么可能正确的联系到这个人？！

由于ARP病毒不同于其他的病毒，它的攻击是基于基础网络协议的天然设计缺陷（通过查找IP-MAC地址映射表进行转发），因此ARP病毒攻击的防御不同于常见的病毒，单靠传统的杀毒软件和防火墙往往是头疼医头，脚疼医脚难以根除。

而且ARP病毒不仅攻击PC，还可以其他一些运作ARP协议的网络设备，这意味着，你网络中的路由器，防火墙，三层交换机等等，都可能感染上ARP病毒！造成网络的整体不稳定甚至瘫痪！因为它的传播和危害范围很广。所以仅靠单一设备，单一的解决方案防御ARP病毒是远远不够的。

4.ARP病毒攻击可能带来的危害

表征1 所有PC无法和网关通信–仿冒网关进行攻击

全网同样配置下，唯独某台电脑无法上网，重启PC后恢复正常，但是过了一段时间后又瞬间瘫痪。查看每台PC的ARP表，发现网关的MAC地址错误。像下图的，标红的PC的网关地址已经被修改为另外一台PC的地址，显然这个PC无法再同网关进行有效通讯了，因此导致无法上网。

原因攻击者伪造ARP报文，发送源IP地址为网关IP地址，源MAC地址为伪造的MAC地址的ARP报文给攻击的主机，使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。这样一来，主机访问网关的流量，就被REDIRECT到一个错误的MAC地址，导致该用户无法正常访问外网。这样，如果某台PC的ARP表被攻击者修改，它就没法上网了！

而且，攻击者还可能使用第三方PC的MAC地址作为伪造的MAC，这样即使在被攻击者PC上查到了伪造的MAC地址，也很难定位哪台PC是真正的攻击者。

为了加深大家的理解，我用还是用上面提到的电话薄来做个例子：老总和三个员工ABC，每个人的电话薄都记录了其他人的号码。A没有升经理，心理不平衡，修改了所有人电话薄中老总的电话号码，并且通过口头通知大家，老总的号码已经修改成我提供的这个号码了！（和原来的不一致）甚至，A可以把B中电话薄的老总的电话号码修改为C，让B误认为是C干的，造成整个公司内疑神疑鬼，上演一出出无间道….

表征二所有PC和网关无法通信—欺骗网关攻击

网络中PC批次掉线，甚至全网中PC都无法上网，查看路由器ARP表项，发现很多错误地址。重启路由器后恢复正常。但过一段时间PC又开始掉线，导致很多用户怀疑是路由器发生了故障。正如下图中看到的，网关路由的ARP表中各台PC的MAC地址已经不正确，导致网关无法把正确的报文转发到指定的PC上去无法上网。

原因：攻击者伪造ARP报文，发送源IP地址为同网段的某一个合法用户的IP地址，源MAC地址为伪造的MAC地址的ARP报文发送给网关，使得网关更新自身的ARP表项中原来合法的用户IP-MAC对应表项。我勒个去的，性质太恶劣了…

还是继续做个例子吧：老总本来想带着A一起去国外考察，B嫉妒A，心理开始不平衡。于是修改了老总电话薄中A的电话号码，这个时候老总联系不上A，只好自己出国考察了，留下A在那郁闷ING….如果B在坏一点，他甚至可能修改老总电话薄中所有员工的电话号码，身在国外的老总连一个员工都联系不上了，公司业务一片混乱！

表征3 窃听通信隐私—“中间人”攻击

某台PC上网突然掉线了，一会又恢复了，但是恢复以后一直上网巨慢，打开一个网页都需要几分钟，查看PC的ARP表，发现网关的MAC地址已经被修改，而且网关上该PC的MAC地址也是伪造的。该PC和网关之间的流量都被REDIRECT到另外一个主机上去了！同样，也会表现为局域网中PC之间共享文件等正常通信非常慢。

原因：ARP中间人攻击，又被称为ARP双向欺骗，如果有恶意攻击者想探听其他正常通讯双方的内容，可以分别给这两台PC发送伪造的ARP应答报文，使得两者分别用攻击者的MAC地址来更新自身的ARP映射表。这样，以后正常通讯的两方的流量就被自动的被中转到窃听者/攻击者的主机上，从而使得窃听者获取到通信双方的对话内容。

继续举个例子：B想偷听A和C之间的悄悄话，于是修改了AC中电话薄的号码，并且把对方的MAC地址修改为自己的（这步最关键），这样他们之间的通话就先中转到B这里来了。

表征4 常有人掉线，网络还很慢—-ARP报文泛洪攻击

经常有人反馈上不了网，或者网速很慢，查看ARP表项也都正常，但是在网络中抓报文分析，发现大量的ARP请求报文（正常情况下，除非网络设备和PC刚刚启动，比如刚上班开机时候，否则网络中ARP报文所占比例是非常小的）。

原因：恶意用户利用工具构造了大量ARP报文发往交换机，路由器或者某台PC的的某个端口，导致CPU忙于处理ARP协议，负担过重，造成设备其他功能不正常使用甚至瘫痪。

再来个例子吧：A为了保障公司电话薄中的通讯方式精准，会定时的检查和刷新电话薄，B就高频率的发送信息修改A的电话薄，导致A只能不断的更新电话薄中相关的记录，那他整天都干这个事了，哪里还有工夫处理别的事务？

5.如何快速确定ARP病毒攻击源

通过以上对ARP病毒机理和表征做了分析以后，我们就能看到ARP病毒不同于普通计算机病毒或者普通的网络病毒。它具有传播速度快，影响面积大，根除难度高等特点，一旦网络中出现了ARP病毒攻击，那想要及时快速的清除它，各位网管员们可是要下一番牛功夫幺！

下面是我总结的一些常见的防护ARP病毒攻击的手段：

1.根据网络病毒的特征，通过检查PC和设备状态（主要是ARP表项是否正常，以及PING测连通状态），过滤报文，网络抓包（WIRESHARK是个不错的工具！）或者网管工具分析（华三的IMC网管平台，或者SOLARWIND都是不错的选择幺！），发现源头即时杀毒。

2.深入病毒机理，即使病毒已经发作，仍然通过切断传播路径（逐段拔网线，可以排查缩小病毒所在范围）来有效的控制病毒感染范围，大大降低病毒危害程度，做到积极防御；

3.确保PC的病毒库，补丁库实时更新，或者安装了第三方的ARP防火墙（360安全卫士就有这个组件，效果还不错），提升网络设备的抗攻击能力（比如部署ACL或者ARP检测等手段），可以提高网络对各种病毒的防御能力；

6.如何切断ARP病毒攻击的传播路径？

根据上面的排查思路，再附图一张，给一个大概的快速排查ARP病毒攻击的排障流程，如下。

遇到过ARP病毒攻击的信息主管都知道，如果明确了是哪台PC中了ARP病毒，后续操作就相对简单了。立刻拔掉这个PC的网线，并且使用专门的ARP专杀软件来进行杀毒吧！从之前的ARP病毒机理分析上可以看出，其实ARP病毒攻击的解决方案关键在于如何快速有效的找到这个ARP病毒攻击源。

当前，不少网管员都是接到了员工的反馈后，才得知了网络不能正常使用了，延误了ARP病毒的诊断时间，在定位ARP攻击源时候，小的公司还能要求每个员工都用查毒软件自查一遍，问题是稍大的公司呢？比如有几千号人的X3X?这个时候就只能通过对每个网络设备端口插拔网线来一一的排查了，即使有网管高手，没有几个小时也很难具体定位到哪个PC在做ARP攻击。

要想第一时间得知网络异常，用最短的时间定位ARP攻击源，最佳的手段就是利用网络设备和网管平台的即时告警和网管分析功能。但是传统网管软件的高价和防ARP病毒功能缺失，限制了中小型企业部署网管系统。因此一套小而精的免费网管系统，也许是各位网管员所渴望的。虽然SOLARWIND能实现这个需求，但是出于大家伙对英文不太感冒，极大限制了SOLARWIND的功能发挥。那有没有国产的网管软件能做到这些呢？其实H3C 的MINI IMC网管系统应该是一个不错的选择

360arp专杀关于ARP病毒的防御

分类：装机必备日期：2025-03-16 浏览：23 评论：0

关于ARP病毒的防御

中小企业ARP病毒攻击防范解决方案系列（一）

1.前言

2.ARP病毒攻击企业网络的典型症状

3.ARP病毒攻击科普

4.ARP病毒攻击可能带来的危害

5.如何快速确定ARP病毒攻击源

6.如何切断ARP病毒攻击的传播路径？

相关推荐

360arp专杀 关于ARP病毒的防御

分类：装机必备 日期：2025-03-16 浏览：23 评论：0

关于ARP病毒的防御

中小企业ARP病毒攻击防范解决方案系列（一）

1.前言

2.ARP病毒攻击企业网络的典型症状

3.ARP病毒攻击科普

4.ARP病毒攻击可能带来的危害

5.如何快速确定ARP病毒攻击源

6.如何切断ARP病毒攻击的传播路径？

相关推荐

360arp专杀关于ARP病毒的防御

分类：装机必备日期：2025-03-16 浏览：23 评论：0