暂无最佳答案    我来回答

现今，网吧或企业网络中感染ARP病毒的情况极为多见，给网络的正常使用造成了很大的影响，在清理和防范都比较困难，给不少的网络管理员造成了很大的困扰，很多网络管理员都在寻找一个稳定、快速的解决之道。下面飞鱼星技术工程师通过对ARP病毒的深度解析后，把处理此类问题的一些经验在这里与大家分享。 什么是ARP和ARP病毒 ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。然而怎么获取呢？需通过地址解析协议获得。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 ARP协议本身并不是病毒，但很多木马程序、病毒都利用了该协议，就成为让人憎恨的ARP病毒。在一般的网络中，路由器和PC均带有ARP缓存，因此这两类设备最容易受到ARP攻击。如同路由器受到ARP攻击时数据包不能到达PC一样，上网PC受到ARP攻击时，数据包也不会发送到路由器上，而是发送到一个错误的地方，当然也就无法通过路由器上网了。 ARP欺骗攻击的症状 1、计算机网络连接正常，有时候PC无法访问外网，重新启动路由器又好了，过一会又不行了； 2、用户私密信息（如网银、QQ、网游等帐号）被窃取； 3、局域网内的ARP广播包巨增，使用ARP查询时发现不正常的MAC地址，或错误的MAC地址，还有一个MAC对应多个IP的情况；局域网内出现网络拥塞，甚至一些网络设备当主机。 ARP欺骗攻击的原理 ARP欺骗攻击的一般有以下两个特点： 第一， 以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配； 第二， ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内，或者与自己网络MAC数据库MAC/IP不匹配。 ARP欺骗攻击的解决办法 针对ARP欺骗攻击的防御，飞鱼星科技于2005年率先提出针对ARP欺骗攻击的主动防御理念，随后，国内同类产品也提出了类似方式防御，即：增大路由器ARP信息主动广播密度，从而减少PC遭受ARP欺骗攻击的可能。 现市面上某些产品或软件加强了ARP主动广播的密度，意图通过高密度广播达到减缓或抑制内网PC遭受ARP欺骗的目的，但实际运用效果来看，加强广播密度的做法：一方面，高密度的内网广播，给网络带来了繁重的负担，甚至产生广播风暴，导致整个网络的瘫痪；另一方面，如果内网中毒过重，那单纯依靠某台设备的高密度广播也是有限的，随着内网中毒PC数量的增加，ARP欺骗攻击广播势必会压过路由器或软件主动广播的密度，从而断网问题仍然悬而未决，用户怨声载道。 因此，为减少网络广播压力，有效抑制网络广播风暴，飞鱼星工程师推荐用户采用双向IP/MAC地址绑定的方式来解决和防止ARP欺骗攻击所导致网络的时断时续。 最后，在不断的深入研究之后，飞鱼星科技推出了全新的安全联动解决方案，通过三层设备（飞鱼星路由器）和二层设备（飞鱼星交换机）的协同安全联动，轻松解决因内网个别电脑中毒，攻击其他电脑导致整网瘫痪的问题，基于硬件端口的防御方式，整个网络将不会受到任何威胁。同时高性能的自防御系统，可有效的防御网络中其他的常见攻击。同时，简单、易操作的理念将大大减轻网管员的工作量，使得网管员有更多时间考虑网络的日常维护和网络规划，不再一天到晚疲于应付安全事件的发生。 其他排查办法： （1）在未绑定PC上Ping路由器网关的IP地址，然后使用“arp -a”命令，查看网关对应的MAC地址是否与实际情况相符，如有不符，可去查找与该MAC地址对应的PC。 （2）使用抓包工具，分析所得到的ARP数据报。有些ARP病毒是会把通往网关的路径指向自己，有些是发出虚假ARP回应包来混淆网络通信。第一种处理比较容易，第二种处理比较困难，如果杀毒软件不能正确识别病毒的话，往往需要手工查找感染病毒的电脑和手工处理病毒，比较困难。 （3）使用MAC地址扫描工具，Nbtscan扫描全网段IP地址和MAC地址对应表，有助于判断感染ARP病毒对应MAC地址和IP地址。