局域网内ARP病毒防范及解决方法

近期很多单位的局域网爆发一种新的“ARP欺骗”木马病毒（Address Resolution Protocol 地址解析协议），病毒发作时其症状表现为计算机网络连接正常，能登陆成功却无法打开网页；或由于ARP欺骗的木马程序（病毒）发作时发出大量的数据包，导致网络运行不稳定，频繁断网、 IE 浏览器频繁出错以及一些常用软件出现故障等问题，极大地影响了局域网用户的正常使用。经过努力,笔者成功的解决了局域网内ARP故障,现将ARP病毒的防范及解决方法提供出来一起分享。

    一、故障现象及原因分析

    情况一、当局域网内某台主机感染了ARP病毒时，会向本局域网内（指某一网段，比如：192.168.0.0这一段）所有主机发送ARP欺骗攻击，让原本流向网络中心的流量改道流向病毒主机，并通过病毒主机代理上网。因客户端具有防代理功能，造成受害者无法通过病毒主机上网。由于病毒发作时发出大量数据包会将网络拥塞，大家会感觉上网速度越来越慢。中毒者同样如此，受其自身处理能力的限制，感觉运行速度很慢时，可能会采取重新启动或其他措施。此时病毒短时间停止工作，大家会感到网络恢复正常。如此反复，就造成网络时断时续。

    情况二、局域网内有某些用户使用了ARP欺骗程序（如：网络执法官、网络剪刀手、传奇木马、QQ盗号软件等）发送ARP欺骗数据包，致使被攻击的电脑出现突然不能上网，过一段时间又能上网，反复掉线的现象。

     二、故障防范及解决方法

    （一）、故障诊断

    如果用户发现以上疑似情况，可以通过如下操作进行诊断：点击"开始"按钮->选择"运行"->输入"arp -d"->点击"确定"按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。

    注："arp -d"命令用于清除并重建本机arp表。"arp -d"命令并不能抵御ARP欺骗，执行后仍有可能再次遭受ARP攻击。

    （二）、故障处理

     1、中毒者：下载ARP病毒专杀工具，解压后运行TSC.exe文件进行查杀，不要关让它一直运行完，然后查看其中report文档。

    下载地址： [url]ftp://mex.xauat.cn/arp/arptsc.rar[/url]

    2、受害者：可以下载 ARP防火墙（Anti ARP Sniffer）。ARP防火墙是一款通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址，从而保障数据流向的正确，保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制，可以很好的保护本地计算机正常运行。

    下载地址：[url]http://gsts.onlinedown.net/down/antiarp4.2beta4.zip[/url]

    3、如运行ARP防火墙程序仍无效果，可下载系统补丁以作尝试：

    WINXP系统ARP病毒补丁下载地址：　 [url]http://www.xia123.cn/dowm311l33.asp?id=6203&no=1[/url]

    WIN2000系统ARP病毒补丁下载地址：[url]ftp://mex.xauat.cn/arp/Win2000-KB891861-v2-x86-CHS.EXE[/url]

   （三）、如何防范ARP病毒

    ARP病毒攻击危害巨大，一般难以监控，还要靠防范为主，防范措施有：

    1、用户要提高网络安全意识，不要轻易下载、使用盗版和存在安全隐患的软件；或浏览一些缺乏可信度的网站（网页）；不要随便打开不明来历的电子邮件，尤其是邮件附件；不要随便共享文件和文件夹，以免个人计算机受到木马病毒的侵入。

    2、用户要及时下载和更新操作系统的补丁程序，安装正版的杀毒软件，增强个人计算机防御计算机病毒的能力。（补丁就是操作系统的疫苗，打一个就防一种威胁，打得越全越安全。）

    注意：目前国内主流的计算机防毒软件只能避免自己电脑主机感染ARP病毒，但无法抵御同网段其它已感染ARP病毒的计算机的病毒攻击。

    3、设置足够强劲的密码。脆弱的密码是给别人开设的方便之门。正在用电脑的也许不只是坐在显示器前的您。

    4、网络安全靠大家。局域网是公共服务设施，保障网络安全不仅是网络中心的工作，更是每位网络用户应尽的义务。只有依靠大家群策群力、群防群治，网络才能长治久安。