ARP断网攻击故障症状:局域网内电脑大面积不能上网,QQ出现掉线症状解析:这是最常见的ARP病毒攻击方式,如今许多病毒都会利用这种ARP攻击方式影响局域网,例如机器狗病毒等,一旦局域网内有机器被感染后,部分电脑就会出现无法正常上网的情况,而且打开网页时断时续。局域网内传输文件断断续续无法完成,并出现错误;多台电脑的QQ、MSN等即时通讯工具连续掉线;使用ARP查询的时候会发现不正常的MAC地址,或者是错误的MAC地址,还有就是一个MAC地址对应多个IP地址的情况也会出现。出现这种情况就是因为ARP病毒在进行欺骗。我们举一个形象的例子:有5只螃蟹,其中2号螃蟹通过电话向企鹅订阅了报纸,企鹅告诉负责交换运输货物的骡子,将货物送到2号螃蟹家。企鹅给了负责运货的骡子一份家庭地址列表,但是跟2号螃蟹住在一起的5号螃蟹由于感染了ARP病毒,于是它稀里糊涂打电话给骡子说,2号螃蟹的家庭地址已经修改了,这样原本应该送到2号螃蟹家的报纸被骡子送给了冒充螃蟹的松鼠,而2号螃蟹此时还在苦苦等待,看不到报纸。
ARP挂马故障症状:访问各种网站杀毒软件均提示有病毒症状解析:出现这种状况通常是局域网内有电脑被黑客入侵,黑客会通过恶意ARP欺骗工具发送一个假的ARP封包窜改正常的ARP缓存使得数据无法正确传输到目的地。由于一般的ARP缓存是根据经过的ARP封包不断地变更本身的ARP列表,假设接收到的ARP封包所提供的数据是伪造的,就会让数据无法传输到实际的目的地。黑客会利用病毒窃取封包数据或修改封包内容。病毒通过抓包修改HTTP封包后再送回原客户端,造成原客户端在不知情的状况下连接恶意网页下载病毒。例如,黑客入侵用户A之后,修改ARP封包,将用户B访问的网页数据进行修改,将自己的恶意代码插入正常的网页中,这样用户B即便访问正常的网页,也如同访问挂马网页一样(图3)。极品时刻表服务器被挂马就是利用的这种方式。
剖析案例掌握技巧现实中的ARP症状不仅复杂,而且会根据局域网的结构出现各种问题,特别是在电脑过多的情况下,往往会大大增加排查难度。下面的这个案例就是我真实处理的。现场状况:记得机器狗变种大规模爆发时,公司局域网各个网段频繁出现问题,我经常在不同楼层间跑动,最严重的一次是3个网段的多个部门都出现断网情况。我赶到现场后,发现故障电脑打开网页速度缓慢,内部交换文件也时断时续。我怀疑是ARP病毒在搞鬼了,调出命令提示符窗口,在窗口中输入Ping命令,Ping局域网内另外一台已经开机的电脑的IP地址,但是发现无法Ping通,此时已经基本肯定是中了ARP病毒。为了保险起见,我又在命令提示符窗口中输入命令“ARP –d”,这个命令的意思就是“告诉”电脑删除ARP缓存。在运行完这个命令后,电脑可以打开网页了,但是不一会网络连接就出现了问题,打开浏览器输入网址后就开始莫名其妙地弹出大量广告窗口。此时虽然不能够断定是机器狗病毒,但是我已经可以断定局域网内有ARP攻击了。但是由于局域网内电脑数量过于庞大,ARP攻击源头可能不止一个,如何查找到多个ARP攻击源头就成为了需要解决的难题。解决方法:由于局域网内电脑过多,如果采用传统的手工定位,逐一对比MAC地址几乎不太可能,因此我决定使用工具来协助解决问题。而且根据刚才的检查状况,局域网内部肯定有ARP病毒流窜,并造成了封包无法送到正确地址的问题。我使用了一个名为ARP Checker的免费ARP欺骗检测工具,安装好这个工具后,只需要选择“始终检测”一项,软件就能够针对指定网段内的所有IP地址发送Ping与Telnet的封包,多数电脑会无法响应而出现time out的现象,而有响应的电脑就有可能是中了ARP病毒的电脑。因为这种类型的病毒必须确保数据会传送回受感染的电脑,而受感染电脑的ARP缓存通常会变成固定式,不会因为接收到假的ARP封包而修改ARP缓存。很快检测结果出来了(图4),其中一个网段内有三台电脑被定位,可能是ARP源头。定位好源头之后,我首先将毒源电脑网络连接断开,然后再用杀毒软件逐一进行杀毒,将病毒清理干净。
预防方法:根据我的经验,目前ARP病毒大多是通过网页挂马的方式感染用户电脑,因此局域网内最好能够进行IP地址绑定,使用工具设定电脑ARP缓存为固定模式,这样病毒就无法修改ARP缓存,电脑就能够将数据传送至正确的地址了。如果电脑数量太过庞大无法进行逐一绑定,可以启用网络设备中的动态ARP检查功能。它可以检查ARP交换情况并拒绝假的ARP封包。以侠诺FVR420V路由器为例,首先打开浏览器输入路由器IP地址,进入登录界面,接着输入用户名和密码进入管理页面,在管理页面左边的选项栏中点击“防火墙配置”,然后选择“防止ARP病毒攻击”一项,再根据网络具体情况输入防止ARP攻击每秒发送的帧即可。