数事执术与流用
浅谈ARP攻击的原因及解决方案
马和军李志
(中国联通莱芜市分公司山东莱芜271100)
摘要：本文就常见的网吧及单位局成网用户的摔线原因进行了分析，并提出切实可行的解决方案。关键词：ARP攻击掉线ARP绑定
中图分类号：TP393.08
文献标识码：A
文章编号：1007-9416(2011)10-0201-01
近期，公司很多网吧用户反映频繁掉线，现象为网吧内大部分计算机同时掉线，有时小部分计算机可以上网，重新启动网吧路由器或者计算机时可以正常上网，但短时间后又无法掉线。经过分析，引起网吧掉线的原因是ARP病毒引起，该病毒可以在局域网内发动 ARP攻击，该病毒通过网络进行传播，主要感染具有系统漏洞的计算机，对直接使用公网地址、主机代理和路由器代理的网吧均会造成影响。该病毒发作的特征为，中毒的计算机会通过发送ARP报文的方式来伪造某台计算机的MAC地址，如伪造地址为计算机设置的网关服务器(主机代理或者路由器代理)的地址，那么对整个局域网都会造成影响。如该伪造地址为局城内其它计算机的MAC地址，那么会对该计算机上网造成影响。较常见的情况是后一种情况，有
时也会出现第一种情况， 1、间题分析
(1)在网吧内部有问题的计算机上进入命令提示符模式下，用 arp-a命令查看：
C:WINDOWSsystem32>arpa
Interface:192.168.100.193 on Interface 0x1000003
Physical AddressType
Internet Address
192.168.100.100e0fc567869
dynamic
192.168.100.24
00e0fc—567869
dynamic
可以看到在ARP表项中有两个IP地址为192.168.100.1和192. 168.100.24对应的MAC地址完成相同，通过现场对计算机进行 MAC查看，结果为00e0fc-5678-69为192.168.100.24的MAC 地址，192.168.100.1的实际MAC地址为000e-fc-52-96-47，我们可以判定IP地址为192.168.100.24计算机就是感染病毒的计算机，该计算机伪造了192.168.100.1的MAC地址，并且向外发布，导致网络内其他计算机认为它就是192.168.100.1，导致其他电脑无法正常上网。
(2)接下来我们再在IP地址为192.168.100.24计算机上同样用 arp-a命令进行查看：
192.168.100.1
000efc529647
dynamic
192.168.100.2500055dffa887
dynamic
我们可以看到带病毒的计算机上显示的ARP对应是正确的，
而且该计算机运行速度缓慢，应该为所有局城网流量在通过该计算机进行转发而导致，该机重启后网吧内所有计算机都不能上网，但等因为其他计算机一直认为本机是192.168.100.1，只有等arp老化后重新学习到192.168.100.1的MAC地址后才能正常，一般ARP老化理单为5分钟，直接在其他计算机是运行arp一d命令后也可以恢复正常上网。
(3)如果使用主机代理，可以通过主机可以进人dos窗口，用arp 一a命令可以看到类似下面的现象：
00e0fc567869
192.168.100.23
192.168.100.24 192.168.100.25
00—e0fc567869 00e0fc567869
dynamic dynamic dynamic
在IP地址为192.168.100.24的计算机病毒发作的时候，计算机
学术论坛
会向局域网内发送伪造的ARP报文，导致局城网内其他计算机的 ARP表项被修改，导致其他计算机认为所有的ip地址都对应的mac
地址为00-e0-fc-56-78-69，导致网络访间瘫疾。 2、解决办法
(1)目前网吧多用代理主机和网吧路由器代理的方式实现宽带网络接入，这样在客户机和代理主机或网吧路由器上进行静态ARP 绑定的办法来解决。
1)在所有的客户端计算机上做网关IP地址的ARP静态绑定。用户可以正常上网时在在客户端上在命令行方式下用arp-a命令查看：
192.168.100.1000efc529647dynamic
这时看到的网关192.168.100.1对应的MAC地址00-0e-fc-52-96-47是正确，然后在客户计算机的DOS命令下做ARP静态绑定
C:WINDOWSsystem32>arps192.168.100.100 0efc529647
可以制作一个批处理文件加入到开始菜单的启动栏中，这样计算机一启动就可以自动进行绑定了。如建立名为"arp.bat"的文件，内容为：
od
arp-s
址及MAC地址)。
(分别对应网关的IP地
一般情况下，网吧内各计算机对应的网关IP和MAC都是一样的，其它计算机直接复制一下即可。绑定后可解决客户计算机伪造网关MAC地址造成整个网吧中断的情况。但无法限制伪造其它计算机MAC地址造成计算机掉线的情况。
2)在网关服务器(代理主机)的计算机上做每台客户计算机的 ARP静态绑定
首先在所有的客户端计算机上查看IP和MAC地址，方法是命令行提示符下运行ipconfig进行查看。
然后在代理主机上做所有客户端服务器的ARP静态绑定。如： C:WINDOWSsystem32> arps192.168.100.2100-
e0fc348146
C:WINDOWSsystem32> arps192.168.100.24
00
e0fc567869
C:WINDOWSsystem32> arp-s
192.168.100.25
055dffa887
00
以上方法可以解决ARP攻击所造成的网络瘫，但无法从根本上解决病毒间题。ARP病毒主要通过windows系统漏洞进行传插，所以建议在计算机上安装最新的系统补丁和病毒防火墙和杀毒
软件，做到根源上防止病毒感染和传播，并且彻底杀灭病毒。 3、结语
综上所述，ARP攻击危害较大，我们通过一定的技术手段，完成可以做到减小危害程度，缩小危害范围，直到解决ARP攻击问题。
201