找出“ARP欺騙”木馬病毒本質

　　最近一段時間，網絡上正在不斷擴散著一種新型的“ARP欺騙”木馬病毒，嚴重地影響著我們正常的網絡生活。究竟什麼是“ARP欺騙”呢，它會給我們的生活帶來什麼樣的影響呢?讓我們先來解釋一下什麼是ARP。ARP(Address Resolution Protocol，地址解析協議)是一個位於TCP/IP協議棧中的低層協議，負責將某個IP地址解析成對應的MAC地址。那麼“ ARP 欺騙”呢?從影響網絡連接通暢的方式來看，ARP欺騙分為二種，一種是對路由器ARP表的欺騙;另一種是對內網PC的網關欺騙。 第一種ARP欺騙的原理是——截獲網關數據。它通知路由器一系列錯誤的內網MAC地址，並按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結果路由器的所有數據只能發送給錯誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網關。它的原理是建立假網關，讓被它欺騙的PC向假網關發數據，而不是通過正常的路由器途徑上網。在PC看來，就是上不了網了，“網絡掉線了”。

　　“ARP 欺騙”的影響

　　當局域網內某台主機運行ARP欺騙的木馬程序時，會欺騙局域網內所有主機和安全網關，讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過安全網關上網現在轉由通過病毒主機上網，切換的時候用戶會斷一次線。切換到病毒主機上網後，如果用戶已經登陸了傳奇服務器，那麼病毒主機就會經常偽造斷線的假像，那麼用戶就得重新登錄傳奇服務器，這樣病毒主機就可以盜號了。由於ARP欺騙的木馬程序發作的時候會發出大量的數據包導致局域網通訊擁塞以及其自身處理能力的限制，用戶會感覺上網速度越來越慢。當ARP欺騙的木馬程序停止運行時，用戶會恢復從安全網關上網，切換過程中用戶會再斷一次線。

　　ARP欺騙木馬只需成功感染一台電腦，就可能導致整個局域網都無法上網，嚴重的甚至可能帶來整個網絡的癱瘓。該木馬發作時除了會導致同一局域網內的其他用戶上網出現時斷時續的現象外，還會竊取用戶密碼。如盜取QQ密碼、盜取各種網絡游戲密碼和賬號去做金錢交易，盜竊網上銀行賬號來做非法交易活動等，這是木馬的慣用伎倆，給用戶造成了很大的不便和巨大的經濟損失。

　　1，檢查本機的“ARP欺騙”木馬染毒進程

　　調出“任務管理器”，點選“進程”標簽，察看其中是否有一個名為“MIR0.dat”的進程。如果有，則說明已經中毒。右鍵點擊此進程後選擇“結束進程”。

　　2，檢查網內感染“ ARP 欺騙”木馬染毒的計算機

　　在“開始” - “程序” - “附件”菜單下調出“命令提示符”。輸入並執行以下命令：

　　ipconfig

　　記錄網關IP地址，即“Default Gateway”對應的值，例如“59.66.36.1”。再輸入並執行以下命令：

　　arp –a

　　在“Internet ADDRess”下找到上步記錄的網關IP地址，記錄其對應的物理地址，即“Physical Address”值，例如“00-01-e8-1f-35-54”。在網絡正常時這就是網關的正確物理地址，在網絡受“ARP 欺騙”木馬影響而不正常時，它就是木馬所在計算機的網卡物理地址。也可以掃描本子網內的全部IP地址，然後再查ARP表。如果有一個IP對應的物理地址與網關的相同，那麼這個IP地址和物理地址就是中毒計算機的IP地址和網卡物理地址。

　　如果你的計算機已經受到攻擊，我們可以選擇下面的方法來解決。

　　方法1，使用安全工具軟件

　　我們可以下載一款叫作Anti ARP Sniffer軟件保護本地計算機正常運行。下載安裝完之後，把軟件設為自動啟動,先把Antiarp.exe生成桌面快捷方式，點擊"開始"中的"程序"，之後雙擊"啟動"，再把桌面上Antiarp.exe快捷鍵拷到"啟動"中，以保證下次開機自動運行，起到保護計算機的作用。

　　方法2，作批處理文件

　　在客戶端做對網關的arp綁定，具體操作步驟如下：

　　步驟一：

　　查找本網段的網關地址，比如192.168.1.1，以下以此網關為例。在正常上網時，“開始→運行→cmd→確定”，輸入：arp -a，點回車，查看網關對應的Physical ADDRess。

　　比如：網關192.168.1.1 對應00-01-02-03-04-05。

　　步驟二：

　　編寫一個批處理文件rarp.bat，內容如下：

　　@echo off

　　arp -d

　　arp -s 192.168.1.1 00-01-02-03-04-05

　　保存為：rarp.bat。

　　步驟三：

　　運行批處理文件將這個批處理文件拖到“Windows→開始→程序→啟動”中，如果需要立即生效，請運行此文件。

　　注意：以上配置需要在網絡正常時進行。

　　方法3，下載ARP免疫器

　　局域網ARP攻擊免疫器。將下載的壓縮包裡面3個dll文件復制到windowssysteM32中，將npf 這個文件復制到 windowssystem32drivers 裡面，再將這4個文件在安全屬性裡改成只讀，也就是不允許任何人修改。

　　應急方案

　　網絡管理管理人員利用上面介紹的ARP木馬檢測方法在局域網的交換機上查出受感染該病毒的端口後，立即關閉中病毒的端口，通過端口查出相應的用戶並通知其徹底查殺病毒。而後，做好單機防范，在其徹底查殺病毒後再開放相應的交換機端口，重新開通上網。

　　安全防范建議

　　以上的問題能夠解決，但用戶還是要增強網絡安全意識，不要輕易下載、使用盜版和存在安全隱患的軟件;或浏覽一些缺乏可信度的網站(網頁);不要隨便打開不明來歷的電子郵件，尤其是郵件附件;及時下載和更新操作系統的補丁程序，安裝正版的殺毒軟件，增強個人計算機防御計算機病毒的能力;不要隨便共享文件和文件夾，即使要共享，也得設置好權限，一般指定特定帳號或特定機器才能訪問，另外不建議設置可寫或可控制，以免個人計算機受到木馬病毒的侵入給整個局域網的安全帶來隱患。