綜合方法解決防制ARP欺騙問題

ARP病毒問題已經講了很長一段時間了，大家對於ARP病毒的防制也總結了不少的經驗，不斷在網上發更新防制方法。但是新的ARP病毒的變種更加猖獗，更加充斥我們網絡的不同角落給我們的管理工作帶來不大不小的問題，同時也影響到網絡的正常運行，所以對ARP病毒的防護仍然是一個熱點問題。

近日，又聽到有許多網管抱怨傳統的綁定方法有時候不能做到防制或者不能根本解決問題，例舉一些在日常處理中經常會出現的問題：

1、在PC上綁定安全網關的IP和MAC地址或者做一個批處理文件來進行綁定，ARP病毒可以自己動改寫錯誤網關MAC地址造成網絡中網關錯誤，造成局部或者大面積掉線問題。

2、在路由器做MAC綁定，沒有從根本上解決ARP防護,當中ARP病毒的機器將其數據發到偽造的網關同樣會造成掉線等相關問題。

3、使用監視軟件，但是ARP病毒的發作是沒有規律可言的，網管不能可時時都去注意這樣的問題。

4、客戶機安裝時綁定IP-MAC軟件，根據CPU利用率而定，因為需要時時網絡連通，當病毒發作的時候會突然掉線。

5、某些軟件通過做幾個假的DLL文件欺騙探測軟件，但是某些ARP病毒軟件不需要探測就可以進行ARP攻擊。

以上幾個常用的方法其起到的作用是有限的，但是都會存在這樣或者那樣的弊端，我們必須尋求更好的解決辦法，下面我們來介紹幾招新的升級版的防治辦法，這些都是Qno俠諾工程師們長期服務在一線工作中所積累寶貴經驗。

l;;;;;解決客戶實例

對於合肥有一家網吧有做了ARP綁定，亦無法抵擋ARP攻擊，我們Qno的工程師有聯系到客戶看他的電腦，我看到的批處理如下，並且PC 端通過Arp –a命令來確認並沒有綁定。原因在與其echo後面的中文的敘述沒有用“ ”來做標示，造成其批處理文件無法執行，其用戶本機上根本沒做相應的綁定工作，如圖1。

@echo OFF

ping XXX.XXX.XXX.XXX(保證客戶網絡安全，其IP地址數字用X代替)

if %~n0==arp exit

if %~n0==Arp exit

if %~n0==ARP exit

echo 正在獲取本機信息.....

:IP

FOR /f ""skip=13 tokens=15 usebackq "" %%i in (`ipconfig /all`) do Set IP=

%%i && GOTO MAC

:MAC

echo IP:%IP%

FOR /f ""skip=13 tokens=12 usebackq "" %%i in (`ipconfig /all`) do Set

MAC=%%i && GOTO GateIP

:GateIP

echo MAC:%MAC%

arp -s %IP% %MAC%

echo 正在獲取網關信息.....

FOR /f ""skip=17 tokens=13 usebackq "" %%i in (`ipconfig /all`) do Set

GateIP=%%i && GOTO GateMac

:GateMac

echo IP:%GateIP%

FOR /f ""skip=3 tokens=2 usebackq "" %%i in (`arp -a %GateIP%`) do Set

GateMAC=%%i && GOTO Start

:Start

echo MAC:%GateMAC%

arp -d

arp -s %GateIP% %GateMAC%

echo 操作完成!!!

exit

Qno俠諾工程師通過對批處理文件做相應的修改，再檢查路由器上的綁定，之後這個網吧就沒有發現掉線問題了，至今網絡運行正常，所以可看出通過雙向綁定是完全可以解決ARP病毒防制的，確實是一個行之有效的辦法，完全可以解決ARP病毒造成網絡吊線、IP沖突的現象，使ARP病毒無能為力。同時建議用戶在做雙向綁定後，通過Arp –a的命令檢查綁定是否有效，和路由器上的綁定是否有錯誤，這樣來進一步確保防制ARP病毒的攻擊，下面強調防制幾個注意的問題。

1、執行完之後要用 arp -a 看 type 是 static 還是 dynamic。

2、不要用復雜的腳本，最簡單的即可防止別人中了，自己不受影響，一般網吧都有還原卡，網管可以用軟件監察，發現有中了ARP，提醒一下客人以防盜取帳號密碼。

3、目前防毒軟件也沒有對此有很好的防范。

4、ARP稱之為病毒，但實質上對於ARP協議來說，只是完善和加強（就好象信用卡在中國需要加密碼，在外國只需要簽名一樣，但不是信用機制出了問題）。

5、不要指望能過廣播發包，最終受影響的是自己的網絡。