据专家介绍,ARP病毒也叫ARP地址欺骗类病毒,这是一类特殊的病毒。该病毒一般属于木马病毒,不具备主动传播的特性,不会自我复制,但是由于其发作的时候会向全网发送伪造的ARP数据包,严重干扰全网的正常运行,其危害甚至比一些蠕虫病毒还要严重得多。当ARP病毒发作时,通常会造成网络掉线,但网络连接正常,内网的部分电脑不能上网,或者所有电脑均不能上网,无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象,严重影响到企业网络、网吧、校园网络等局域网的正常运行。
根据前不久江民科技发布的2007年上半年计算机疫情报告数据显示,ARP病毒位列十大病毒排行榜第四位,而且目前ARP地址欺骗技术已经被越来越多的病毒所采用,成为病毒发展的一个新趋势。专家指出,ARP病毒之所以会反复发作,主要是由于目前网页木马都是利用微软的MS06-014和MS07-017两个漏洞进入到系统里面的,如果没有打好这两个补丁,就很容易再次受到攻击;而如果将MAC-IP双向绑定,则可以达到免疫ARP病毒的效果。
用户只需执行以下六个步骤,即可有效防范ARP病毒:
1、 做好IP-MAC地址的绑定工作(即将IP地址与硬件识别地址绑定),在交换机和客户端都要绑定,这是可以使局域网免疫ARP病毒侵扰的好办法。
2、 全网所有的电脑都打上MS06-014和MS07-017这两个补丁,这样可以免疫绝大多数网页
木马,防止在浏览网页的时候感染病毒。
3、禁用系统的自动播放功能,防止病毒从U盘、移动硬盘、mp3等移动存储设备进入到计算机。禁用Windows 系统的自动播放功能的方法:在运行中输入 gpedit.msc 后回车,打开组策略编辑器,依次点击:计算机配置->管理模板->系统->关闭自动播放->已启用->所有驱动器->确定。
4、在网络正常时候保存好全网的IP-MAC地址对照表,这样在查找ARP中毒电脑时很方便。
5、部署网络流量检测设备,时刻监视全网的ARP广播包,查看其MAC地址是否正确。
6、部署网络版的杀毒软件,定期升级病毒库,定期全网杀毒。
附 ARP 攻击的原理:
ARP 欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警:第一以太网数据包头的源地址、目标地址和ARP 数据包的协议地址不匹配。或者,ARP数据包的发送和目标地址不在自己网络网卡MAC 数据库内,或者与自己网络MAC 数据库MAC/IP 不匹配。这些统统第一时间报警,查这些数据包(以太网数据包)的源地址(也有可能伪造),就大致知道那台机器在发起攻击了。现在有网络管理工具比如网络执法官、P2P 终结者也会使用同样的方式来伪装成网关,欺骗客户端对网关的访问,也就是会获取发到网关的流量,从而实现网络流量管理和网络监控等功能,同时也会对网络管理带来潜在的危害,就是可以很容易的获取用户的密码等相关信息。
