解析：網絡掉線罪魁禍首與解決之道

2025-01-06 15:14:09 1

    現今，網吧或企業網絡中感染ARP病毒的情況極為多見，給網絡的正常使用造成了很大的影響，在清理和防範都比較困難，給不少的網絡管理員造成了很大的困擾，很多網絡管理員都在尋找一個穩定、快速的解決之道。下面飛魚星技術工程師通過對ARP病毒的深度解析後，把處理此類問題的一些經驗在這裡與大家分享。

什麼是ARP和ARP病毒

    ARP協議是「Address Resolution Protocol」（地址解析協議）的縮寫。在區域網中，網絡中實際傳輸的是「幀」，幀裡面是有目標主機的MAC地址的。在乙太網中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。然而怎麼獲取呢？需通過地址解析協議獲得。所謂「地址解析」就是主機在發送幀前將目標IP位址轉換成目標MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP位址，查詢目標設備的MAC地址，以保證通信的順利進行。

    ARP協議本身並不是病毒，但很多木馬程序、病毒都利用了該協議，就成為讓人憎恨的ARP病毒。在一般的網絡中，路由器和PC均帶有ARP緩存，因此這兩類設備最容易受到ARP攻擊。如同路由器受到ARP攻擊時數據包不能到達PC一樣，上網PC受到ARP攻擊時，數據包也不會發送到路由器上，而是發送到一個錯誤的地方，當然也就無法通過路由器上網了。

ARP欺騙攻擊的症狀

    1、計算機網絡連接正常，有時候PC無法訪問外網，重新啟動路由器又好了，過一會又不行了；
    2、用戶私密信息（如網銀、QQ、網遊等帳號）被竊取；
    3、區域網內的ARP廣播包巨增，使用ARP查詢時發現不正常的MAC地址，或錯誤的MAC地址，還有一個MAC對應多個IP的情況；區域網內出現網絡擁塞，甚至一些網絡設備當主機。

ARP欺騙攻擊的原理

ARP欺騙攻擊的一般有以下兩個特點：

    第一， 乙太網數據包頭的源地址、目標地址和ARP數據包的協議地址不匹配；
    第二， ARP數據包的發送和目標地址不在自己網絡網卡MAC資料庫內，或者與自己網絡MAC資料庫MAC/IP不匹配。

ARP欺騙攻擊的解決辦法

    針對ARP欺騙攻擊的防禦，飛魚星科技於2005年率先提出針對ARP欺騙攻擊的主動防禦理念，隨後，國內同類產品也提出了類似方式防禦，即：增大路由器ARP信息主動廣播密度，從而減少PC遭受ARP欺騙攻擊的可能。

    現市面上某些產品或軟體加強了ARP主動廣播的密度，意圖通過高密度廣播達到減緩或抑制內網PC遭受ARP欺騙的目的，但實際運用效果來看，加強廣播密度的做法：一方面，高密度的內網廣播，給網絡帶來了繁重的負擔，甚至產生廣播風暴，導致整個網絡的癱瘓；另一方面，如果內網中毒過重，那單純依靠某臺設備的高密度廣播也是有限的，隨著內網中毒PC數量的增加，ARP欺騙攻擊廣播勢必會壓過路由器或軟體主動廣播的密度，從而斷網問題仍然懸而未決，用戶怨聲載道。

    因此，為減少網絡廣播壓力，有效抑制網絡廣播風暴，飛魚星工程師推薦用戶採用雙向IP/MAC地址綁定的方式來解決和防止ARP欺騙攻擊所導致網絡的時斷時續。

1、在PC上綁定路由器的IP和MAC地址：

方法一、安裝智能網關IP/MAC地址綁定軟體

    推薦使用：「網關智能綁定精靈 正式版 2.0」，通過該軟體的下載和安裝，PC重啟後自動綁定網關IP/MAC地址，軟體還提供兩個附加IP/MAC地址的手動綁定策略（支持綁定伺服器等附加綁定），針對本地ARP信息變更，提供報警提示服務。（下載地址：）

方法二、手動綁定網關IP/MAC

（1）首先，獲得路由器的內網的MAC地址（例如，飛魚星高性能寬帶路由器區域網口的IP位址為：192.168.160.1，MAC地址為：00-3c-01-50-3f-66）。
（2）用記事本編寫一個批處理文件Varp.bat內容如下：
@echo off
arp -d
arp -s  192.168.160.1  00-3c-01-50-3f-66
（將文件中的網關IP位址和MAC地址更改為您自己的網關區域網口的IP位址和MAC地址即可。）
將此批處理文件拖動（移動）到「開始」-->「程序」-->「啟動」中。

2、在路由器上綁定內網所有PC的IP和MAC地址：

    以飛魚星高性能寬帶路由器為例，在設備配置頁面「網絡安全」的「IP-MAC綁定」 中的「掃描MAC」，掃描到的未綁定主機通過「>>>」功能鍵添加掃描地址至綁定列表中。

    雙向地址綁定結合飛魚星高性能寬帶路由器完善的攻擊防禦體系，讓您的網絡更安全，更穩定。

3、找到感染ARP病毒的機器

    通過飛魚星路由器配置界面的「系統狀態」-->「系統日誌」，查看ARP欺騙攻擊的對應日誌信息。

    通過飛魚星路由器後臺命令提示符下管理，查看路由器ARP信息，最終查找到攻擊來源MAC地址對應IP位址，從而及時、有效的解決故障機問題。

    對於一些不適合傳統IP/MAC雙向綁定的網絡環境，例如客人流動頻繁的商務酒店、經常克隆/還原系統的網吧、頻繁添加電腦的企業和學校。

    ARP信任機制在無雙向綁定的情況下，可自動學習、判斷和更新內網主機的ARP信息，確保路由器獲得真實可靠的用戶ARP信息，既保證上網的便捷性，又保證上網的安全性。

    最後，在不斷的深入研究之後，飛魚星科技推出了全新的安全聯動解決方案，通過三層設備（飛魚星路由器）和二層設備（飛魚星交換機）的協同安全聯動，輕鬆解決因內網個別電腦中毒，攻擊其他電腦導致整網癱瘓的問題，基於硬體埠的防禦方式，整個網絡將不會受到任何威脅。同時高性能的自防禦系統，可有效的防禦網絡中其他的常見攻擊。同時，簡單、易操作的理念將大大減輕網管員的工作量，使得網管員有更多時間考慮網絡的日常維護和網絡規劃，不再一天到晚疲於應付安全事件的發生。

 
其他排查辦法：

    （1）在未綁定PC上Ping路由器網關的IP位址，然後使用「arp -a」命令，查看網關對應的MAC地址是否與實際情況相符，如有不符，可去查找與該MAC地址對應的PC。
    （2）使用抓包工具，分析所得到的ARP數據報。有些ARP病毒是會把通往網關的路徑指向自己，有些是發出虛假ARP回應包來混淆網絡通信。第一種處理比較容易，第二種處理比較困難，如果殺毒軟體不能正確識別病毒的話，往往需要手工查找感染病毒的電腦和手工處理病毒，比較困難。
    （3）使用MAC地址掃描工具，Nbtscan掃描全網段IP位址和MAC地址對應表，有助於判斷感染ARP病毒對應MAC地址和IP位址。