掉线，网关不通---ARP病毒

近些天，ARP病毒入侵网络，！！中招现象：掉线，网关不通，为什么不通，因为是假的~~~~~~` 

【故障原因】 

　　局域网内有主机有意或无意使用ARP欺骗的木马程序，将自身伪造成网关。

要了解故障原理，先简单说一下ARP协议。 

　　在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。 

  从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。
  
  举个例子，对目标A进行欺骗，A去Pin*主机*却发送到了*D-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候，把C的MAC地址骗为DD-DD-DD-DD-DD-DD，于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么，嗅探成功。 
　　A对这个变化一点都没有意识到，但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。 
  
　　D直接进行整个包的修改转发，捕获到A发送给C的数据包，全部进行修改后再转发给C，而C接收到的数据包完全认为是从A发送来的。不过，C发送的数据包又直接传递给A，倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了，对于A和C之间的通讯就可以了如指掌了。 


  【故障现象】 （请细看！）

　　当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。 （时曾相识吧？）

　　切换到病毒主机上网后，如果用户已经登陆了某个网络软件服务器（QQ，或者网游），那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录服务器，这样病毒主机就可以盗号了。 

　　由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。 （大家是否觉得非常熟悉！！）

  【解决思路】 

　　1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在IP+MAC基础上。 

　　2、设置静态的MAC-->IP对应表，不要让主机刷新你设定好的转换表。 

　　3、除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。 

　　4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。 

　　5、使用""proxy""代理IP的传输。 

　　6、使用硬件屏蔽主机。设置好你的路由，确保IP地址能到达合法的路径。（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。 

　　7、管理员定期用响应的IP包中获得一个rarp请求，然后检查ARP响应的真实性。 

　　8、管理员定期轮询，检查主机上的ARP缓存。 

　　9、使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢失。 


【校内局域网用户注意！！】 （请细看！）
  
  一个最简单的识别假网关的办法：当发现网络不对劲时，将自己ip该为网关ip，
  如果系统警告你：你不能使用该已被配置的静态地址，说明该回应是交换机发给你的arp广播的回应，是真网关。
  如果系统只发出IP冲突的警告，那说明当前的219.242.XXX.1可能是局域网内某主机伪造的！（arp表被清空时也会这么报，自己去判断-_-）
  
  如果你已经确认你所处网段已经发生以上现象，不要着急，因为只能说明你所处网段中有主机中了该病毒，不一定是自身中毒，这也是最难解决的地方，很不容易找出害群之马。
  运行 arp -a   能查看你近期所被强制经过得网关和最近与你有arp表信息交换的主机，但也不能完全确定得到的那些ip就是毒机。
  但希望这些ip请尽快查看自己系统中有无可疑进程，目前没有任何杀毒软件能有效对付arp欺骗病毒，必须手动发现！（据说诺顿最新版可以查杀，没有试过，有诺顿的东西出来说下效果）

  最后再次强调一下，不要认为自己没中毒就事不关己高高挂起，只要局域网内有一台主机依然在伪造网管，整个网段都还会依然混乱。
  同时，伪造成网关的主机自身会发生什么，仔细看过病毒原理的人就会想到，被你强制拉过来的所有主机的流量都会经过你的主机，当你下个月发现流量余额负出一个天文数字，请不要怨天尤人。

  最后，给不能上网的同学一个比较消极的解决办法：
  
采用静态绑定的方法解决并且防止ARP欺骗。 

　　1、在PC上绑定物理网关的IP和MAC地址： 

　　1）首先，获得网关的内网的MAC地址（例如网关地址192.168.16.1的MAC地址为0022aa0022aa局域网端口MAC地址>），该地址可以向网管查询。 

　　2）编写一个批处理文件rarp.bat内容如下： 

　　@echo off 

　　arp -d 

　　arp -s 192.168.16.1 00-22-aa-00-22-aa （这里注意。请不要照抄例子，要用自己的网关ip和mac，不知道的可以在正常上网那个时用arp -a查到）

  结果可以通过arp -a看到，例如xxx.xxx.xxx.1 xx-xx-xx-xx-xx-xx static

　说明真实网关与mac已经静态邦定，不会被arp欺骗报文改动了。

　　将这个批处理软件拖到“windows--开始--程序--启动”中。 

  
  防止arp病毒的补丁只能使你的主机不受病毒入侵而成为毒瘤，但不会使你一定能正常上网，因为只要网段里还有其他毒机，数据报文就会受影响。

另：
    就算做了静态绑定之后,为什么还会掉线?,还是arp问题！是arp对路由器的欺骗。
因为有种情况下的问题,没有得到解决。现在的处理方法如果碰到欺骗报文不是冒充网关,而是冒充内网的PC会如何呢?答案是掉线,冒充谁,谁掉线.因为路由器收到假报文找不到你了,转发给你的信息全部给了毒机，这就是为什么有的主机能上网，有的不能正常上网...要让路由器绑定所有内网ip是不现实的。

  既然路由和主机间双向互绑难以实现，自己电脑再自身洁身自好也不能清除根源，清除所有毒机才是唯一最佳解决的办法 。