局域网中ARP地址欺骗病毒的查杀方法

　　如何找到了ARP中毒电脑，那么接下来的操作就是如何杀毒了。有一点需要注意的是：当找到中毒电脑后，应该立即拔掉中毒电脑的网线，以免其继续发包干扰全网的运行。

　　对于ARP病毒电脑的查杀办法，首先可以利用杀毒软件杀毒，但是由于现在病毒变种极其繁多，有可能遇到杀毒软件查不出来的情况，这时候就需要借助手工杀毒的办法了，下面介绍一些经验。

　　根据一些经验，较老类型的ARP病毒运行特征比较隐蔽，电脑中毒时并无明显异常现象，这类病毒运行时自身无进程，通过注入到Explorer.exe进程来实现隐藏自身。其注册表中的启动项也很特殊，并非常规的Run键值加载，也不是服务加载，而是通过注册表的AppInit_DLLs 键值加载实现开机自启动的，这一点比较隐蔽，因为正常的系统AppInit_DLLs键值是空的。也正由于这个特点，利用Autoruns这个工具软件就可以快速扫描出病毒文件体，如图1：

图1 Autoruns工具检测出病毒文件主体

　　上图中红色框内的部分，就是ARP病毒文件主体，该文件虽然扩展名为log，看似很像是系统日志文件，但其实，它是一个不折不扣的病毒！除了Log形式的病毒文件，还有一些以Bmp作为扩展名的病毒文件，同样，这些病毒文件也不是图片文件，而是EXE格式的可执行文件，在同目录下还有同名的dll文件，这些都是病毒体。

　　%WinDir%\ KB*.log

　　或者

　　%WinDir%\ *.bmp

　　%WinDir%\同名.dll

　　如何区别正常的log日志文件，bmp图片文件和病毒文件呢？其实很简单，用记事本程序打开该文件，查看其文件头是否有“MZ”的标记即可，如图2就是一个名字为“KB896475.log”的病毒文件。

图2 一个ARP病毒文件体

　　找到这些文件后，可以先清除注册表中的相关键值，然后重启系统到安全模式下，手动删除文件即可。

　　对于最近多发的，修改WEB请求页面的新型ARP病毒，则改变了病毒文件的表现形式，现对简单，利用系统进程查看和启动项查看注册表的Run键值，可以明显发现病毒的文件。

　　ARP病毒的网络免疫措施

　　由于ARP病毒的种种网络特性，可以采用一些技术手段进行网络中ARP病毒欺骗数据包免疫。即便网络中有ARP中毒电脑，在发送欺骗的ARP数据包，其它电脑也不会修改自身的ARP缓存表，数据包始终发送给正确的网关，用的比较多的办法是“双向绑定法” 。

　　双向绑定法，顾名思义，就是要在两端绑定IP－MAC地址，其中一端是在路由器中，把所有PC的IP-MAC输入到一个静态表中，这叫路由器IP-MAC绑定。令一端是局域网中的每个客户机，在客户端设置网关的静态ARP信息，这叫PC机IP-MAC绑定。客户机中的设置方法如下：

　　新建记事本，输入如下命令：

　　arp -d

　　arp -s 192.168.0.1 00-e0-4c-8c-9a-47

　　其中，“arp –d” 命令是清空当前的ARP缓存表，而“arp -s 192.168.0.1 00-e0-4c-8c-9a-47 ”命令则是将正确网关的IP地址和MAC地址绑定起来，将这个批处理文件放到系统的启动目录中，可以实现每次开机自运行，这一步叫做“固化arp表” 。“双向绑定法”一般在网吧里面应用的居多。

　　除此之外，很多交换机和路由器厂商也推出了各自的防御ARP病毒的软硬产品，如：华为的H3C AR 18-6X 系列全千兆以太网路由器就可以实现局域网中的ARP病毒免疫，该路由器提供MAC和IP地址绑定功能，可以根据用户的配置，在特定的IP地址和MAC地址之间形成关联关系。对于声称从这个IP地址发送的报文，如果其MAC地址不是指定关系对中的地址，路由器将予以丢弃，是避免IP地址假冒攻击的一种方式。