Billion BiGuard 系列ARP病毒防范与解决方案2008/11/29

　　最近一段时间，ARP欺骗病毒十分猖獗，经常造成局域网内主机断网，企业、网吧等局域网用户深受其害。

　　主要现象是：

　　1. 整个局域网在短时间内突然掉线，而后又恢复，如此反复;
　　2. 局域网内部分主机不能上网；
　　3. 局域网内部分主机浏览器遭到挟制，打开浏览器会自动弹出多个窗口；
　　4. 利用即时通讯软件向线上好友发送病毒，甚至导致个人信息被窃取；
　　5. 网络设备和PC瞬间死机。

方案分析

　　一、 ARP协议概述

　　IP数据包常通过以太网发送。以太网设备并不识别32位IP地址：它们是以48位以太网地址传输以太网数据包的。因此，IP驱动器必须把IP目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射，常常需要查看一张表。地址解析协议(Address Resolution Protocol，ARP)就是用来确定这些映象的协议。

　　在实现TCP/IP协议的网络环境下，一个ip包走到哪里，要怎么走是靠路由表定义，但是，当ip包到达该网络后，哪台机器响应这个ip包却是靠该ip包中所包含的硬件mac地址来识别。也就是说，只有机器的硬件mac地址和该ip包中的硬件mac地址相同的机器才会应答这个ip包，因为在网络中，每一台主机都会有发送ip包的时候，所以，在每台主机的内存中，都有一个 arp--> 硬件mac 的转换表。通常主机在发送一个ip包之前，它要到该转换表中寻找和ip包对应的硬件mac地址，如果没有找到，该主机就发送一个ARP广播包，于是，主机刷新自己的ARP缓存。然后发出该ip包。

　　二、 ARP欺骗原理

　　从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。
       第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。
    　第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了。
         一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。

　　有经验的网管会利用arp命令来查找发出arp欺骗包的主机，然后采取相应的措施。但这些都是亡羊补牢的办法，能不能把防范做在前面，让那些中毒的主机无所作为呢？
方案解决

　　Billion的BiGuad IPSec VPN系列安全网关产品对此有相应的防范措施，首先输入网关的IP地址登陆设备的设置界面，进入基于Web的操作界面以后，在配置界面里首先找到LAN选项，然后打开DHCP服务器

　　打开右侧主机绑定

　　在候选项目里我们可以发现目前通过DHCP获取IP的用户，我们首先对固定使用DHCP获取IP地址的用户进行绑定

　　在选定之后点击增加选项，此三项条目即增加到前一个主机绑定列表中，点击提交即可完成对通过DHCP获取IP地址的用户进行主机绑定，那么下次该组用户再通过DHCP获取IP地址的时候即为规则中为其指定的地址。

　　对固定IP地址的用户也要进行MAC绑定，打开防火墙→LAN MAC过滤

　　点击创建，来设置绑定条目，如下图所示，此规则即将局域网内固定IP地址的用户进行了IP MAC绑定，如该用户更改IP地址后那么将无法通信。

　　以上措施在很大程度上对内网的MAC地址和IP地址进行了有效的管理，ARP病毒即使向路由器发送错误的内网MAC地址也不会被接受。

　　Billion的BiGuad IPSec VPN系列安全网关产品在防火墙功能上也有很强的入侵侦测功能，打开防火墙→入侵侦测界面

　　在入侵侦测内容中有多项专防的功能，也有单独的ARP保护勾选项，将此功能勾选后ARP保护机制即可发挥其强大的功能。即使局域网内有ARP病毒在运行，那么网管可以在命令行中运行ARP-a的命令很快查找出病毒源。
        以上方法基本可以解决ARP病毒攻击对网络造成相关问题，以上方法也经过多个用户以及企业、网吧等用户的实践，都达到了用户预期的效果。Billion产品的解决方法操作比较容易学习，而且不必要查找整个网络的IP/MAC地址，在路由器上即可完成所有的工作，安全可靠。