ARP欺騙病毒的威力不需要筆者多說(shuō)，特別是現(xiàn)在很多類(lèi)似ARP病毒都具備了蠕蟲(chóng)特性，應(yīng)對(duì)起來(lái)更加麻煩。網(wǎng)上有很多文章都是介紹過(guò)如何應(yīng)對(duì)企業(yè)內(nèi)網(wǎng)出現(xiàn)的ARP欺騙病毒，不過(guò)大多數(shù)情況都需要我們?cè)诤诵慕粨Q機(jī)上針對(duì)MAC地址進(jìn)行過(guò)濾或綁定，如果我們沒(méi)有交換機(jī)的管理權(quán)限又該如何呢?今天就讓我們從本機(jī)過(guò)濾入手根除ARP欺騙蠕蟲(chóng)吧。

一、安裝8Signs Firewall過(guò)濾軟件：

本文介紹的重點(diǎn)是從本機(jī)來(lái)過(guò)濾掉虛假的錯(cuò)誤的ARP欺騙數(shù)據(jù)包，我們通過(guò)名為8Signs Firewall的軟件來(lái)實(shí)現(xiàn)此功能。他是一款簡(jiǎn)單易用的軟件網(wǎng)絡(luò)防火墻，使用它可以幫助用戶限制非法的網(wǎng)絡(luò)連接訪問(wèn)本地資源，另外他還可以幫助用戶限制本地電腦訪問(wèn)網(wǎng)絡(luò)中的不良資源。

8Signs Firewall小檔案：

軟件版本：V3.01a Beta

軟件大小： 5351 KB

軟件語(yǔ)言： 英文

軟件類(lèi)別： 國(guó)外軟件 / 共享版 / 網(wǎng)絡(luò)安全

應(yīng)用平臺(tái)： Win9x/NT/2000/XP/2003

下載地址：

http://cnc.skycn.com/soft/15172.html

第一步：運(yùn)行8Signs Firewall安裝程序，我們使用的是V3.01a Beta版本，點(diǎn)“NEXT”按鈕繼續(xù)。(如圖1)

第二步：同意安裝協(xié)議后選擇安裝目錄，默認(rèn)路徑是c:\program files\8signs firewall。點(diǎn)“NEXT”按鈕繼續(xù)。(如圖2)

第三步：設(shè)置完畢后準(zhǔn)備開(kāi)始安裝軟件，復(fù)制必須文件到本地硬盤(pán)。(如圖3)

第四步：接下來(lái)是寫(xiě)入注冊(cè)表，自啟動(dòng)服務(wù)及其相關(guān)進(jìn)程，彈出對(duì)話框針對(duì)8Signs Firewall進(jìn)行初始化設(shè)置。首先設(shè)置該軟件的使用用戶，我們選擇第一個(gè)“Make my ruleset for me”(對(duì)本帳戶設(shè)置規(guī)則)即可。(如圖4)

#p#

第五步：該軟件支持遠(yuǎn)程管理功能，我們可以通過(guò)設(shè)置的密碼和默認(rèn)管理端口來(lái)遠(yuǎn)程控制和監(jiān)聽(tīng)。當(dāng)然對(duì)于大多數(shù)情況我們不需要此功能，直接選擇“NO”即可。(如圖5)

第六步：設(shè)置該軟件防火墻的啟動(dòng)方式，YES是隨系統(tǒng)啟動(dòng)而啟動(dòng)。(如圖6)

第七步：最后是關(guān)鍵的一步，一定不能夠選錯(cuò)，他是讓你設(shè)置默認(rèn)情況下如果防火墻沒(méi)有開(kāi)啟，那么是容許通訊還是阻止通訊。這個(gè)要根據(jù)實(shí)際使用來(lái)決定，筆者建議大家選擇ALLOW容許，否則無(wú)法上網(wǎng)，防火墻又沒(méi)開(kāi)著就比較難找到問(wèn)題根源了。(如圖7)

第八步：安裝完畢后要求重新啟動(dòng)計(jì)算機(jī)才能夠讓設(shè)置生效，點(diǎn)“Finish”按鈕結(jié)束安裝操作。(如圖8)

至此我們就完成了8Signs Firewall軟件防火墻的安裝工作，接下來(lái)就由他來(lái)幫助我們根除ARP欺騙蠕蟲(chóng)病毒了。#p#

二、從本機(jī)過(guò)濾入手根除ARP欺騙蠕蟲(chóng)：

ARP欺騙病毒的發(fā)作關(guān)鍵在于欺騙ARP映射表，讓網(wǎng)關(guān)地址對(duì)應(yīng)的MAC信息指向了錯(cuò)誤的地址。當(dāng)我們執(zhí)行arp -a查看本地ARP緩存時(shí)應(yīng)該可以看到不同IP地址對(duì)應(yīng)同一個(gè)MAC地址的情況，特別是網(wǎng)關(guān)地址存在這種對(duì)應(yīng)關(guān)系。(如圖9)

要想對(duì)付這種錯(cuò)誤綁定關(guān)系的話，我們可以使用8Signs Firewall中的規(guī)律規(guī)則。

第一步：安裝好后重新啟動(dòng)計(jì)算機(jī)，之后啟動(dòng)8Signs Firewall程序?qū)⒃瓉?lái)firewall默認(rèn)的ARP規(guī)則禁止或刪除掉，直接在上面選擇ARP標(biāo)簽和對(duì)應(yīng)的規(guī)則點(diǎn)右鍵選擇disable即可禁用。(如圖10)

第二步：然后在Rule菜單下建立可信任的IP Address Group，為建立的地址組起一個(gè)名字。(如圖11)

第三步：在剛建立的地址組中添加一個(gè)IP對(duì)應(yīng)信息，即加入網(wǎng)關(guān)的IP地址。(如圖12)

第四步：建立完IP地址組后還需要建立MAC地址組，我們通過(guò)Rules菜單下建立可信任的MAC Group。(如圖13)

#p#

第五步：同樣為MAC地址組起一個(gè)名字并輸入網(wǎng)關(guān)設(shè)備的真實(shí)MAC地址，建立默認(rèn)規(guī)律規(guī)則。(如圖14)

第六步：返回到軟件的主界面，在network adapters下的rules中建立一個(gè)新的ARP規(guī)則，記得要在右邊選擇ARP標(biāo)簽。(如圖15)

第七步：在添加規(guī)則窗口中選擇filtering過(guò)濾標(biāo)簽，然后選擇前面已經(jīng)設(shè)置好的組讓其匹配過(guò)濾規(guī)則。(如圖16)

第八步：在同一個(gè)窗口中的actions行動(dòng)標(biāo)簽中選擇“ALLOW”容許，這樣只有滿足匹配規(guī)則的ARP數(shù)據(jù)包才會(huì)發(fā)送和接收，其他不滿足規(guī)則的數(shù)據(jù)包會(huì)被丟棄。(如圖17)

第九步：如果網(wǎng)絡(luò)中存在著ARP欺騙蠕蟲(chóng)病毒的話，我們?cè)诖蜷_(kāi)8Signs Firewall后就會(huì)發(fā)現(xiàn)LOG日志記錄信息中顯示出了很多條這種錯(cuò)誤不匹配的ARP數(shù)據(jù)包被丟棄的信息。(如圖18)

第十步：最后我們?cè)僮?Signs Firewall程序隨系統(tǒng)啟動(dòng)或者將其添加到組策略的開(kāi)機(jī)腳本或啟動(dòng)腳本中即可。

至此我們就完成了從本機(jī)入手根除ARP欺騙蠕蟲(chóng)的工作，本文介紹的是利用軟件防火墻8Signs Firewall的過(guò)濾規(guī)則來(lái)實(shí)現(xiàn)根除功能，當(dāng)然此方法是非常有效的，比純粹使用arp -s來(lái)綁定ARP緩存信息更好，要知道arp -s指令遇到強(qiáng)大一點(diǎn)的ARP病毒后就講失去作用。

三、總結(jié)：

本文僅僅介紹了8Signs Firewall這款軟件防火墻，實(shí)際上很多軟件防火墻都有此功能，我們只需要按照本文的思路到這些防火墻軟件中尋找關(guān)于ARP信息過(guò)濾的功能即可，通過(guò)掃描所有發(fā)送和接收的ARP數(shù)據(jù)，來(lái)達(dá)到過(guò)濾效果，將虛假的ARP欺騙數(shù)據(jù)包阻擋在操作系統(tǒng)之外，讓我們企業(yè)內(nèi)部網(wǎng)絡(luò)更加穩(wěn)定安全的運(yùn)行。

小提示：

本文介紹的方法僅僅是被動(dòng)的防范方法，網(wǎng)絡(luò)中那臺(tái)感染了ARP欺騙病毒的機(jī)器還會(huì)繼續(xù)發(fā)作，所以最關(guān)鍵的是要找出這臺(tái)機(jī)器將他隔離并殺毒。

【編輯推薦】

1. 融合網(wǎng)絡(luò)網(wǎng)吧交換機(jī)之防ARP篇
2. 綜合方法解決防制ARP欺騙問(wèn)題