在局域網(wǎng)環(huán)境中上網(wǎng)的朋友會經(jīng)常碰到無故斷線的情況，并且檢查電腦也檢查不出什么原因。其實出現(xiàn)這種情況，大部分情況下都是局域網(wǎng)中的某一臺電腦感染了ARP類型的病毒所至。感染病毒，電腦一一殺毒，電腦過多的情況下顯然很費時費力。現(xiàn)在就告訴你這三招兩式，快速找出局域網(wǎng)中的“毒瘤”。

小提示： ARP：Address Resolution Protocol的縮寫，即地址解析協(xié)議。ARP負責將電腦的IP地址轉(zhuǎn)換為對應(yīng)的物理地址，即網(wǎng)卡的MAC地址。當發(fā)生ARP欺騙時，相關(guān)主機會收到錯誤的數(shù)據(jù)，從而造成斷網(wǎng)的情況發(fā)生。

一、查看防火墻日志

局域網(wǎng)中有電腦感染ARP類型病毒后，一般從防火墻的日志中可以初步判斷出感染病毒的主機。

感染病毒的機器的典型特征便是會不斷的發(fā)出大量數(shù)據(jù)包，如果在日志中能看到來自同一IP的大量數(shù)據(jù)包，多半情況下是這臺機器感染病毒了。

這里以Nokia IP40防火墻為例，進入防火墻管理界面后，查看日志項，在“Event Log”標簽下可以明顯看到內(nèi)網(wǎng)中有一臺機器不斷的有數(shù)據(jù)包被防火墻攔截，并且間隔的時間都很短。目標地址為公司W(wǎng)EB服務(wù)器的外網(wǎng)IP地址，設(shè)置過濾策略時對WEB服務(wù)器特意加強保護，所以可以看到這些項目全部是紅色標示出來的(圖1)。

圖1

到WEB服務(wù)器的數(shù)據(jù)包被攔截了，那些沒有攔截的數(shù)據(jù)包呢?自然是到達了目的地，而“目的”主機自然會不間斷的掉線了。

由于內(nèi)網(wǎng)采用的DHCP服務(wù)器的方法，所以只知道IP地址還沒有用，必須知道對應(yīng)的MAC地址，才能查到病毒源。我們可以利用NBTSCAN來查找IP所對應(yīng)的MAC地址。如果是知道MAC地址，同樣可以使用NBBSCAN來得到IP地址(圖2)。

圖2

由此可見，防火墻日志，有些時候還是可以幫上點忙的。

小提示：如果沒有專業(yè)的防火墻，那么直接在一臺客戶機上安裝天網(wǎng)防火墻之類的軟件產(chǎn)品，同樣能夠看到類似的提醒。 #p#

二、利用現(xiàn)有工具

如果覺得上面的方法有點麻煩，且效率低下的話，那么使用專業(yè)的ARP檢測工具是最容易不過的事了。這里就請出簡單易用，但功能一點也不含糊的ARP 防火墻。

ARP防火墻可以快速的找出局域網(wǎng)中ARP攻擊源，并且保護本機與網(wǎng)關(guān)之間的通信，保護本機的網(wǎng)絡(luò)連接，避免因ARP攻擊而造成掉線的情況發(fā)生。

軟件運行后會自動檢測網(wǎng)關(guān)IP及MAC地址并自動保護電腦。如果軟件自動獲取的地址有錯誤，可單擊“停止保護”按鈕，填入正確的IP地址后，單擊“枚取MAC”按鈕，成功獲取MAC地址后，單擊“自動保護”按鈕開始保護電腦。

當本機接收到ARP欺騙數(shù)據(jù)包時，軟件便會彈出氣泡提示，并且指出機器的MAC地址(圖3)。

圖3

單擊“停止保護”按鈕，選中“欺騙數(shù)據(jù)詳細記錄”中的條目，再單擊“追捕攻擊者”按鈕，在彈出的對話框中單擊確定按鈕。

軟件便開始追捕攻擊源，稍等之后，軟件會提示追捕到的攻擊者的IP地址(圖4)。

圖4

其實大多數(shù)時候，不用手工追捕，軟件會自動捕獲到攻擊源的MAC地址及IP地址。

還等什么?找到那顆“毒瘤”，將其斷網(wǎng)，殺毒。局域網(wǎng)總算清靜了! #p#

三、有效防守

俗話說，進攻才是最好的防守。雖然通過上面的方法可以找到病毒源，并最終解決問題，不過長期有人打電話抱怨“又斷線了……”?？偸沁@樣擦屁股，似乎不是長久之際，因此有效保護每一臺機器不被ARP欺騙攻擊才是上策。

比較有效的方法之一便是在每一臺機器上安裝ARP防火墻，設(shè)置開機自啟動，并且在“攔截本機發(fā)送的攻擊包”項打勾(圖5)，這樣不僅可以保護不受攻擊，還可以防止本機已感染病毒的情況下，發(fā)送欺騙數(shù)據(jù)攻擊別的機器的情況發(fā)生。

圖5

另外，如果你只是在一個較小的局域網(wǎng)環(huán)境中，并且也不想安裝ARP防火墻增加系統(tǒng)開銷，可以手工綁定自己的MAC地址及IP地址，這樣就也可以避免被ARP欺騙數(shù)據(jù)攻擊。

首先使用IPCONFIG命令查看本機網(wǎng)卡的MAC地址及IP地址。然后輸入“arp -d”將緩存數(shù)據(jù)清空，再執(zhí)行“arp –s IP地址 Mac地址”綁定MAC地址及IP地址(圖6)。

圖6

使用這種方法綁定的弱點便是，機器重新啟動之后，綁定便會失效，需要重新綁定。因此可將上面的命令行做成一個批處理文件，并將快捷方式拖放到開始菜單的“啟動”項目中，這樣就可以實現(xiàn)每次開機自動綁定了。

所謂“道高一尺，魔高一丈”，技術(shù)總是在不斷更新，病毒也在不斷的發(fā)展。使用可防御ARP攻擊的三層交換機，綁定端口MAC-IP，合理劃分VLAN，徹底阻止盜用IP、MAC地址，杜絕ARP的攻擊，才是最佳的防范策略。對于經(jīng)常爆發(fā)病毒的網(wǎng)絡(luò)，可以進行Internet訪問控制，限制用戶對網(wǎng)絡(luò)的訪問。因為大部分ARP攻擊程序網(wǎng)絡(luò)下載到客戶端，如果能夠加強用戶上網(wǎng)的訪問控制，就能很好的阻止這類問題的發(fā)生。

【編輯推薦】

1. 從網(wǎng)吧ARP欺騙看局域網(wǎng)的安全管理
2. PPPoE上網(wǎng)輕松防范網(wǎng)絡(luò)ARP病毒