王榮桂

隨著局域網(wǎng)規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)運(yùn)維的難度也越來越大。特別是遇到ARP病毒攻擊后，局域網(wǎng)中的計(jì)算機(jī)無緣無故就會(huì)出現(xiàn)斷網(wǎng)現(xiàn)象，時(shí)而這臺(tái)電腦，時(shí)而另一臺(tái)電腦，出現(xiàn)IP地址沖突，網(wǎng)速時(shí)快時(shí)慢，嚴(yán)重影響了網(wǎng)絡(luò)的正常通訊。

一、判斷是否是ARP攻擊

當(dāng)發(fā)現(xiàn)上網(wǎng)明顯變慢，或者突然掉線時(shí)，我們可以用ARP命令來檢查ARP表。依次單擊桌面“開始→運(yùn)行”菜單，打開“運(yùn)行”對話框，在“打開”后輸入“CMD”命令并回車，進(jìn)入“CMD”命令提示符界面。接著，在提示符后輸入“ARP-A”并回車（圖1）如果顯示的網(wǎng)關(guān)的MAC地址發(fā)生了改變，或者有很多IP地址是指向同一個(gè)物理地址，可以判定受到了ARP攻擊。

二、揪出ARP病毒的主機(jī)

通過上面的“ARP-A”命令，那個(gè)改變的網(wǎng)關(guān)MAC地址或多個(gè)IP指向的物理地址，就是病毒主機(jī)的MAC地址。接著，再次進(jìn)入“CMD”命令提示符界面，在提示符后輸入“Ipconfig/all”并回車，就可以查出每臺(tái)計(jì)算機(jī)的MAC地址（圖2）。如果局域網(wǎng)中計(jì)算機(jī)數(shù)量很多的話，可以使用“NBTSCAN”掃描PC的真實(shí)IP地址和MAC地址。下載nbtscan.rar文件，將解壓好的“cygwin1.dll”和“nbtscan.exe”兩文件復(fù)制到本地電腦“C：＼WINDOWS＼system32”下，進(jìn)入cmd命令提示符界面，在提示符后輸入“nbtscan-r10.95.86.0/24”并回車（圖3），搜索“10.95.86.1-10.95.86.254”整個(gè)網(wǎng)段，輸出的第一列是IP地址，最后一列是MAC地址，這樣即可找到病毒主機(jī)的IP地址?；蛘哌M(jìn)入命令提示符界面，在提示符后輸入路由跟蹤命令“tracert–dwww.baidu.com”并回車，正常情況下輸出的第一條就是默認(rèn)網(wǎng)關(guān)地址。如果第一條并非網(wǎng)關(guān)IP地址，那它的主機(jī)就是ARP病毒的主機(jī)。

三、徹底查殺ARP病毒

徹底查殺ARP病毒，需要定位到攻擊源地址，利用ARP專殺工具進(jìn)行殺毒。找到ARP攻擊的源頭后，在源頭的計(jì)算機(jī)上安裝ARP專殺工具進(jìn)行查殺操作，對病毒庫進(jìn)行更新后即可進(jìn)行查殺。如果殺毒軟件查殺不干凈的話，可以用下面的方法來徹底殺除ARP病毒。首先，進(jìn)入“%windows%＼System32”文件夾，刪除“LOADHW.EXE”病毒組件釋放者文件，再刪除“driversnpf.sysARP”欺騙包的驅(qū)動(dòng)程序。接著，右擊桌面“計(jì)算機(jī)”，選擇“設(shè)備管理器”菜單，進(jìn)入“設(shè)備管理器”窗口。依次單擊“查看→顯示隱藏的設(shè)備”菜單，在設(shè)備樹展開“非即插即用”列表項(xiàng)（圖4），找到“NetGroupPacketFilterDriver”“NetGroupPacketFilter”后并右擊，在彈出菜單中選擇“卸載”，確認(rèn)后進(jìn)行卸載操作，重啟Windows系統(tǒng)。然后，進(jìn)入“%windows%＼System32＼drivers”文件夾，刪除“npf.sys”。再次進(jìn)入“%windows%＼System32”文件夾，刪除“msitinit.dll”文件。最后，依次單擊桌面“開始→運(yùn)行”菜單，打開“運(yùn)行”對話框，在“打開”后輸入“regedit”命令并回車，進(jìn)入“注冊表編輯器”，找到“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services”注冊表項(xiàng)，刪除“Npf”子項(xiàng)后，重啟Windows系統(tǒng)即可。

四、防范ARP病毒攻擊

一是使用殺毒軟件實(shí)現(xiàn)ARP防護(hù)。打開最新版本的“360安全衛(wèi)士”，單擊主界面右下角的“更多”，進(jìn)入“功能大全”界面。點(diǎn)擊左側(cè)的“網(wǎng)絡(luò)優(yōu)化”，在工具列表找到“流量防火墻”并單擊，在彈出的新窗口，單擊上面的“局域網(wǎng)防護(hù)”后，再單擊下面“立即開啟”進(jìn)行設(shè)置。安裝完成后進(jìn)入“360流量防火墻”（圖5）。左側(cè)的四個(gè)防護(hù)選項(xiàng)默認(rèn)是開啟的，重啟電腦即可。二是綁定IP和MAC地址防護(hù)ARP病毒。首先，用“ipconfig/all”命令查出本地計(jì)算機(jī)的IP地址和MAC地址。接著，實(shí)現(xiàn)網(wǎng)關(guān)（即路由器）的IP和MAC地址綁定。打開“運(yùn)行”對話框后，在“打開”后輸入“CMD”命令并回車，在提示符后輸入“ARP-s10.95.86.214c-34e0-aa-95-66”（本地計(jì)算機(jī)的MAC地址）即可實(shí)現(xiàn)綁定。也可以在命令提示符下輸入命令“netsh interface ipv4 show interface”并回車，查看本地計(jì)算機(jī)中所有網(wǎng)卡的“Idx”代碼（圖6），從中選擇要綁定的Idx（本地連接），本地連接的“Idx”是20。然后，在命令提示符下輸入命令“netsh interface ipv4 set neighbors 20 10.95.86.21 4c-34e0-aa-95-66”，回車后實(shí)現(xiàn)靜態(tài)綁定。由于手動(dòng)操作實(shí)現(xiàn)的靜態(tài)綁定，會(huì)在重啟電腦后恢復(fù)為動(dòng)態(tài)綁定，所以需要建立一個(gè)批處理文件，把以下命令放在批處理文件里（圖7），然后，把該批處理文件拖放至“開始→所有程序→啟動(dòng)”菜單下，系統(tǒng)在啟動(dòng)時(shí)會(huì)自動(dòng)執(zhí)行該批處理文件。

總之，如果局域網(wǎng)出現(xiàn)ARP病毒，需要檢查局域網(wǎng)中每一臺(tái)計(jì)算機(jī)，判斷出ARP發(fā)包源，再使用殺毒軟件進(jìn)行查殺。