防治ARP欺騙病毒

由于篇幅關系我們不可能在這里大幅講解ARP欺騙病毒的工作原理和擴散機理， 筆者只是對ARP欺騙病毒進行一個大概介紹。 所謂ARP欺騙病毒實際上就是一臺感染了病毒的計算機不斷的冒充網關的IP地址， 不停的告訴網絡中所有計算機網關地址對應的MAC信息是感染病毒機器的MAC， 這樣由于他的發包量大大大于網關實際發送的ARP信息數據。 由于ARP欺騙病毒的傳播是需要通過交換機發送虛假廣播信息的， 而虛假數據信息內容中源或目的地址IP信息一定包括192.168.1.254， 而對應的MAC地址一定不是正確的2222-2222-2222， 因此這類虛假數據會被之前我們在交換機上設置的訪問控制列表或過濾策略所屏蔽， 再結合自動關閉對應端口徹底避免ARP欺騙蠕蟲病毒的傳播。 ARP工具下載：www.arpun.com 之后感染了病毒的計算機將無法上網， 他一定會聯系網絡管理員， 從而幫助我們快速定位問題計算機， 在第一時間解決問題。

                  不過如果企業網絡中采取的拓撲是在一個交換機端口下還連接有諸如HUB的設備的話， 那么如果連接HUB設備的下屬計算機中有感染ARP欺騙病毒的話， 交換機端口依然會自動關閉， 整個HUB設備下連計算機都將無法上網， 所以建議大家還是盡量采用交換機來連接企業計算機。

                   這種防范措施是需要結合ACL訪問控制列表以及路由策略等多個路由交換設備功能的， 首先要保證路由交換設備支持這些功能， 另外還要進行合理的設置， 不能夠過濾掉正確的數據包。 當然本文內容只是筆者在多次對抗ARP欺騙病毒后產生的一個防范思路， 希望可以和更多的朋友一起探討， 了解更多的建議， 大家共同進步將ARP欺騙病毒徹底查殺。