2009-01-07

ARP病毒:局域网里挥之不去的痛

Posted in 网络安全 at 18:50 Author:仲远

标签:

由于IPv4的ip地址资源极其紧缺,许许多多的单位或小区都是使用局域网配置。也就是说局域网内使用一些内部ip地址,而对外,只有几个实际的ip地址。但是由于局域网的“天性”,导致局域网内常常面临着ARP病毒的攻击。

通常是局域网中有某些机器中了ARP病毒,然后就会欺骗其他的机器,告诉它们说“我是网关”。于是其他机器在打开网页的时候,会将网址发给这个中了ARP病毒的电脑,而这个电脑就会将加上了病毒链接的网页返回给其他电脑。这样,就达到了病毒传播的目的。也就是说,在局域网里,如果别的机器中了ARP病毒,会导致你在打开某些网页的时候,得到的是带病毒的网页。通常这样的网页,又会自动去某个地址上下载更多的木马病毒。

要在局域网里防止ARP病毒最有效的方法,就是安装ARP防火墙。而在我使用过的众多ARP防火墙中,金山的ARP防火墙是目前我用过的最好使的ARP防火墙。其最主要的一个特点,就是能够主动通知真正的网关,与真正的网关“保持联系”。这样,即使其它电脑中了ARP病毒,由于你的机器始终是和真正的网关打交道,而真正的网关,也知道你机器的MAC地址,它也就会将网页直接返回给你,避免了经过那台中了ARP病毒的机器的“感染”。

要下载金山ARP防火墙,可以点击下面的链接,目前为1.2正式版:
http://kad.www.duba.net/kas/KAntiarp.exe 

要开启主动通知网关的这项功能,可以通过如下设置:综合设置->ARP安全设置->修改设置->实时通知网关前打勾。

当然,要彻底解决局域网内的ARP病毒,还是需要找到“罪魁祸首”的。通常,在金山ARP防火墙的日志里,就可以找到中毒机器的IP地址。这个时候,就需要这个局域网内的人互相宣传,找到这个IP地址,然后将其断网杀毒。

关于局域网内的ARP病毒,我曾经写过如下文章,感兴趣的可以阅读一下:
2008年2月20日:《最近局域网中流行的ARP攻击病毒解决办法
2008年3月16日:《最近局域网中流行的ARP攻击病毒终于有专杀工具了!

本文可以自由转载,转载时请保留全文并注明出处:
转载自仲子说 [ http://www.wangzhongyuan.com/ ]
原文链接:

Leave a Comment

*
To prove you're a person (not a spam script), type the security text shown in the picture. Click here to regenerate some new text.
Click to hear an audio file of the anti-spam word