ARP欺騙病毒是目前最讓企業(yè)網(wǎng)絡(luò)管理員頭疼的病毒，他的特點(diǎn)就是隱蔽性強(qiáng)，一臺(tái)機(jī)器感染后全網(wǎng)段機(jī)器都受影響，故障一樣。所以很難找出真正的病毒來(lái)源。在實(shí)際維護(hù)過(guò)程中筆者發(fā)現(xiàn)即使ARP病毒發(fā)作后我們也可以通過(guò)sniffer工具這個(gè)放大鏡來(lái)找出真兇。下面筆者就以一次個(gè)人查殺arp病毒的經(jīng)歷為例向各位IT168的讀者介紹如何從sniffer下手揪出ARP病毒。

　　一，ARP欺騙病毒發(fā)作跡象：

　　一般來(lái)說(shuō)ARP欺騙病毒發(fā)作主要有以下幾個(gè)特點(diǎn)，首先網(wǎng)絡(luò)速度變得非常緩慢，部分計(jì)算機(jī)能夠正常上網(wǎng)，但是會(huì)出現(xiàn)偶爾丟包的現(xiàn)象。例如ping網(wǎng)關(guān)丟包。而其他大部分計(jì)算機(jī)是不能夠正常上網(wǎng)的，掉包現(xiàn)象嚴(yán)重。但是這些不能上網(wǎng)的計(jì)算機(jī)過(guò)一段時(shí)間又能夠自動(dòng)連上。ping網(wǎng)關(guān)地址會(huì)發(fā)現(xiàn)延遲波動(dòng)比較大。另外即使可以正常上網(wǎng)，象諸如郵箱，論壇等功能的使用依然出現(xiàn)無(wú)法正常登錄的問(wèn)題。

　　二，確認(rèn)ARP欺騙病毒發(fā)作：

　　當(dāng)我們企業(yè)網(wǎng)絡(luò)中出現(xiàn)了和上面描述類(lèi)似的現(xiàn)象時(shí)就需要我們?cè)诒緳C(jī)通過(guò)arp顯示指令來(lái)確認(rèn)病毒的發(fā)作了。

　　第一步：通過(guò)“開(kāi)始->運(yùn)行”，輸入CMD指令后回車(chē)。這樣我們將進(jìn)入命令提示窗口。

　　第二步：在命令提示窗口中我們輸入ARP -A命令來(lái)查詢本地計(jì)算機(jī)的ARP緩存信息。在顯示列表中的physical address列就是某IP對(duì)應(yīng)的MAC地址了。如果企業(yè)沒(méi)有進(jìn)行任何MAC與IP地址綁定工作的話，ARP模式列顯示的都是dynamic動(dòng)態(tài)獲得。當(dāng)我們發(fā)現(xiàn)arp -a指令執(zhí)行后顯示信息網(wǎng)關(guān)地址對(duì)應(yīng)的MAC地址和正確的不同時(shí)就可以百分之百的確定ARP欺騙病毒已經(jīng)在網(wǎng)絡(luò)內(nèi)發(fā)作了。例如正常情況下筆者網(wǎng)絡(luò)內(nèi)網(wǎng)關(guān)地址192.168.2.1對(duì)應(yīng)的MAC地址是00-10-5C-AC-3D-0A，然而執(zhí)行后卻發(fā)現(xiàn)192.168.2.1對(duì)應(yīng)的MAC地址為00-10-5c-ac-31-b6。網(wǎng)關(guān)地址MAC信息錯(cuò)誤或變化確認(rèn)是ARP病毒造成的。（如圖1）

　　第三步：我們用筆將錯(cuò)誤的MAC地址記錄下來(lái)，為日后通過(guò)sniffer排查做準(zhǔn)備。

　　接下來(lái)我們就應(yīng)該利用sniffer這個(gè)強(qiáng)大的工具來(lái)找出病毒根源了。

三，從sniffer下手揪出ARP病毒：

　　一般來(lái)說(shuō)最好的辦法是找一臺(tái)沒(méi)有感染病毒的計(jì)算機(jī)連接到企業(yè)核心路由交換設(shè)備的鏡像端口來(lái)抓取數(shù)據(jù)包。如果沒(méi)有鏡像端口直接連接到網(wǎng)絡(luò)中抓取也可以，只是所抓數(shù)據(jù)會(huì)不全，分析問(wèn)題的周期比較長(zhǎng)。

　　第一步：我們按照實(shí)際需要將用來(lái)分析故障的筆記本連接到交換機(jī)的鏡像端口上。運(yùn)行sniffer，在sniffer軟件中打開(kāi)dashboard面板，這個(gè)面板主要是掃描當(dāng)前網(wǎng)絡(luò)中數(shù)據(jù)包的宏觀信息，即什么樣的數(shù)據(jù)包有多少個(gè)。一般來(lái)說(shuō)病毒都是以廣播數(shù)據(jù)包來(lái)傳播的，所以只需要查看每秒網(wǎng)絡(luò)內(nèi)的廣播數(shù)據(jù)包數(shù)量就可以判斷病毒危害的嚴(yán)重與否。在dashboard面板中我們可以看到broadcasts/s處顯示的信息為26個(gè)，也就是說(shuō)對(duì)當(dāng)前網(wǎng)絡(luò)抓取結(jié)果是一秒鐘有26個(gè)廣播數(shù)據(jù)包。和平常比要多一些。（如圖2）

　　第二步：接下來(lái)我們?cè)趕niffer軟件中切換到hosttable主機(jī)列表中，具體查看到底哪個(gè)計(jì)算機(jī)發(fā)送的廣播數(shù)據(jù)包最多。一般來(lái)說(shuō)如果網(wǎng)絡(luò)內(nèi)有蠕蟲(chóng)病毒，那么這臺(tái)主機(jī)的廣播量要遠(yuǎn)遠(yuǎn)大于其他主機(jī)。例如本例中就會(huì)看到有一臺(tái)計(jì)算機(jī)的廣播數(shù)據(jù)包為14344個(gè)，是其他正常計(jì)算機(jī)發(fā)送包的1000倍還多。這樣就可以判斷該計(jì)算機(jī)有問(wèn)題。（如圖3）

　　第三步：我們?cè)趕niffer軟件中切換到協(xié)議分析標(biāo)簽（protocol distribution，從圖中可以看到網(wǎng)絡(luò)內(nèi)ARP數(shù)據(jù)包占用的比例比較大，達(dá)到了12%以上，這也是不正常的。一般來(lái)說(shuō)一個(gè)正常的網(wǎng)絡(luò)應(yīng)該99%以上數(shù)據(jù)包都是IP數(shù)據(jù)包，ARP數(shù)據(jù)包小于1%。（如圖4）

　　第四步：接下來(lái)就該對(duì)嫌疑犯進(jìn)行監(jiān)控了，這在以前的文章中也介紹過(guò)，針對(duì)發(fā)送廣播量最大的主機(jī)進(jìn)行抓包分析，能夠發(fā)現(xiàn)他不斷的欺騙網(wǎng)關(guān)，向外發(fā)送的數(shù)據(jù)包目的地址都是連續(xù)的，聲稱(chēng)他是192.168.2.0/24網(wǎng)段的主機(jī)，從而造成其他主機(jī)無(wú)法和正確網(wǎng)關(guān)進(jìn)行正常通訊，都被他欺騙了。（如圖5）

　　第五步：了解到出現(xiàn)問(wèn)題計(jì)算機(jī)的MAC地址后我們通過(guò)查詢sniffer監(jiān)控的數(shù)據(jù)，特別是查看該MAC和真正網(wǎng)關(guān)地址通訊時(shí)數(shù)據(jù)包的內(nèi)容就可以找到他的IP地址了。當(dāng)然如果企業(yè)有DHCP服務(wù)器的話，也可以到DHCP服務(wù)器的地址租約池中查看該MAC地址對(duì)應(yīng)的IP地址信息。總之我們可以通過(guò)多種方法來(lái)通過(guò)MAC找到IP地址，從而最終確定病毒的根源。

　　第六步：找到了這個(gè)有問(wèn)題的MAC地址和IP地址后我們就可以針對(duì)該計(jì)算機(jī)進(jìn)行斷網(wǎng)隔離殺毒了。殺毒完畢連接到網(wǎng)絡(luò)中問(wèn)題全部解決，網(wǎng)絡(luò)恢復(fù)正常。

　　四，總結(jié)：

　　ARP欺騙病毒的排查和清除方法非常單一，基本上按照本文介紹的方法就可以對(duì)付所有ARP欺騙病毒。這種查殺病毒的步驟也是最穩(wěn)妥和全面的，采取步步為營(yíng)的策略最終定位病毒根源，保證網(wǎng)絡(luò)恢復(fù)正常傳輸?shù)臓顟B(tài)。