公司内网ARP病毒防范

背景

在每个公司，ARP病毒防护都是必需要做的，而且随着公司规模的扩大，计算机数量的增加，防护程度也会越来越难，一旦出现ARP***，将可能出现大面积客户端断网的情况，影响公司业务的正常进展，而且严重的可能带来公司机密资料的外泄，造成不可挽回的后果！

我们公司现在也有几十台电脑，所以对ARP的防范也是有必要重视的！

名词解释

ARP协议（Address Resolution Protocol），或称地址解析协议。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。它是IPv4中网络层必不可少的协议，不过在IPv6中已不再适用，并被ICMPv6所替代。

表现症状

上网速度慢，或者网络内共享文件很慢 

―――表现为利用网络抓包工具，抓到局域网中有大量ARP报文 

全网同样配置下，唯独某台电脑无法上网 

―――表现为掉线后，重启电脑或者禁用网卡再启用就恢复正常，但一会又掉线 

大面积同时掉线，或时通时断(即通常说的“卡”)

―――表现为某一片区域，某台网络设备下挂的所有PC出现上网不正常。

电脑挨个掉线，或时通时断(即通常说的“卡”)

―――表现为正在使用某一类应用程序的PC依次掉线

查看ARP信息时，会出现多个IP地址对应同一MAC地址的情况；

―――在命令行输入arp -a

重启电脑或者在DOS窗口下运行“arp -d” 后，又可以恢复上网。

……

ARP 病毒的检测方法及处理方式在公司的实际应用

我们公司在的员工平时应该有防病毒意识，结合我们公司的具体情况，我们在路由器上做了客户端IP与MAC的绑定

默认情况下我们的电脑都没有做过绑定

做完绑定后

在客户端电脑上的设置

当出现上述情况之一时，有可能你的电脑已经感染了ARP病毒或是受到了ARP***。

1、点击开始--运行，输入 CMD 回车，进入命令窗口，输入命令：arp -d 回车

打开浏览器重新尝试上网，若能短暂正常访问，则说明已经感染了ARP病毒，此时打开任务管理器检查是否有 MIR0.dat 进程，如有这个进程，可以直接结束进程。

2、静态ARP绑定网关，先用上面所说方法进入命令窗口，输入命令：arp -a ，查看网关IP192.168.188.1对应的正确 MAC 地址58-66-ba-2e-a8-1c，并记录这一地址！

此时若已经不能上网了，则先运行一次命令：arp -d，清空arp缓存中的内容，立即将网络断开（禁用网卡或拔掉网线）再用 ARP -a 查看正确的网关地址

找到正确的网关IP和MAC地址后，用以下命令进行绑定：

arp -s 网关IP 网关mac

例如：网关IP：192.168.188.1 网关MAC ：58-66-ba-2e-a8-1c

arp -s 192.168.188.1 58-66-ba-2e-a8-1c

3、制作批处理文件

当用以上方式绑定网关，电脑重启后绑定就会消失，因此可以制作一个批处理文件，重启后自动执行绑定。

打开记事本，写入以下内容：

@echo off

arp -d

arp -s 192.168.188.1 58-66-ba-2e-a8-1c

另保存为 arp.bat ，将这个文件拖到“开始---程序---启动”中，下次启动电脑就会自动执行这个文件绑定网关了,上面的IP和MAC是网关的IP与MAC，同时也要在交换机或路由器或防火墙上对每个客户端做IP与MAC绑定，这就是所谓的双向绑定

当然正常的电脑就直接做绑定了，不用判断

以上是对使用XP的员工的电脑设置

公司其他使用win7的员工执行arp -d等有修改动作的操作都要以管理员身份运行

否则会提示ARP项添加失败：请求的操作需要提升

而且arp -s就不能用了，虽然命令解释里还有,会提示ARP项添加失败：拒绝访问

而是要用另一个命令netsh这个命令功能很强，不过相对就复杂很多了

下面的命令查看网卡编号Idx

netsh interface ipv4 show interfaces当然可以简写至netsh i i sh in

或者netsh interface ipv4 show neighbors

记下网卡的Idx,我这里是21

下面的命令绑定IP和MAC

netsh i i set neighbors 21 "192.168.188.1" "58-66-ba-2e-a8-1c" store=persistent

这个是永久绑定，重启电脑后不会失效

相当于netsh -c i i add neighbors 21 网关IP 网关mac

netsh i i set neighbors 21 "192.168.188.1" "58-66-ba-2e-a8-1c" store=active

这个是临时绑定，重启电脑后失效

先看下绑定前的情况

执行命令

绑定后变成静态了

这里成了永久，静态的就会暂时认为永久

删除绑定信息

netsh i i delete neigh 21

也可以是netsh i i reset

不过这个命令比较狠，直接IP也会重置，还要重启生效

4、另外我们还要定时检查局域网病毒，对机器进行病毒扫描，平时给系统安装好补丁程序，用系统自带的更新功能或使用360安全卫士或金山卫士，QQ电脑管家等都可以，最好是局域网内每台电脑保证有杀毒软件（可升级）

5、不要随便点击打开QQ、MSN等聊天工具上发来的链接信息，不要随便打开或运行陌生、可疑文件和程序，如邮件中的陌生附件，外挂程序等

6.当然我也可以通过 设置虚拟网关来防止ARP***

通过执行以上的操作后，基本可以保障公司PC不会轻易中ARP病毒

本文不涉及VLAN之类的技术