(浅谈企业网ARP病毒的危害及防治.docVIP

浅谈企业网ARP病毒的危害及防治 （第四采油厂第四油矿） 摘 要：词：　　　　　　　　　　　 在ARP病毒感染的网络中，通常进行ARP欺骗的主机无异常现象，隐蔽性很强，不易被发现，所以在企业网ARP病毒的查杀过程中，如何迅速、准确地定位中毒机器是关键。 经过对ARP病毒欺骗原理的仔细研究并结合我厂企业网实际情况反复试验，现总结出以下几种可以应用在我厂企业网的定位中毒计算机办法： （1）通过访问核心交换机分析定位。从核心交换机读取全厂企业网所有主机的ARP缓存表，然后根据ARP病毒工作原理，找出具有不同IP地址,相同MAC地址的所有主机，此相同的MAC即为进行ARP欺骗的中毒计算机的真实MAC地址，接下来根据已备份全厂计算机的正确IP-MAC地址表，即可迅速定位中毒主机。 （2）对受病毒影响的主机进行分析，从中提取证据定位中毒主机。具体操作是：在受ARP病毒欺骗的计算机上，点击“开始”——“运行”——敲入“command”命令——弹出DOS窗口——敲入命令“arp -a”（显示本机arp缓存表），根据显示的arp表可以分析并发现中毒计算机的IP地址，完成中毒主机的定位。 （3）利用Sniffer软件侦听网络中的ARP数据包，分析并定位中毒主机。如果ARP欺骗病毒在进行部分网段或整个网段欺骗，那么发送的ARP数据包必定为广播包，所以可以在受影响的主机上安装Sniffer软件进行侦听，便可发现ARP欺骗源。 4.2ARP病毒的查杀 定位企业网中发送ARP欺骗的主机后，就应该立即将该计算机从网络中断掉，减少病毒对网络的危害。而后，对中毒计算机进行病毒的查杀。 目前，我厂对ARP病毒的查杀主要有以下几种方式： （1）利用Symantec Antivirus防病毒软件查杀。Symantec Antivirus是中石油统一布置的企业网防病毒软件，是股份公司内控要求的入网计算机必须安装的软件。据我厂ARP病毒查杀记录统计表明，经过及时更新病毒库的Symantec软件可以发现85%的ARP病毒，可以杀掉70%的ARP病毒。 （2）采用安全卫士360查杀。安全卫士360一款免费的病毒查杀、插件清理、补丁检测软件，它可以对系统的进程、服务和启动项等病毒经常入侵的系统项目进行管理，可以利用安全卫士360对ARP病毒直接查杀或配合Symantec Antivirus防病毒软件使用。 （3）下载专杀工具查杀。对于不同种类的ARP病毒，各大防病毒软件公司通常会及时发布相应的专杀工具，用户可以在网上下载后杀毒。目前使用较多的为Antiarp安全软件、趋势ARP病毒专杀等。 4.3 软件清除 在确定了病毒机之后，断开其网络，再用专门的ARP病毒清除软件(ARP专杀、anti-ARP等)进行查杀，之后重启机器即可。论文检测，清除方法。　　随着计算机技术的发展，ARP病毒也在不断变异中，甚至嵌入其它病毒，给局域网安全带来新的挑战。网络的安全需要广大网络用户和管理员共同努力，密切配合，提高警惕，加强安全意识，营造良好的上网环境，减少ARP病毒对网络的影响。 参考文献 [1]Tanenbaum，A．S著，潘爱民译．计算机网络(第4版)[M]．北京： 清华大学出版社，2004;[2]李俊民，郭丽艳．网络安全与黑客攻防宝典[M]．北京：电子工业出版社，2010; [3]王文寿，王珂．网管员必备宝典—网络安全[M]．北京：清华大学出版社，2007; [4]宋志．一种基于PVLAN的反ARP欺骗的技术实现方法[J]．计算机安全，2007，(10);