ARP欺骗病毒从2006年上半年开始出现以来，已经对广大网络用户产生了巨大的影响，网络频繁的出现时通时断的现象,已经让很多网络用户深恶痛绝.下面我们将对ARP欺骗病毒的为害原理进行分析说明，并给出相应的防范解决办法。

一、ARP欺骗病毒的工作原理

ARP欺骗病毒其实分为2大类,一类是欺骗网关的ARP欺骗病毒,另一类是欺骗客户机的ARP欺骗病毒.它们的欺骗原理和防范方法分别是:

Ø        欺骗网关的ARP欺骗病毒

欺骗原理:欺骗机P，将自己的MAC地址广播给网关G，并告诉网关G，A,B,C的IP地址对应的MAC地址均为MAC-P。导致ABC上网无法收到AC回包。

防护原理：防止网关被欺骗,即网关设备不接受不请自来的ARP广播或应答，网关设备请求某个IP的MAC地址时，如果有多个不同回复，回复多次的机器为欺骗者。

Ø        欺骗客户机的ARP欺骗病毒

欺骗原理：欺骗机P，将自己的MAC地址广播给客户端A,B,C，告诉客户端A,B,C，G的MAC地址是MAC-P。导致本来从A,B,C发送到G的数据没有到达G，而是到达了P。

防护原理：网关设备定期广播自己的MAC地址。安装客户端插件，静态绑定客户机的ARP表。

建议使用具有上述防护原理的网关设备来防范日益猖獗的ARP欺骗病毒，当然，做好网络内所有机器的防病毒工作和管理工作（比如对网络内的每台机器的IP地址和MAC地址等做详细的登记），也是和采购新型防ARP欺骗病毒的网关设备一样重要的，只有这样，才能将ARP欺骗病毒的危害降低到最小，甚至做到消除其影响。

二、ARP欺骗病毒查杀防范案例

网信安盟强烈推荐使用深信服上网行为管理设备（AC）来彻底防范ARP欺骗病毒对网络的危害，如下面的2个图所示，是在使用该设备后网络中的ARP欺骗病毒暴发时的效果：

    在上图中，在时延为2-4ms时，客户机的ARP缓存里记录的网关的MAC地址为正常的深信服AC设备的MAC地址，而在时延达到几十甚至几ms时，客户机的ARP缓存则是另一台中毒机器的MAC地址替代了网关的MAC地址。

在上图中，我们可以看到深信服AC产品的防ARP欺骗模块确实起作用了，不过其广播自身的MAC的会有间隔速度，AC的防ARP欺骗模块每几秒钟会发广播向所有客户机通告自己的MAC地址，但在此同时，中毒的机器也在不停广播自己的MAC地址用以欺骗广大客户机，所以只是在AC广播的间隙的那几秒钟时间里，客户机是被中毒机器欺骗的。

版权所有 2001－2009 北京网信安盟科技有限公司