局域网arp欺骗病毒查找预防方法

　　案例：

　　某企业用户反映，其内部局域网用户无论访问那个网站，KV杀毒软件均报病毒：Exploit.ANIfile.o 。

　　在经过对该局域网分析之后，发现该局域网中有ARP病毒电脑导致其它电脑访问网页 时，返回的网页带毒，并且该带毒网页通过MS06-014和MS07-017漏洞给电脑植入一个木马下载器，而该木马下载器又会下载10多个恶性网游木 马，可以盗取包括魔兽世界，传奇世界，征途，梦幻西游，边锋游戏在内的多款网络游戏的帐号和密码，对网络游戏玩家的游戏装备造成了极大的损失。被ARP病 毒电脑篡改的网页如图4。

　　图4 被ARP病毒插入的恶意网址连接

　　从图4中可以看出，局域网中存在这样的ARP病毒电脑之后，其它客户机无论访问什么网页，当返回该网页时，都会被插入一条恶意网址连接，如果用户没有打过相应的系统补丁，就会感染木马病毒。

　　五、ARP病毒电脑的定位方法

　　下面，又有了一个新的课题摆在我们面前：如何能够快速检测定位出局域网中的ARP病毒电脑？

　　面对着局域网中成百台电脑，一个一个地检测显然不是好办法。其实我们只要利用ARP 病毒的基本原理：发送伪造的ARP欺骗广播，中毒电脑自身伪装成网关的特性，就可以快速锁定中毒电脑。可以设想用程序来实现以下功能：在网络正常的时候， 牢牢记住正确网关的IP地址和MAC地址，并且实时监控着来自全网的ARP数据包，当发现有某个ARP数据包广播，其IP地址是正确网关的IP地址，但是 其MAC地址竟然是其它电脑的MAC地址的时候，这时，无疑是发生了ARP欺骗。对此可疑MAC地址报警，在根据网络正常时候的IP－MAC地址对照表查 询该电脑，定位出其IP地址，这样就定位出中毒电脑了。下面详细说一下几种不同的检测ARP中毒电脑的方法。