实际上，这种病毒早就出现过，这就是ARP地址欺骗类病毒。一些传奇木马 （Trojan/PSW.LMir）具有这样的特性，该木马一般通过传奇外挂、网页木马等方式使局域网中的某台电脑中毒，这样中毒电脑便可嗅探到整个局域 网发送的所有数据包，该木马破解了《传奇》游戏的数据包加密算法，通过截获局域网中的数据包，分析数据包中的用户隐私信息，盗取用户的游戏帐号和密码。在 解析这些封包之后，再将它们发送到真正的网关。这样的病毒有一个令网吧游戏玩家闻之色变的名字：“传奇网吧杀手” ！

七、ARP病毒的网络免疫措施

由于ARP病毒的种种网络特性，可以采用一些技术手段进行网络中ARP病毒欺骗数据包免疫。即便网络中有ARP中毒电脑，在发送欺骗的ARP数据包，其它电脑也不会修改自身的ARP缓存表，数据包始终发送给正确的网关，用的比较多的办法是“双向绑定法” 。

双向绑定法，顾名思义，就是要在两端绑定IP－MAC地址，其中一端是在路由器中， 把所有PC的IP-MAC输入到一个静态表中，这叫路由器IP-MAC绑定。令一端是局域网中的每个客户机，在客户端设置网关的静态ARP信息，这叫PC 机IP-MAC绑定。客户机中的设置方法如下：

新建记事本，输入如下命令：

arp -d
arp -s 192.168.0.1  00-e0-4c-8c-9a-47

其中，“arp –d” 命令是清空当前的ARP缓存表，而“arp -s 192.168.0.1 00-e0-4c-8c-9a-47 ”命令则是将正确网关的IP地址和MAC地址绑定起来，将这个批处理文件放到系统的启动目录中，可以实现每次开机自运行，这一步叫做“固化arp表” 。

“双向绑定法”一般在网吧里面应用的居多。

除此之外，很多交换机和路由器厂商也推出了各自的防御ARP病毒的软硬产品，如：华 为的H3C AR 18-6X 系列全千兆以太网路由器就可以实现局域网中的ARP病毒免疫，该路由器提供MAC和IP地址绑定功能，可以根据用户的配置，在特定的IP地址和MAC地址 之间形成关联关系。对于声称从这个IP地址发送的报文，如果其MAC地址不是指定关系对中的地址，路由器将予以丢弃，是避免IP地址假冒攻击的一种方式。

八、ARP病毒KV解决方案

针对ARP病毒日益猖獗的情况，江民科技推出了整体解决方案：

1.KV杀毒软件每周7天不间断升级病毒库，单机版网络版同步升级，实时拦截来自网络上的各种ARP病毒。

2.针对局域网用户，建议统一部署KV网络版杀毒软件，KV网络版具有全网统一升级病毒库，统一全网杀毒的强大功能，可以彻底查杀来自局域网中的ARP病毒。

3.“KV未知病毒扫描”功能可以识别出绝大多数ARP病毒，KV未知病毒扫描程序采用独特的行为判定技术，可以彻底检测出本机中已知和未知的ARP病毒，协助网络管理员快速清除ARP病毒。

4.特针对企业用户，提供“ARP病毒应急响应服务” ，江民科技网络安全工程师可以上门处理企业用户内网中的ARP病毒，确保快速恢复企业网络的数据通讯安全。

5.KV新版防火墙特增加了ARP病毒防御功能，可以拦截来自局域网中的ARP欺骗数据包，保护本机联网安全。设置界面如图11。

KV新版防火墙增加了ARP攻击防护功能，该功能使用方法也很简单，安装完KV防火墙之后， 点击“设置”按钮，然后勾选“启用攻击防护功能” ，再点击“自动检测本机网络设置” ，程序就会自动获得本机和网关的IP地址和MAC地址，然后点击确定即可。KV防火墙就会实时检测来自网络中的ARP数据包，发现有异常的数据包欺骗，就 会予以拦截，保障本机网络通信安全。

九、关于ARP病毒的网络安全建议

1.在网络正常时候保存好全网的IP—MAC地址对照表，这样在查找ARP中毒电脑时很方便。

2.都全网的电脑都打上MS06-014和MS07-017这两个补丁，包括所有的客户端和服务器，以免感染网页木马。

3.部署网络流量检测设备，时刻监视全网的ARP广播包，查看其MAC地址是否正确。

4.做好IP—MAC地址的绑定工作，对于从这个IP地址发送的报文，如果其MAC地址不是指定关系对中的地址，予以丢弃。

5.部署网络版的杀毒软件，定期升级病毒库，定期全网杀毒。

五、ARP病毒电脑的定位方法

下面，又有了一个新的课题摆在我们面前：如何能够快速检测定位出局域网中的ARP病毒电脑？

面对着局域网中成百台电脑，一个一个地检测显然不是好办法。其实我们只要利用ARP 病毒的基本原理：发送伪造的ARP欺骗广播，中毒电脑自身伪装成网关的特性，就可以快速锁定中毒电脑。可以设想用程序来实现以下功能：在网络正常的时候， 牢牢记住正确网关的IP地址和MAC地址，并且实时监控着来自全网的ARP数据包，当发现有某个ARP数据包广播，其IP地址是正确网关的IP地址，但是 其MAC地址竟然是其它电脑的MAC地址的时候，这时，无疑是发生了ARP欺骗。对此可疑MAC地址报警，在根据网络正常时候的IP－MAC地址对照表查 询该电脑，定位出其IP地址，这样就定位出中毒电脑了。下面详细说一下几种不同的检测ARP中毒电脑的方法。

5.1 命令行法

这种方法比较简便，不利用第三方工具，利用系统自带的ARP命令即可完成。上文已经 说过，当局域网中发生ARP欺骗的时候，ARP病毒电脑会向全网不停地发送ARP欺骗广播，这时局域网中的其它电脑就会动态更新自身的ARP缓存表，将网 关的MAC地址记录成ARP病毒电脑的MAC地址，这时候我们只要在其它受影响的电脑中查询一下当前网关的MAC地址，就知道中毒电脑的MAC地址了，查 询命令为 ARP －a，需要在cmd命令提示行下输入。输入后的返回信息如下：

Internet Address      Physical Address        Type

192.168.0.1          00-50-56-e6-49-56      dynamic