【IT168 专稿】ARP欺骗病毒的威力不需要笔者多说，特别是现在很多类似ARP病毒都具备了蠕虫特性，应对起来更加麻烦。虽然在前面几篇文章中笔者为各位IT168的读者介绍过如何应对企业内网出现的ARP欺骗病毒，不过大多数情况都需要我们在核心交换机上针对MAC地址进行过滤或绑定，如果我们没有交换机的管理权限又该如何呢？今天就让我们从本机过滤入手根除ARP欺骗蠕虫吧。

　　一，安装8Signs Firewall过滤软件：

　　本文介绍的重点是从本机来过滤掉虚假的错误的ARP欺骗数据包，我们通过名为8Signs Firewall的软件来实现此功能。他是一款简单易用的软件网络防火墙，使用它可以帮助用户限制非法的网络连接访问本地资源，另外他还可以帮助用户限制本地电脑访问网络中的不良资源。

　　8Signs Firewall小档案：
　　软件版本：V3.01a Beta
　　软件大小： 5351 KB
　　软件语言： 英文
　　软件类别： 国外软件 / 共享版 / 网络安全
　　应用平台： Win9x/NT/2000/XP/2003
　　下载地址：
　　http://cnc.skycn.com/soft/15172.html

　　第一步：运行8Signs Firewall安装程序，我们使用的是V3.01a Beta版本，点“NEXT”按钮继续。（如图1）

　　第二步：同意安装协议后选择安装目录，默认路径是c:\program files\8signs firewall。点“NEXT”按钮继续。（如图2）

　　第三步：设置完毕后准备开始安装软件，复制必须文件到本地硬盘。（如图3）

　　第四步：接下来是写入注册表，自启动服务及其相关进程，弹出对话框针对8Signs Firewall进行初始化设置。首先设置该软件的使用用户，我们选择第一个“Make my ruleset for me”（对本帐户设置规则）即可。（如图4）

　　第五步：该软件支持远程管理功能，我们可以通过设置的密码和默认管理端口来远程控制和监听。当然对于大多数情况我们不需要此功能，直接选择“NO”即可。（如图5）

　　第六步：设置该软件防火墙的启动方式，YES是随系统启动而启动。（如图6）

　　第七步：最后是关键的一步，一定不能够选错，他是让你设置默认情况下如果防火墙没有开启，那么是容许通讯还是阻止通讯。这个要根据实际使用来决定，笔者建议大家选择ALLOW容许，否则无法上网，防火墙又没开着就比较难找到问题根源了。（如图7）

　　第八步：安装完毕后要求重新启动计算机才能够让设置生效，点“Finish”按钮结束安装操作。（如图8）

　　至此我们就完成了8Signs Firewall软件防火墙的安装工作，接下来就由他来帮助我们根除ARP欺骗蠕虫病毒了。

　　二，从本机过滤入手根除ARP欺骗蠕虫：

　　ARP欺骗病毒的发作关键在于欺骗ARP映射表，让网关地址对应的MAC信息指向了错误的地址。当我们执行arp -a查看本地ARP缓存时应该可以看到不同IP地址对应同一个MAC地址的情况，特别是网关地址存在这种对应关系。（如图9）

　　要想对付这种错误绑定关系的话，我们可以使用8Signs Firewall中的规律规则。

　　第一步：安装好后重新启动计算机，之后启动8Signs Firewall程序将原来firewall默认的ARP规则禁止或删除掉，直接在上面选择ARP标签和对应的规则点右键选择disable即可禁用。（如图10）

　　第二步：然后在Rule菜单下建立可信任的IP Address Group，为建立的地址组起一个名字。（如图11）

　　第三步：在刚建立的地址组中添加一个IP对应信息，即加入网关的IP地址。（如图12）

　　第四步：建立完IP地址组后还需要建立MAC地址组，我们通过Rules菜单下建立可信任的MAC Group。（如图13）

　　第五步：同样为MAC地址组起一个名字并输入网关设备的真实MAC地址，建立默认规律规则。（如图14）

　　第六步：返回到软件的主界面，在network adapters下的rules中建立一个新的ARP规则，记得要在右边选择ARP标签。（如图15）

　　第七步：在添加规则窗口中选择filtering过滤标签，然后选择前面已经设置好的组让其匹配过滤规则。（如图16）

　　第八步：在同一个窗口中的actions行动标签中选择“ALLOW”容许，这样只有满足匹配规则的ARP数据包才会发送和接收，其他不满足规则的数据包会被丢弃。（如图17）

　　第九步：如果网络中存在着ARP欺骗蠕虫病毒的话，我们在打开8Signs Firewall后就会发现LOG日志记录信息中显示出了很多条这种错误不匹配的ARP数据包被丢弃的信息。（如图18）

　　第十步：最后我们再让8Signs Firewall程序随系统启动或者将其添加到组策略的开机脚本或启动脚本中即可。

　　至此我们就完成了从本机入手根除ARP欺骗蠕虫的工作，本文介绍的是利用软件防火墙8Signs Firewall的过滤规则来实现根除功能，当然此方法是非常有效的，比纯粹使用arp -s来绑定ARP缓存信息更好，要知道arp -s指令遇到强大一点的ARP病毒后就讲失去作用。

　　三，总结：
　　本文仅仅介绍了8Signs Firewall这款软件防火墙，实际上很多软件防火墙都有此功能，我们只需要按照本文的思路到这些防火墙软件中寻找关于ARP信息过滤的功能即可，通过扫描所有发送和接收的ARP数据，来达到过滤效果，将虚假的ARP欺骗数据包阻挡在操作系统之外，让我们企业内部网络更加稳定安全的运行。

　　小提示：
　　本文介绍的方法仅仅是被动的防范方法，网络中那台感染了ARP欺骗病毒的机器还会继续发作，所以最关键的是要找出这台机器将他隔离并杀毒。