共享上网缓慢，ARP病毒竟是“祸首”

鸿鹄

编者按：最近，ARP病毒又大规模爆发了，其主要表现为大家的电脑上网很慢，甚至无法上网。经追查，发现是因为IP地址与MAC地址被ARP病毒搞乱了......
    规模较小的单位或计算机数量不多的办公室，往往会选用共享ADSL设备的方式进行上网，毕竟该上网方式操作简便，而且也比较经济。不过，在共享上网的过程中，我们时常会遇到上网缓慢的现象，例如IE长时间打不开目标网页，本地连接只有发送信息量没有接收信息量等；遇到这些现象时，许多人会下意识地认为ADSL设备发生了断流现象，事实上造成共享上网速度下降的原因有很多，如果我们找不准故障原因的话，很容易在排除故障过程中多走弯路。
    这不，笔者最近遭遇一次共享上网速度下降故障，“罪槐祸首”竟然是局域网中的ARP病毒；现在本文就将该故障现象以及排除过程总结出来，供各位朋友们参考！
    故障：长时间打不开一个网页
    办公室中有三台工作站，通过一个八口交换机与ADSL设备直接相连，从而实现共享ADSL上网的目的。平时，办公室中的每一台工作站上网都很正常；然而在最近一段时间，办公室中的小型局域网却遭遇到一则奇怪的现象，那就是每当笔者使用的工作站后启动的话，那么局域网中所有工作站的上网浏览速度明显变慢，IE浏览器长时间打不开一个网页；当将笔者使用的工作站系统关闭后，其他工作站的网络连接会自动断开，在重新修复本地网络连接后，这些工作站的上网速度又能恢复正常了，也就是说IE浏览器又能快速地打开相同的网页了。
    在其他工作站正常上网的情况下，再次启动笔者的工作站时，整个局域网的上网速度又下降下来了；这种故障现象一直持续了很长时间，笔者尝试了多种办法都无功而返。探究：工作站有ARP病毒？
    从上面的故障描述来看，当笔者使用的工作站不启动时，那么局域网中的其他工作站就能正常上网，而一旦将笔者的工作站接入到局域网中，那么局域网的上网速度立即下降了下来，很明显该故障的症结应该在笔者使用的工作站上。
    由于ADSL设备没有直接与笔者使用的工作站相连，按照道理笔者的工作站开关与否应该与其他工作站的上网速度无关才对；但实际上笔者的工作站系统关闭后，其他工作站竟然出现了明显的掉线故障，再次启动笔者的工作站系统时，其他工作站的上网速度立即又不正常了，依照这一现象笔者到网上进行了相关搜索，根据搜索结果笔者判断自己使用的工作站可能感染了ARP病毒。 分析：IP地址与MAC地址被搞乱了
    为了进一步弄清故障原因，笔者又搜索了ARP病毒的相关资料，通过搜查笔者发现工作站一旦感染了ARP病毒，该病毒就会欺骗局域网中所有工作站以及网络设备，并强制其他工作站通过特定的病毒主机进行网络访问。之所以感染了ARP病毒后，工作站的上网速度会受到明显下降，是因为正常情况下工作站的网卡IP地址与MAC地址是一一对应的，当工作站的网卡设备从局域网的DHCP服务器中获得IP地址后，该地址就会被临时与网卡的MAC地址绑定在一起，同时会被记录保存在本地的ARP映射表中；同时，局域网中其他工作站的IP地址与MAC地址对应关系也会被保存在本地ARP映射表中，如此一来当本地主机向局域网中另外一台主机发送信息时，只要在本地的ARP映射表中找到对应另外一台主机的MAC地址，就能在直接发送的数据包中添加上目标主机的MAC地址信息，然后通过交换机或路由器设备将数据包信息发送到目标主机中。
    每一台工作站为了获取准确的MAC地址信息，往往需要实时更新本地的ARP映射表；如此一来在笔者使用的工作站启动之后，ARP病毒就会自动把该工作站的MAC地址映射到局域网的路由器或交换机设备上，同时向网络中广播大量的ARP数据信息，通知局域网中的其他工作站及时更新各自ARP映射表中的记录内容。
    而当其他工作站更新过ARP映射表之后，就会错误地认为笔者所用工作站就是局域网中的新网关，于是其他工作站就会把上网信息转发到笔者的工作站中，此时笔者工作站中的ARP病毒会智能窃取这些转发信息中的帐号、密码信息，然后再将其他工作站的上网请求信息发送给局域网中的路由器设备，那样一来局域网中其他工作站上网时就相当于将上网请求信息连续转发给两个网关一样，同时ARP病毒还会不停地向局域网通道中发送大量的ARP信息，以致于让其他工作站一直认为笔者的工作站就是网关，于是就构成了恶性循环，最终导致共享上网速度下降，严重的话能产生掉线现象。 应对：阻止ARP病毒的地址欺骗
    找到了共享上网缓慢原因之后，我们只要能够想办法阻止ARP病毒对其他工作站的地址欺骗，就能确保局域网共享上网速度不受影响了。要做到这一点，我们可以按照如下步骤来应对：
    首先登录进局域网中的其他工作站系统中，并依次单击对应系统桌面中的“开始”、“运行”命令，打开系统的运行对话框，并在其中输入字符串命令“cmd”，单击“确定”按钮后，将系统屏幕切换到MS-DOS窗口；在该窗口的命令提示符下，输入字符串命令“ipconfig /all”，单击回车键后，我们会在弹出的图1所示结果界面中，看到该工作站的网卡IP地址以及MAC地址，例如这里的IP地址为“10.176.6.168”、MAC地址为“00-08-02-65-B7-80”；
     图1
    接着在MS-DOS窗口的命令提示符下，执行字符串命令“arp -a”，从随后弹出的结果界面中我们会看到本地局域网的网关IP地址以及MAC地址，假设本地网关的IP地址为“10.176.6.1”，MAC地址为“00-00-5E-00-01-07”，
     如图2所示；
    接下来启动记事本程序，打开文本编辑窗口，并在其中输入如下字符串内容：
    @echo off
    arp -s 10.176.6.1  00-00-5E-00-01-07
    arp -s 10.176.6.168  00-08-02-65-B7-80
    在确认上面的代码输入无误后，依次执行文本编辑窗口中的“文件”/“保存”命令，将上面的代码内容保存成扩展名为BAT的批处理文件，例如这里保存的文件名假设为“aaa.bat”。之后将“aaa.bat”文件拖放到系统开始菜单的“启动”文件夹中，如此一来工作站日后启动成功后，就会自动完成对工作站以及路由器地址的绑定操作，那样的话就能预防ARP病毒的地址欺骗行为了。
    按照相同的操作方法，依次获取局域网中其他工作站的IP地址以及MAC地址，然后生成对应的地址绑定批处理文件，再将批处理文件拖放到各自系统的“启动”文件夹中，这样就能完成所有工作站的地址绑定任务了。
    完成上面的所有操作后，再从http://www.microsoft.com/china/t ... letin/MS06-014.mspx处下载获得MS06-014安全补丁，从http://www.microsoft.com/china/t ... letin/MS07-017.mspx处下载获得MS07-017安全补丁，并将这两个补丁程序分别安装到局域网的所有工作站系统中，这样一来我们日后在上网冲浪时遭受网页木马攻击的机率就大大下降了。之后，升级工作站中的杀毒软件，并对所有工作站进行彻底地病毒查杀操作，以便清除局域网中的ARP病毒以及其他网络病毒，那样的话共享上网速度多半就能恢复正常。