文档介绍:最近一段时间内, 持续发生全国性网吧断线事件, 这起看似疯狂的事件是由 ARP 攻击引起的,由于变种太多,传播速度快,国内外的反病毒厂商都拿这个没招。最近两个月,全国的网吧都出现了典型性断网的现象, 表现为短时间内断网( 全部断网或是部分断网)。网络不稳定, 大部分问题的起源都是由病毒引起的。现在已经开学了, 很多院校附近的网吧将重新迎来客流高峰。大大小小的网吧老板们,心里的日子并不好过。全国性网吧问题石家庄网络王网吧一直以来都为断线事件而头疼, 广东的中山康健网吧也遇到同样的问题。根据他们介绍, 这是一起全国性事件, 各地网吧都存在这种状况, 主要是 ARP 攻击引起的,由于变种太多,传播速度快,国内外的反病毒厂商都拿这个没招。一个小小的 ARP 在短时间内疯狂地搅乱了全国地网吧网络环境。这一段时间以来,全国大大小小的网吧老板们一直饱受这种痛苦的煎熬, 上网老断线, 客源开始日渐流失, 生意也一天不如一天。石家庄网络王网吧技术经理赵磊说, 我们调查过, 发生 ARP 病毒攻击这种问题主要原因是传奇游戏引起的, 特别发生在私服外挂等方面。该病毒主要目的在于破解游戏加密解密算法, 通过截取局域网中的数据包, 然后分析游戏通讯协议的方法截获用户的信息。运行这个病毒,就可以获得整个局域网中游戏玩家的详细信息,盗取用户账号信息。据宏昌网络科技有限公司经理杨晓宇分析,由于网吧中的一些设备如路由器、装有 TCP/IP 协议的电脑等都提供 ARP 缓存表,用来提高通信速度。目前很多带有 ARP 欺骗功能的攻击软件都是利用 ARP 协议的这个特点来对网络设备进行攻击, 通过伪造的 MAC 与局域网内的 IP 地址对应, 并修改路由器或电脑的 ARP 缓存表,使得具有合法 MAC 的电脑无法与 IP 对应,从而无法通过路由器上网。在掉线重启路由器后, ARP 缓存表会自动刷新, 网络会在短时间内恢复正常,待 AR P 攻击启动后, 又重新出现断网现象, 如此反复。很容易被误断为路由器“死机”, 从而使得网吧网管员无法及时采取行动迅速恢复网吧的正常营运。 ARP “堵”死路由根据拥有十年局域网管理经验的赵磊判断, 还有一个原因是因为 MA C 地址冲突引起的, 当带毒机器的 MAC 映射到主机或者路由器之类的 NAT 设备,就会造成全网断线,如果只映射到网内其他机器,则只有这部分机器出问题。杨晓宇说, 就这种情况而言, 如果对 ARP 病毒攻击进行防制的话我们必须得做路由器方面和客户端双方的设置才保证问题的最终解决。所以网吧在选择路由器的时候, 最好看看路由器是否带有防 ARP 病毒攻击的功能。对于已经中了 ARP 攻击的内网,就需要找到攻击源。通过对照网关的 MAC 地址是否和路由器真实的 MAC 相同。如果不是, 则查找这个 MAC 地址所对应的 PC , 查出来的 PC 就是攻击源。实际上, ARP 协议靠维持在内存中保存的一张表来使 IP 得以在网络上被目标机器进行应答。所以, 在局域网中的某台终端, 反复向其他机器特别是向网关发送假冒的 ARP 应答信息包,就会造成严重的网络堵塞现象。有些用户也通过路由器的解决方案,通过在路由器和 PC 机端进行双向绑定 IP 地址与 MAC 地址来完成相应防范工作的,但在路由器端和 PC 端对 IP 地址与 MAC 地址的绑