我在网络维护工作中遇到过三种类型的ARP病毒:
  第一种:病毒主机只冒充网关IP地址。我们在核心三层交换机上可以看到病毒主机与网关地址冲突的日志,我们通过其MAC地址就能找到病毒主机所在的交换机,然后把端口shutdown,消除病毒主机对网络的影响,然后就可以去上门杀毒。如果其他用户的电脑事先把网关的MAC地址做了ARP绑定,那么病毒主机其实就影响不到它。安装了AntiARP之类的软件也能起到预防的效果。
  第二种:病毒主机疯狂地与全网所有IP地址进行冲突。我们在核心交换机上可以看到大量的IP冲突信息,而且遭受冲突的IP地址是一轮一轮循环的,但所有的冲突源却都是同一个MAC地址,那就是病毒主机。遭受到IP冲突***的电脑往往会突然有几秒钟网络不通,然后恢复正常,几分钟后,下一轮冲突开始,又会断网几分钟,比较烦人。同样,我们可以通过MAC地址就找到病毒主机所在的交换机,然后把端口shutdown,消除病毒主机对网络的影响,然后就可以去上门杀毒。对于这一种病毒,即使装了AntiARP之类的软件,效果也不大,甚至在交换机上做MAC地址绑定都用处不大,只能尽早发现病毒源尽快处理才行。
  第三种:这是目前最厉害的ARP病毒,它可以进行双向ARP欺骗。病毒主机随机选择一些内网的在线主机进行欺骗,告诉它们病毒主机就是防火墙,然后它又欺骗防火墙,说那些被骗的主机的MAC地址都是我病毒主机的MAC地址。这样一来,防火墙就不认识那些被骗的主机了,被骗的主机发出的数据包都会经过病毒主机转发,而防火墙返回的数据包也都会经病毒主机转发,病毒主机就可以从数据包中抓取游戏帐号密码等信息。当网络中出现这样的ARP病毒时,我在核心交换机上根本就看不到任何相关的日志信息,为病毒检测带来了很大的麻烦。而且这种病毒是随机选择欺骗一些主机,而不是全网欺骗,所以有的用户反应有时突然不能上网,但过一阵子就好了,让维护人员不好判断故障。可以说这种病毒相当厉害,几乎无法预防,因为就算电脑上装了AntiARP软件或者事先绑定了防火墙的MAC地址也完全没用,因为防火墙它自己也被骗了,你认得防火墙,可防火墙不认得你。如果你没绑定防火墙的MAC地址,病毒主机欺骗你时,你其实依然可以上网,只是数据包都经过病毒主机转发,如果你事先绑定了防火墙的MAC地址,那病毒主机同时欺骗你和防火墙时,你就无法上网了。