如何发现和阻止网络中的ARP病毒

　　很多单位经常会遇到类似这样的情况，例如办公室整体网速过慢、网络连接时断时续，甚至网络整体瘫痪彻底无法上网，这时经验丰富的网络管理员一般都会联想到网络是否出现了ARP病毒。众所周知，一旦网络中某台计算机被ARP的欺骗程序非法侵入后，它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包，从而阻塞网络通道，到底哪台网络设备受到ARP欺骗程序的非法入侵，而查找故障根源将消耗网络管理人员大量的时间。同时，在处理故障的过程中为了防止ARP病毒的传播，网管人员会切断设备间的联系，这又将严重影响正常的网络办公给单位带来损失。针对目前处理ARP病毒的现状，泛普软件 IT综合管理系统（ITmaster）/网络管理系统(Netmaster)在如何定位ARP病毒的发生源及如何阻止ARP病毒的传播做到了质的突破。

定位ARP病毒源
　　首先，在系统分别点击“网络工具→IP-MAC绑定→配置管理”，选择 “配置状态”选项，进入配置状态页面，分别开启“绑定轮训”、“定时轮训”、 “ARP告警配置”（系统默认轮询300秒）。

　　然后，选择“ARP告警配置”选项，进入ARP告警配置页面，开启对网络 ARP状态的监控，并设置相关告警方式。当网络中出现ARP病毒时，即可根据所配置的相关告警方式及通知至运维人员。

　　运维人员则可以根据系统的客户端告警消息框的提示信息，进入基准表输入提示的MAC地址，点击“查询”按钮，即可定位到ARP侵入源是在192.168.101.4设备的 F0/1口。

阻止ARP病毒传播
　　定位了ARP病毒源，下一步我们所要做的就是将病毒隔离，以避免影响其它的网络设备被传播。这时，我们可以点击如上图所示的上联设备IP ：“192.168.101.4”，直接进入该交换机的资源详细界面。

　　在如上图所示的“接口列表”中点击“FastEthernet0/1”接口，进入接口的基本信息页面。如下图所示，点击右侧的“关闭端口”可以对端口进行关闭的操作（注：需配置正确的读写共同体名），这样我们就能及时的阻止病毒的传播，从而降低APR病毒传播的危害程度。

　　除了可以通过以上方式来手动关闭端口以阻止ARP病毒的传播外，我们还可以通过点击“故障管理—告警方式配置”进入告警方式配置页面，勾选“关闭网络端口 ”复选框，点击“确定”。

　　然后，点击“网络工具——IPMAC绑定——配置管理”，进入“ARP告警配置”页面，选择以上告警方式并应用到ARP告警中，最终点击“保存”。

　　我们通过上述的配置后，当系统检测到某个端口出现ARP病毒时，系统则自动将该网络端口关闭并在60秒（可以自定义）后自动开启端口。同时，系统自动记录端口的变动状态，只需点击“网络工具——网络端口变动查询”，进入端口状态变动查询页面，输入相关关键字即可进行查询，查询的结果将显示在“端口状态变动一览”列表中。

　　借助泛普软件IT综合管理系统（ITmaster）/网络管理系统(Netmaster)的IP-MAC功能我们成功实现了对ARP病毒的定位及处理，节省了时间提高了效率，大大减轻了网管人员处理网络故障的繁琐度。

发布：2007-04-29 16:29 编辑：泛普软件 · xiaona [打印此页] [关闭]