从本机过滤入手根除ARP欺骗蠕虫

核心提示： 第四步：建立完IP地址组后还需要建立MAC地址组，我们通过Rules菜单下建立可信任的MAC Group，从本机过滤入手根除ARP欺骗蠕虫(4)，(如图13)第五步：同样为MAC地址组起一个名字并输入网关设备的真实MAC地址，建立默认规律规则，小提示：本文介绍的方法仅仅是被动的防范方法，网

第四步：建立完IP地址组后还需要建立MAC地址组，我们通过Rules菜单下建立可信任的MAC Group。(如图13)

第五步：同样为MAC地址组起一个名字并输入网关设备的真实MAC地址，建立默认规律规则。(如图14)

第六步：返回到软件的主界面，在network adapters下的rules中建立一个新的ARP规则，记得要在右边选择ARP标签。(如图15)

第七步：在添加规则窗口中选择filtering过滤标签，然后选择前面已经设置好的组让其匹配过滤规则。(如图16)

第八步：在同一个窗口中的actions行动标签中选择“ALLOW”容许，这样只有满足匹配规则的ARP数据包才会发送和接收，其他不满足规则的数据包会被丢弃。(如图17)

第九步：如果网络中存在着ARP欺骗蠕虫病毒的话，我们在打开8Signs Firewall后就会发现LOG日志记录信息中显示出了很多条这种错误不匹配的ARP数据包被丢弃的信息。(如图18)

第十步：最后我们再让8Signs Firewall程序随系统启动或者将其添加到组策略的开机脚本或启动脚本中即可。

至此我们就完成了从本机入手根除ARP欺骗蠕虫的工作，本文介绍的是利用软件防火墙8Signs Firewall的过滤规则来实现根除功能，当然此方法是非常有效的，比纯粹使用arp -s来绑定ARP缓存信息更好，要知道arp -s指令遇到强大一点的ARP病毒后就讲失去作用。

三、总结：

本文仅仅介绍了8Signs Firewall这款软件防火墙，实际上很多软件防火墙都有此功能，我们只需要按照本文的思路到这些防火墙软件中寻找关于ARP信息过滤的功能即可，通过扫描所有发送和接收的ARP数据，来达到过滤效果，将虚假的ARP欺骗数据包阻挡在操作系统之外，让我们企业内部网络更加稳定安全的运行。

小提示：

本文介绍的方法仅仅是被动的防范方法，网络中那台感染了ARP欺骗病毒的机器还会继续发作，所以最关键的是要找出这台机器将他隔离并杀毒。