ARP地址欺騙類(lèi)似病毒(簡(jiǎn)稱(chēng)ARP病毒)是一種特殊的病毒，一般屬于木馬(Trojan)病毒不具備主動(dòng)傳播的特性，不會(huì)自我復(fù)制。Arp病毒不是某一種病毒的名稱(chēng)，而是利用arp協(xié)議的漏洞進(jìn)行傳播的一類(lèi)病毒的總稱(chēng)。

ARP病毒

Arp協(xié)議是TCP/IP協(xié)議組的一種協(xié)議，用于將網(wǎng)絡(luò)地址轉(zhuǎn)換為物理地址（又稱(chēng)MAC地址）通常，這種攻擊有兩種方法：路由欺騙和網(wǎng)關(guān)欺騙。It 這是一種入侵計(jì)算機(jī)的特洛伊病毒。這對(duì)計(jì)算機(jī)用戶的私人信息是一個(gè)巨大的威脅。但由于它在攻擊時(shí)會(huì)向全網(wǎng)發(fā)送偽造的ARP數(shù)據(jù)包，干擾全網(wǎng)的運(yùn)行，所以其危害比某些蠕蟲(chóng)要嚴(yán)重得多。

ARP病毒

主要原因是局域網(wǎng)內(nèi)有人使用了ARP欺騙木馬程序，比如一些盜取號(hào)碼的軟件。

傳說(shuō)中的外掛攜帶ARP木馬攻擊在局域網(wǎng)中使用插件時(shí)，插件攜帶的病毒會(huì)將機(jī)器的MAC地址映射到網(wǎng)關(guān)的IP地址，并向局域網(wǎng)發(fā)送大量ARP數(shù)據(jù)包，導(dǎo)致同一網(wǎng)段的其他機(jī)器誤將其作為網(wǎng)關(guān)當(dāng)斷開(kāi)時(shí)，內(nèi)部網(wǎng)是可互操作的，但是計(jì)算機(jī)可以 不要上網(wǎng)。方法是可以上網(wǎng)的時(shí)候輸入MS-DOS窗口，輸入命令：arp –檢查與網(wǎng)關(guān)IP對(duì)應(yīng)的正確MAC地址，并記錄下來(lái)如果互聯(lián)網(wǎng)不再可用，首先運(yùn)行命令arp –d刪除arp緩存中的內(nèi)容，電腦可以暫時(shí)恢復(fù)上網(wǎng)一旦它可以上網(wǎng)，就會(huì)立刻斷網(wǎng)，禁用網(wǎng)卡或者拔掉網(wǎng)線，然后運(yùn)行arp –a。

如果你有正確的網(wǎng)關(guān)MAC地址，當(dāng)你可以 t訪問(wèn)互聯(lián)網(wǎng)，您可以手動(dòng)將網(wǎng)關(guān)IP與正確的MAC綁定，以確保計(jì)算機(jī)不會(huì)受到攻擊?？稍贛S-在DOS窗口中運(yùn)行以下命令：arp –S 網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC。如果被攻擊，用這個(gè)命令檢查，會(huì)發(fā)現(xiàn)MAC已經(jīng)被攻擊機(jī)器的MAC替換了，記錄MAC備查。找出病毒計(jì)算機(jī)：如果你有病毒電腦的MAC地址，可以用NBTSCAN軟件找出網(wǎng)段中MAC地址對(duì)應(yīng)的IP，也就是病毒電腦的IP地址。

當(dāng)局域網(wǎng)內(nèi)的一臺(tái)電腦運(yùn)行這種ARP欺騙木馬時(shí)，以前其他用戶都是直接通過(guò)路由器上網(wǎng)，現(xiàn)在則轉(zhuǎn)而通過(guò)病毒主機(jī)上網(wǎng)切換時(shí)，用戶會(huì)斷開(kāi)一次。

切換到病毒主機(jī)上網(wǎng)后，如果用戶已經(jīng)登錄了傳說(shuō)中的服務(wù)器，那么病毒主機(jī)往往會(huì)偽造斷線的假象，這樣用戶就要重新登錄傳說(shuō)中的服務(wù)器，這樣病毒主機(jī)就可以盜號(hào)了。

由于ARP欺騙木馬的攻擊，會(huì)發(fā)出大量數(shù)據(jù)包，導(dǎo)致局域網(wǎng)通信擁塞，用戶會(huì)感覺(jué)上網(wǎng)速度越來(lái)越慢。當(dāng)木馬停止運(yùn)行后，用戶會(huì)從路由器恢復(fù)上網(wǎng)，切換過(guò)程中用戶會(huì)再次斷網(wǎng)。

電腦一開(kāi)機(jī)就發(fā)送Arp欺騙消息，也就是用偽造的網(wǎng)卡物理地址向同一個(gè)子網(wǎng)的其他機(jī)器發(fā)送Arp欺騙消息，甚至假冒這個(gè)子網(wǎng)內(nèi)網(wǎng)關(guān)的物理地址欺騙其他機(jī)器，讓網(wǎng)絡(luò)內(nèi)的其他機(jī)器通過(guò)病毒主機(jī)替代訪問(wèn)互聯(lián)網(wǎng)在從真網(wǎng)關(guān)切換到假網(wǎng)關(guān)的過(guò)程中，其他機(jī)器會(huì)斷開(kāi)一次。如果病毒機(jī)突然關(guān)機(jī)或者下線，其他機(jī)器會(huì)重新搜索真正的網(wǎng)關(guān)，然后再次斷網(wǎng)。所以，只要某個(gè)子網(wǎng)中有一臺(tái)或多臺(tái)這樣的病毒機(jī)，其他人就會(huì)間歇性上網(wǎng)，嚴(yán)重時(shí)會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。這種病毒（木馬）除了影響他人 訪問(wèn)互聯(lián)網(wǎng)，它還可以從病毒機(jī)和同一子網(wǎng)的其他機(jī)器上竊取用戶帳戶和密碼（比如QQ和網(wǎng)游）為此，它發(fā)送一個(gè)Arp消息，具有一定的保密性如果不占用大量系統(tǒng)資源，不被殺毒軟件監(jiān)控，一般用戶不容易察覺(jué)。這種病毒主要發(fā)生在開(kāi)學(xué)時(shí)的學(xué)生宿舍根據(jù)最近的一項(xiàng)調(diào)查，它已經(jīng)蔓延到辦公區(qū)和員工住宅，而且越來(lái)越嚴(yán)重。

經(jīng)過(guò)抽樣測(cè)試，賽門(mén)鐵克殺毒軟件企業(yè)版10由學(xué)校提供.0可以有效查殺已知的ARP欺騙病毒（木馬）病毒。惡意軟件在國(guó)際上沒(méi)有明確的定義，目前也沒(méi)有一款殺毒軟件能提供100%防止其攻擊的解決方案需要借助一些輔助工具進(jìn)行清理。

唐 不要將網(wǎng)絡(luò)安全信任關(guān)系建立在ip或MAC上。

設(shè)置靜態(tài)MAC-IP映射表不要讓主機(jī)刷新你設(shè)置的轉(zhuǎn)換表。

除非必要，否則停止使用ARP，并將ARP作為永久條目保存在相應(yīng)的表中。

使用ARP服務(wù)器。確保這個(gè)ARP服務(wù)器沒(méi)有被黑。

使用“proxy”代理IP傳輸。

用硬件屏蔽主機(jī)。

定期從響應(yīng)的IP數(shù)據(jù)包中獲取rarp請(qǐng)求，并檢查arp響應(yīng)的真實(shí)性。

定期輪詢以檢查主機(jī)上的ARP緩存。

使用防火墻持續(xù)監(jiān)控網(wǎng)絡(luò)。

一般出現(xiàn)局域網(wǎng)

網(wǎng)吧用戶一般可以使用ROS路由綁定，在主機(jī)上安裝ARP防火墻服務(wù)器，在客戶端安裝client雙相綁定更安全。

建議使用雙向綁定來(lái)解決和防止ARP欺騙。在電腦上綁定路由器的IP和MAC地址

首先，獲取路由器的MAC地址 的內(nèi)部網(wǎng)（例如HiPER網(wǎng)關(guān)地址192.168.16.254的MAC地址是0022aa0022aa局域網(wǎng)端口MAC地址）

寫(xiě)一個(gè)批處理文件rarp.bat內(nèi)容如下：

echo off

arp -d

arp -s 192.168.16.(254 00)22-aa-00-22-aa

只需將網(wǎng)關(guān)IP和MAC更改為您自己的網(wǎng)關(guān)IP和MAC，并讓此文件開(kāi)始運(yùn)行（拖到“開(kāi)始-程序-啟動(dòng)”

自己手動(dòng)清除病毒：

1立即升級(jí)操作系統(tǒng)中的殺毒軟件和防火墻，同時(shí)打開(kāi)“實(shí)時(shí)監(jiān)控”實(shí)時(shí)攔截局域網(wǎng)中各種ARP病毒變種的功能。

2根據(jù)自己的操作系統(tǒng)版本，立即下載微軟MS06-014和MS07-017兩個(gè)系統(tǒng)漏洞補(bǔ)丁，安裝在局域網(wǎng)中存在這兩個(gè)漏洞的計(jì)算機(jī)系統(tǒng)上，防止病毒變種的感染和傳播。

14檢查是否已經(jīng)中毒：

a. 在設(shè)備管理器中，單擊“查看—顯示隱藏的設(shè)備”

b. 在設(shè)備樹(shù)結(jié)構(gòu)中，打開(kāi)“非即插即用設(shè)備”

c. 查一下是否存在：網(wǎng)絡(luò)組 數(shù)據(jù)包 過(guò)濾器 驅(qū)動(dòng)程序”或“網(wǎng)絡(luò)組 數(shù)據(jù)包 過(guò)濾器”如果存在，說(shuō)明已經(jīng)中毒了。

2對(duì)于沒(méi)有中毒的機(jī)器，可以下載軟件Anti ARP Sniffer，填寫(xiě)網(wǎng)關(guān)，開(kāi)啟自動(dòng)防護(hù)，保護(hù)好自己的ip地址和網(wǎng)關(guān)地址，保證正常上網(wǎng)。

5您可以通過(guò)以下方式手動(dòng)刪除中毒計(jì)算機(jī)中的病毒：

⑴刪除：windows%system32\LOADHW.EXE （有些電腦可能不會(huì)）

⑵a. 在設(shè)備管理器中，單擊“查看—顯示隱藏的設(shè)備”

b. 在設(shè)備樹(shù)結(jié)構(gòu)中，打開(kāi)“非即插即用設(shè)備”

c. 找到“網(wǎng)絡(luò)組 數(shù)據(jù)包 過(guò)濾器 驅(qū)動(dòng)程序”或“網(wǎng)絡(luò)組 數(shù)據(jù)包 過(guò)濾器”

d. 右擊，”卸載”

e. 重啟系統(tǒng)

⑶刪除：windows%system32\drivers\npf.sys

⑷刪除%windows%system32\msitinit.dll（有些電腦可能不會(huì)）

5刪除注冊(cè)表服務(wù)密鑰：開(kāi)始〉運(yùn)行〉regedit〉打開(kāi)，進(jìn)入注冊(cè)表，并在整個(gè)注冊(cè)表中搜索npf.Sys，刪除文件所在的整個(gè)文件夾Npf.應(yīng)該有2個(gè)）至此，arp病毒被清除.

6根據(jù)經(jīng)驗(yàn)，病毒會(huì)下載大量病毒木馬和惡意軟件，修改winsocks，導(dǎo)致網(wǎng)頁(yè)和netmeeting無(wú)法打開(kāi)因此，需要完成以下步驟：

a.用殺毒軟件清理惡意軟件和木馬。

1、網(wǎng)上銀行、游戲和QQ賬號(hào)頻繁丟失

為了獲取非法利益，一些人利用ARP欺騙程序在網(wǎng)絡(luò)中進(jìn)行非法活動(dòng)這類(lèi)程序的主要目的是破解賬號(hào)登錄時(shí)的加解密算法，攔截局域網(wǎng)內(nèi)的數(shù)據(jù)包，進(jìn)而攔截用戶 通過(guò)分析數(shù)據(jù)通信協(xié)議來(lái)獲取用戶信息。通過(guò)運(yùn)行這種木馬病毒，你可以獲得互聯(lián)網(wǎng)用戶的詳細(xì)信息把整個(gè)局域網(wǎng)的賬號(hào)都偷出來(lái)。

2、網(wǎng)速時(shí)快時(shí)慢，極不穩(wěn)定，但單機(jī)測(cè)試光纖數(shù)據(jù)時(shí)一切正常

權(quán)限域內(nèi)的計(jì)算機(jī)被ARP欺騙程序非法入侵后，會(huì)持續(xù)向網(wǎng)絡(luò)中的所有計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備發(fā)送大量非法ARP欺騙數(shù)據(jù)包，阻塞網(wǎng)絡(luò)通道，造成網(wǎng)絡(luò)設(shè)備過(guò)載，網(wǎng)絡(luò)通信質(zhì)量不穩(wěn)定。

3、頻繁地區(qū)或整個(gè)局域網(wǎng)斷網(wǎng)，重啟電腦或網(wǎng)絡(luò)設(shè)備后恢復(fù)正常

帶有ARP欺騙程序的電腦在網(wǎng)絡(luò)中通訊時(shí)，會(huì)導(dǎo)致頻繁斷網(wǎng)出現(xiàn)此類(lèi)問(wèn)題后重啟電腦或禁用網(wǎng)卡會(huì)暫時(shí)解決問(wèn)題，但斷網(wǎng)還是會(huì)發(fā)生。

網(wǎng)絡(luò)模型簡(jiǎn)介

arp病毒

眾所周知，根據(jù)OSI (開(kāi)放 系統(tǒng) 互連 參考 模型開(kāi)放系統(tǒng)互聯(lián)參考模型) ，網(wǎng)絡(luò)系統(tǒng)可以分為七層，每層運(yùn)行不同的協(xié)議和服務(wù)，上下兩層相互配合完成網(wǎng)絡(luò)數(shù)據(jù)交換的功能。

然而，OSI模型只是一個(gè)參考模型，而不是應(yīng)用于實(shí)際網(wǎng)絡(luò)的模型。事實(shí)上，最廣泛使用的商業(yè)網(wǎng)絡(luò)模型是TCP/IP架構(gòu)模型將網(wǎng)絡(luò)分為四層，每層也運(yùn)行不同的協(xié)議和服務(wù)。

協(xié)議簡(jiǎn)介

眾所周知，在局域網(wǎng)中，一臺(tái)主機(jī)要想和另一臺(tái)主機(jī)通信，就必須知道目標(biāo)主機(jī)的IP地址而局域網(wǎng)中最終負(fù)責(zé)傳輸數(shù)據(jù)的網(wǎng)卡等物理設(shè)備并不識(shí)別IP地址，只識(shí)別其硬件地址，即MAC地址。MAC地址是48位，通常表示為12個(gè)十六進(jìn)制數(shù)，并且在每?jī)蓚€(gè)十六進(jìn)制數(shù)之間使用“或冒號(hào)，如：00-0B-2F-13-1A-11是MAC地址。每個(gè)網(wǎng)卡都有其全球唯一的MAC地址，網(wǎng)卡之間發(fā)送的數(shù)據(jù)只能根據(jù)對(duì)方網(wǎng)卡的MAC地址發(fā)送這時(shí)候就需要一個(gè)協(xié)議來(lái)把高層數(shù)據(jù)包中的IP地址轉(zhuǎn)換成低層的MAC地址，這個(gè)重要的任務(wù)就由ARP協(xié)議來(lái)完成。

空襲預(yù)防措施全稱(chēng)為地址 分辨率 協(xié)議,地址解析協(xié)議。所謂“地址解析”是主機(jī)在發(fā)送數(shù)據(jù)包之前，將目的主機(jī)的IP地址轉(zhuǎn)換成目的主機(jī)的MAC地址的過(guò)程。ARP協(xié)議的基本功能是通過(guò)目標(biāo)設(shè)備的IP地址查詢目標(biāo)設(shè)備的MAC地址，保證通信的暢通。這時(shí)候就涉及到一個(gè)問(wèn)題一個(gè)局域網(wǎng)至少有幾臺(tái)電腦，也有幾百臺(tái)電腦你怎么能準(zhǔn)確地記住其他電腦的MAC地址的網(wǎng)卡以便發(fā)送數(shù)據(jù)？這就涉及到另一個(gè)概念，ARP緩存表。在局域網(wǎng)內(nèi)的任何一臺(tái)主機(jī)中，都有一個(gè)ARP緩存表，存儲(chǔ)著這個(gè)網(wǎng)絡(luò)中每臺(tái)計(jì)算機(jī)的ip地址和MAC地址的對(duì)比關(guān)系。當(dāng)這臺(tái)主機(jī)向同一局域網(wǎng)內(nèi)的另一臺(tái)主機(jī)發(fā)送數(shù)據(jù)時(shí)，會(huì)根據(jù)ARP緩存表中的對(duì)應(yīng)關(guān)系進(jìn)行發(fā)送。

接下來(lái)，我們用一個(gè)模擬的局域網(wǎng)環(huán)境來(lái)說(shuō)明ARP欺騙的過(guò)程。

欺騙過(guò)程

想象一個(gè)僅由三臺(tái)計(jì)算機(jī)組成的局域網(wǎng)，它由交換機(jī)組成(Switch)連接。其中一臺(tái)電腦叫做A，代表攻擊者；一臺(tái)電腦叫S，代表源主機(jī)，也就是發(fā)送數(shù)據(jù)的電腦；另一臺(tái)電腦叫D，代表目的主機(jī)，也就是接收數(shù)據(jù)的電腦。這三臺(tái)電腦的IP地址分別是192.168.2，192.168.3，192.168.4。MAC地址分別是MAC_A，MAC_S，MAC_D。

現(xiàn)在，S計(jì)算機(jī)要向D計(jì)算機(jī)發(fā)送數(shù)據(jù)在S電腦內(nèi)部，上層的TCP和UDP包已經(jīng)發(fā)送到了最底層的網(wǎng)絡(luò)接口層，即將發(fā)送出去，但是目的主機(jī)D電腦的MAC地址MAC還不知道_D。這時(shí)候S電腦應(yīng)該先查詢自己的ARP緩存表，看看里面有沒(méi)有192.168.4這臺(tái)電腦的MAC地址如果有，就好辦了在數(shù)據(jù)包外面包 就行了。直接發(fā)就好。如果沒(méi)有，那么計(jì)算機(jī)S會(huì)向全網(wǎng)發(fā)送一個(gè)ARP廣播包，大聲詢問(wèn)：我的IP是192.168.3硬件地址是MAC_s，我想知道IP地址是192.168.4的主機(jī)的硬件地址是什么?這時(shí)，全網(wǎng)的電腦都收到了ARP廣播包，包括電腦A和d。當(dāng)計(jì)算機(jī)A看到它要查詢的IP地址不是它自己的時(shí)，它丟棄該數(shù)據(jù)包并忽略它。當(dāng)計(jì)算機(jī)D看到IP地址是自己的時(shí)，它回答計(jì)算機(jī)s：我的IP地址是192.168.4我的硬件地址是MAC_D”需要注意的是，這條消息是單獨(dú)回答的，也就是D電腦單獨(dú)發(fā)給S電腦的，而不僅僅是廣播?，F(xiàn)在，計(jì)算機(jī)S已經(jīng)知道了目的計(jì)算機(jī)D的MAC地址，它可以將目的地址MAC粘貼到要發(fā)送的數(shù)據(jù)包上_D，發(fā)送出去了。同時(shí)，它還會(huì)動(dòng)態(tài)更新自己的ARP緩存表，該表將為192.168.4-MAC_添加這個(gè)記錄是為了當(dāng)計(jì)算機(jī)S下次向計(jì)算機(jī)D發(fā)送數(shù)據(jù)時(shí)，你不會(huì) 發(fā)送ARP廣播包時(shí)不需要大聲詢問(wèn)。這是正常的數(shù)據(jù)包發(fā)送過(guò)程。

這種機(jī)制看起來(lái)很完美，似乎整個(gè)局域網(wǎng)都是和平安寧的。然而，上述數(shù)據(jù)傳輸機(jī)制有一個(gè)致命的缺陷，即它是基于對(duì)局域網(wǎng)中所有計(jì)算機(jī)的信任，也就是說(shuō)，它假定：無(wú)論是局域網(wǎng)中的哪臺(tái)電腦，它發(fā)出的ARP包都是正確的。那這就很危險(xiǎn)了！因?yàn)榫钟蚓W(wǎng)內(nèi)并不是所有的電腦都守規(guī)矩，經(jīng)常會(huì)有不法之徒。例如，在上面的數(shù)據(jù)傳輸中，當(dāng)S計(jì)算機(jī)請(qǐng)求整個(gè)網(wǎng)絡(luò)時(shí)“我想知道IP地址是192.168.4的主機(jī)的硬件地址是什么?后來(lái)，計(jì)算機(jī)D也響應(yīng)了其正確的MAC地址。但這時(shí)，一直沉默的電腦A也回答了：我的IP地址是192.168.4我的硬件地址是MAC_A” ，注意，此時(shí)它其實(shí)是冒充D機(jī)的IP地址，而MAC地址其實(shí)是寫(xiě)成自己的！因?yàn)橛?jì)算機(jī)A一直發(fā)送這樣的應(yīng)答包，所以正確的記錄已經(jīng)保存在計(jì)算機(jī)s的ARP緩存表中：192.168.4-MAC_d，但是因?yàn)橛?jì)算機(jī)A一直在回答，計(jì)算機(jī)S沒(méi)有 t不知道計(jì)算機(jī)A發(fā)送的數(shù)據(jù)包是偽造的，導(dǎo)致計(jì)算機(jī)S再次動(dòng)態(tài)更新其ARP緩存表這一次，它被記錄為：192.168.4-MAC_很明顯，這是一個(gè)錯(cuò)誤記錄(這一步也稱(chēng)為ARP緩存表中毒)這樣以后所有的S電腦都會(huì)被發(fā)送到D電腦，也就是IP地址是192.168.該主機(jī)的數(shù)據(jù)將被發(fā)送到MAC的MAC地址_一臺(tái)主機(jī)，就這樣，在光天化日之下，一臺(tái)電腦居然劫持了S電腦發(fā)給D電腦的數(shù)據(jù)！這就是ARP欺騙的過(guò)程。

如果這臺(tái)電腦A再做一次，“過(guò)分”有些，它不 不要假裝是一臺(tái)3d電腦，而是一個(gè)網(wǎng)關(guān)會(huì)發(fā)生什么？眾所周知，如果一臺(tái)局域網(wǎng)內(nèi)的電腦要連接外網(wǎng)，那么在登錄互聯(lián)網(wǎng)時(shí)，收發(fā)的數(shù)據(jù)都會(huì)通過(guò)局域網(wǎng)內(nèi)的網(wǎng)關(guān)進(jìn)行轉(zhuǎn)發(fā)，所有的數(shù)據(jù)都會(huì)先經(jīng)過(guò)網(wǎng)關(guān)，再由網(wǎng)關(guān)發(fā)送到互聯(lián)網(wǎng)。在局域網(wǎng)中，網(wǎng)關(guān)的IP地址通常是192.168.1。如果電腦A一直向全網(wǎng)發(fā)送ARP欺騙廣播，大聲說(shuō)：我的IP地址是192.168.1我的硬件地址是MAC_A”此時(shí)局域網(wǎng)內(nèi)的其他電腦并沒(méi)有察覺(jué)到什么，因?yàn)榫钟蚓W(wǎng)通信的前提條件是信任任何一臺(tái)電腦發(fā)送的ARP廣播包。這樣，局域網(wǎng)中的其他計(jì)算機(jī)將更新它們的ARP緩存表和記錄192.168.1-MAC_一個(gè)這樣的記錄，這樣當(dāng)它們被發(fā)送到網(wǎng)關(guān)時(shí)，也就是IP地址是192.168.1這臺(tái)電腦的數(shù)據(jù)和結(jié)果會(huì)發(fā)送到MAC_A這臺(tái)電腦中！這樣，計(jì)算機(jī)A將監(jiān)聽(tīng)整個(gè)局域網(wǎng)發(fā)送到互聯(lián)網(wǎng)的數(shù)據(jù)包!