ARP地址欺騙類似病毒(簡稱ARP病毒)是一種特殊的病毒，一般屬于木馬(Trojan)病毒不具備主動傳播的特性，不會自我復(fù)制。Arp病毒不是某一種病毒的名稱，而是利用arp協(xié)議的漏洞進行傳播的一類病毒的總稱。

ARP病毒

Arp協(xié)議是TCP/IP協(xié)議組的一種協(xié)議，用于將網(wǎng)絡(luò)地址轉(zhuǎn)換為物理地址（又稱MAC地址）通常，這種攻擊有兩種方法：路由欺騙和網(wǎng)關(guān)欺騙。It 這是一種入侵計算機的特洛伊病毒。這對計算機用戶的私人信息是一個巨大的威脅。但由于它在攻擊時會向全網(wǎng)發(fā)送偽造的ARP數(shù)據(jù)包，干擾全網(wǎng)的運行，所以其危害比某些蠕蟲要嚴(yán)重得多。

ARP病毒

主要原因是局域網(wǎng)內(nèi)有人使用了ARP欺騙木馬程序，比如一些盜取號碼的軟件。

傳說中的外掛攜帶ARP木馬攻擊在局域網(wǎng)中使用插件時，插件攜帶的病毒會將機器的MAC地址映射到網(wǎng)關(guān)的IP地址，并向局域網(wǎng)發(fā)送大量ARP數(shù)據(jù)包，導(dǎo)致同一網(wǎng)段的其他機器誤將其作為網(wǎng)關(guān)當(dāng)斷開時，內(nèi)部網(wǎng)是可互操作的，但是計算機可以 不要上網(wǎng)。方法是可以上網(wǎng)的時候輸入MS-DOS窗口，輸入命令：arp –檢查與網(wǎng)關(guān)IP對應(yīng)的正確MAC地址，并記錄下來如果互聯(lián)網(wǎng)不再可用，首先運行命令arp –d刪除arp緩存中的內(nèi)容，電腦可以暫時恢復(fù)上網(wǎng)一旦它可以上網(wǎng)，就會立刻斷網(wǎng)，禁用網(wǎng)卡或者拔掉網(wǎng)線，然后運行arp –a。

如果你有正確的網(wǎng)關(guān)MAC地址，當(dāng)你可以 t訪問互聯(lián)網(wǎng)，您可以手動將網(wǎng)關(guān)IP與正確的MAC綁定，以確保計算機不會受到攻擊。可在MS-在DOS窗口中運行以下命令：arp –S 網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC。如果被攻擊，用這個命令檢查，會發(fā)現(xiàn)MAC已經(jīng)被攻擊機器的MAC替換了，記錄MAC備查。找出病毒計算機：如果你有病毒電腦的MAC地址，可以用NBTSCAN軟件找出網(wǎng)段中MAC地址對應(yīng)的IP，也就是病毒電腦的IP地址。

當(dāng)局域網(wǎng)內(nèi)的一臺電腦運行這種ARP欺騙木馬時，以前其他用戶都是直接通過路由器上網(wǎng)，現(xiàn)在則轉(zhuǎn)而通過病毒主機上網(wǎng)切換時，用戶會斷開一次。

切換到病毒主機上網(wǎng)后，如果用戶已經(jīng)登錄了傳說中的服務(wù)器，那么病毒主機往往會偽造斷線的假象，這樣用戶就要重新登錄傳說中的服務(wù)器，這樣病毒主機就可以盜號了。

由于ARP欺騙木馬的攻擊，會發(fā)出大量數(shù)據(jù)包，導(dǎo)致局域網(wǎng)通信擁塞，用戶會感覺上網(wǎng)速度越來越慢。當(dāng)木馬停止運行后，用戶會從路由器恢復(fù)上網(wǎng)，切換過程中用戶會再次斷網(wǎng)。

電腦一開機就發(fā)送Arp欺騙消息，也就是用偽造的網(wǎng)卡物理地址向同一個子網(wǎng)的其他機器發(fā)送Arp欺騙消息，甚至假冒這個子網(wǎng)內(nèi)網(wǎng)關(guān)的物理地址欺騙其他機器，讓網(wǎng)絡(luò)內(nèi)的其他機器通過病毒主機替代訪問互聯(lián)網(wǎng)在從真網(wǎng)關(guān)切換到假網(wǎng)關(guān)的過程中，其他機器會斷開一次。如果病毒機突然關(guān)機或者下線，其他機器會重新搜索真正的網(wǎng)關(guān)，然后再次斷網(wǎng)。所以，只要某個子網(wǎng)中有一臺或多臺這樣的病毒機，其他人就會間歇性上網(wǎng)，嚴(yán)重時會導(dǎo)致整個網(wǎng)絡(luò)癱瘓。這種病毒（木馬）除了影響他人 訪問互聯(lián)網(wǎng)，它還可以從病毒機和同一子網(wǎng)的其他機器上竊取用戶帳戶和密碼（比如QQ和網(wǎng)游）為此，它發(fā)送一個Arp消息，具有一定的保密性如果不占用大量系統(tǒng)資源，不被殺毒軟件監(jiān)控，一般用戶不容易察覺。這種病毒主要發(fā)生在開學(xué)時的學(xué)生宿舍根據(jù)最近的一項調(diào)查，它已經(jīng)蔓延到辦公區(qū)和員工住宅，而且越來越嚴(yán)重。

經(jīng)過抽樣測試，賽門鐵克殺毒軟件企業(yè)版10由學(xué)校提供.0可以有效查殺已知的ARP欺騙病毒（木馬）病毒。惡意軟件在國際上沒有明確的定義，目前也沒有一款殺毒軟件能提供100%防止其攻擊的解決方案需要借助一些輔助工具進行清理。

唐 不要將網(wǎng)絡(luò)安全信任關(guān)系建立在ip或MAC上。

設(shè)置靜態(tài)MAC-IP映射表不要讓主機刷新你設(shè)置的轉(zhuǎn)換表。

除非必要，否則停止使用ARP，并將ARP作為永久條目保存在相應(yīng)的表中。

使用ARP服務(wù)器。確保這個ARP服務(wù)器沒有被黑。

使用“proxy”代理IP傳輸。

用硬件屏蔽主機。

定期從響應(yīng)的IP數(shù)據(jù)包中獲取rarp請求，并檢查arp響應(yīng)的真實性。

定期輪詢以檢查主機上的ARP緩存。

使用防火墻持續(xù)監(jiān)控網(wǎng)絡(luò)。

一般出現(xiàn)局域網(wǎng)

網(wǎng)吧用戶一般可以使用ROS路由綁定，在主機上安裝ARP防火墻服務(wù)器，在客戶端安裝client雙相綁定更安全。

建議使用雙向綁定來解決和防止ARP欺騙。在電腦上綁定路由器的IP和MAC地址

首先，獲取路由器的MAC地址 的內(nèi)部網(wǎng)（例如HiPER網(wǎng)關(guān)地址192.168.16.254的MAC地址是0022aa0022aa局域網(wǎng)端口MAC地址）

寫一個批處理文件rarp.bat內(nèi)容如下：

echo off

arp -d

arp -s 192.168.16.(254 00)22-aa-00-22-aa

只需將網(wǎng)關(guān)IP和MAC更改為您自己的網(wǎng)關(guān)IP和MAC，并讓此文件開始運行（拖到“開始-程序-啟動”

自己手動清除病毒：

1立即升級操作系統(tǒng)中的殺毒軟件和防火墻，同時打開“實時監(jiān)控”實時攔截局域網(wǎng)中各種ARP病毒變種的功能。

2根據(jù)自己的操作系統(tǒng)版本，立即下載微軟MS06-014和MS07-017兩個系統(tǒng)漏洞補丁，安裝在局域網(wǎng)中存在這兩個漏洞的計算機系統(tǒng)上，防止病毒變種的感染和傳播。

14檢查是否已經(jīng)中毒：

a. 在設(shè)備管理器中，單擊“查看—顯示隱藏的設(shè)備”

b. 在設(shè)備樹結(jié)構(gòu)中，打開“非即插即用設(shè)備”

c. 查一下是否存在：網(wǎng)絡(luò)組 數(shù)據(jù)包 過濾器 驅(qū)動程序”或“網(wǎng)絡(luò)組 數(shù)據(jù)包 過濾器”如果存在，說明已經(jīng)中毒了。

2對于沒有中毒的機器，可以下載軟件Anti ARP Sniffer，填寫網(wǎng)關(guān)，開啟自動防護，保護好自己的ip地址和網(wǎng)關(guān)地址，保證正常上網(wǎng)。

5您可以通過以下方式手動刪除中毒計算機中的病毒：

⑴刪除：windows%system32\LOADHW.EXE （有些電腦可能不會）

⑵a. 在設(shè)備管理器中，單擊“查看—顯示隱藏的設(shè)備”

b. 在設(shè)備樹結(jié)構(gòu)中，打開“非即插即用設(shè)備”

c. 找到“網(wǎng)絡(luò)組 數(shù)據(jù)包 過濾器 驅(qū)動程序”或“網(wǎng)絡(luò)組 數(shù)據(jù)包 過濾器”

d. 右擊，”卸載”

e. 重啟系統(tǒng)

⑶刪除：windows%system32\drivers\npf.sys

⑷刪除%windows%system32\msitinit.dll（有些電腦可能不會）

5刪除注冊表服務(wù)密鑰：開始〉運行〉regedit〉打開，進入注冊表，并在整個注冊表中搜索npf.Sys，刪除文件所在的整個文件夾Npf.應(yīng)該有2個）至此，arp病毒被清除.

6根據(jù)經(jīng)驗，病毒會下載大量病毒木馬和惡意軟件，修改winsocks，導(dǎo)致網(wǎng)頁和netmeeting無法打開因此，需要完成以下步驟：

a.用殺毒軟件清理惡意軟件和木馬。

1、網(wǎng)上銀行、游戲和QQ賬號頻繁丟失

為了獲取非法利益，一些人利用ARP欺騙程序在網(wǎng)絡(luò)中進行非法活動這類程序的主要目的是破解賬號登錄時的加解密算法，攔截局域網(wǎng)內(nèi)的數(shù)據(jù)包，進而攔截用戶 通過分析數(shù)據(jù)通信協(xié)議來獲取用戶信息。通過運行這種木馬病毒，你可以獲得互聯(lián)網(wǎng)用戶的詳細(xì)信息把整個局域網(wǎng)的賬號都偷出來。

2、網(wǎng)速時快時慢，極不穩(wěn)定，但單機測試光纖數(shù)據(jù)時一切正常

權(quán)限域內(nèi)的計算機被ARP欺騙程序非法入侵后，會持續(xù)向網(wǎng)絡(luò)中的所有計算機和網(wǎng)絡(luò)設(shè)備發(fā)送大量非法ARP欺騙數(shù)據(jù)包，阻塞網(wǎng)絡(luò)通道，造成網(wǎng)絡(luò)設(shè)備過載，網(wǎng)絡(luò)通信質(zhì)量不穩(wěn)定。

3、頻繁地區(qū)或整個局域網(wǎng)斷網(wǎng)，重啟電腦或網(wǎng)絡(luò)設(shè)備后恢復(fù)正常

帶有ARP欺騙程序的電腦在網(wǎng)絡(luò)中通訊時，會導(dǎo)致頻繁斷網(wǎng)出現(xiàn)此類問題后重啟電腦或禁用網(wǎng)卡會暫時解決問題，但斷網(wǎng)還是會發(fā)生。

網(wǎng)絡(luò)模型簡介

arp病毒

眾所周知，根據(jù)OSI (開放 系統(tǒng) 互連 參考 模型開放系統(tǒng)互聯(lián)參考模型) ，網(wǎng)絡(luò)系統(tǒng)可以分為七層，每層運行不同的協(xié)議和服務(wù)，上下兩層相互配合完成網(wǎng)絡(luò)數(shù)據(jù)交換的功能。

然而，OSI模型只是一個參考模型，而不是應(yīng)用于實際網(wǎng)絡(luò)的模型。事實上，最廣泛使用的商業(yè)網(wǎng)絡(luò)模型是TCP/IP架構(gòu)模型將網(wǎng)絡(luò)分為四層，每層也運行不同的協(xié)議和服務(wù)。

協(xié)議簡介

眾所周知，在局域網(wǎng)中，一臺主機要想和另一臺主機通信，就必須知道目標(biāo)主機的IP地址而局域網(wǎng)中最終負(fù)責(zé)傳輸數(shù)據(jù)的網(wǎng)卡等物理設(shè)備并不識別IP地址，只識別其硬件地址，即MAC地址。MAC地址是48位，通常表示為12個十六進制數(shù)，并且在每兩個十六進制數(shù)之間使用“或冒號，如：00-0B-2F-13-1A-11是MAC地址。每個網(wǎng)卡都有其全球唯一的MAC地址，網(wǎng)卡之間發(fā)送的數(shù)據(jù)只能根據(jù)對方網(wǎng)卡的MAC地址發(fā)送這時候就需要一個協(xié)議來把高層數(shù)據(jù)包中的IP地址轉(zhuǎn)換成低層的MAC地址，這個重要的任務(wù)就由ARP協(xié)議來完成。

空襲預(yù)防措施全稱為地址 分辨率 協(xié)議,地址解析協(xié)議。所謂“地址解析”是主機在發(fā)送數(shù)據(jù)包之前，將目的主機的IP地址轉(zhuǎn)換成目的主機的MAC地址的過程。ARP協(xié)議的基本功能是通過目標(biāo)設(shè)備的IP地址查詢目標(biāo)設(shè)備的MAC地址，保證通信的暢通。這時候就涉及到一個問題一個局域網(wǎng)至少有幾臺電腦，也有幾百臺電腦你怎么能準(zhǔn)確地記住其他電腦的MAC地址的網(wǎng)卡以便發(fā)送數(shù)據(jù)？這就涉及到另一個概念，ARP緩存表。在局域網(wǎng)內(nèi)的任何一臺主機中，都有一個ARP緩存表，存儲著這個網(wǎng)絡(luò)中每臺計算機的ip地址和MAC地址的對比關(guān)系。當(dāng)這臺主機向同一局域網(wǎng)內(nèi)的另一臺主機發(fā)送數(shù)據(jù)時，會根據(jù)ARP緩存表中的對應(yīng)關(guān)系進行發(fā)送。

接下來，我們用一個模擬的局域網(wǎng)環(huán)境來說明ARP欺騙的過程。

欺騙過程

想象一個僅由三臺計算機組成的局域網(wǎng)，它由交換機組成(Switch)連接。其中一臺電腦叫做A，代表攻擊者；一臺電腦叫S，代表源主機，也就是發(fā)送數(shù)據(jù)的電腦；另一臺電腦叫D，代表目的主機，也就是接收數(shù)據(jù)的電腦。這三臺電腦的IP地址分別是192.168.2，192.168.3，192.168.4。MAC地址分別是MAC_A，MAC_S，MAC_D。

現(xiàn)在，S計算機要向D計算機發(fā)送數(shù)據(jù)在S電腦內(nèi)部，上層的TCP和UDP包已經(jīng)發(fā)送到了最底層的網(wǎng)絡(luò)接口層，即將發(fā)送出去，但是目的主機D電腦的MAC地址MAC還不知道_D。這時候S電腦應(yīng)該先查詢自己的ARP緩存表，看看里面有沒有192.168.4這臺電腦的MAC地址如果有，就好辦了在數(shù)據(jù)包外面包 就行了。直接發(fā)就好。如果沒有，那么計算機S會向全網(wǎng)發(fā)送一個ARP廣播包，大聲詢問：我的IP是192.168.3硬件地址是MAC_s，我想知道IP地址是192.168.4的主機的硬件地址是什么?這時，全網(wǎng)的電腦都收到了ARP廣播包，包括電腦A和d。當(dāng)計算機A看到它要查詢的IP地址不是它自己的時，它丟棄該數(shù)據(jù)包并忽略它。當(dāng)計算機D看到IP地址是自己的時，它回答計算機s：我的IP地址是192.168.4我的硬件地址是MAC_D”需要注意的是，這條消息是單獨回答的，也就是D電腦單獨發(fā)給S電腦的，而不僅僅是廣播。現(xiàn)在，計算機S已經(jīng)知道了目的計算機D的MAC地址，它可以將目的地址MAC粘貼到要發(fā)送的數(shù)據(jù)包上_D，發(fā)送出去了。同時，它還會動態(tài)更新自己的ARP緩存表，該表將為192.168.4-MAC_添加這個記錄是為了當(dāng)計算機S下次向計算機D發(fā)送數(shù)據(jù)時，你不會 發(fā)送ARP廣播包時不需要大聲詢問。這是正常的數(shù)據(jù)包發(fā)送過程。

這種機制看起來很完美，似乎整個局域網(wǎng)都是和平安寧的。然而，上述數(shù)據(jù)傳輸機制有一個致命的缺陷，即它是基于對局域網(wǎng)中所有計算機的信任，也就是說，它假定：無論是局域網(wǎng)中的哪臺電腦，它發(fā)出的ARP包都是正確的。那這就很危險了！因為局域網(wǎng)內(nèi)并不是所有的電腦都守規(guī)矩，經(jīng)常會有不法之徒。例如，在上面的數(shù)據(jù)傳輸中，當(dāng)S計算機請求整個網(wǎng)絡(luò)時“我想知道IP地址是192.168.4的主機的硬件地址是什么?后來，計算機D也響應(yīng)了其正確的MAC地址。但這時，一直沉默的電腦A也回答了：我的IP地址是192.168.4我的硬件地址是MAC_A” ，注意，此時它其實是冒充D機的IP地址，而MAC地址其實是寫成自己的！因為計算機A一直發(fā)送這樣的應(yīng)答包，所以正確的記錄已經(jīng)保存在計算機s的ARP緩存表中：192.168.4-MAC_d，但是因為計算機A一直在回答，計算機S沒有 t不知道計算機A發(fā)送的數(shù)據(jù)包是偽造的，導(dǎo)致計算機S再次動態(tài)更新其ARP緩存表這一次，它被記錄為：192.168.4-MAC_很明顯，這是一個錯誤記錄(這一步也稱為ARP緩存表中毒)這樣以后所有的S電腦都會被發(fā)送到D電腦，也就是IP地址是192.168.該主機的數(shù)據(jù)將被發(fā)送到MAC的MAC地址_一臺主機，就這樣，在光天化日之下，一臺電腦居然劫持了S電腦發(fā)給D電腦的數(shù)據(jù)！這就是ARP欺騙的過程。

如果這臺電腦A再做一次，“過分”有些，它不 不要假裝是一臺3d電腦，而是一個網(wǎng)關(guān)會發(fā)生什么？眾所周知，如果一臺局域網(wǎng)內(nèi)的電腦要連接外網(wǎng)，那么在登錄互聯(lián)網(wǎng)時，收發(fā)的數(shù)據(jù)都會通過局域網(wǎng)內(nèi)的網(wǎng)關(guān)進行轉(zhuǎn)發(fā)，所有的數(shù)據(jù)都會先經(jīng)過網(wǎng)關(guān)，再由網(wǎng)關(guān)發(fā)送到互聯(lián)網(wǎng)。在局域網(wǎng)中，網(wǎng)關(guān)的IP地址通常是192.168.1。如果電腦A一直向全網(wǎng)發(fā)送ARP欺騙廣播，大聲說：我的IP地址是192.168.1我的硬件地址是MAC_A”此時局域網(wǎng)內(nèi)的其他電腦并沒有察覺到什么，因為局域網(wǎng)通信的前提條件是信任任何一臺電腦發(fā)送的ARP廣播包。這樣，局域網(wǎng)中的其他計算機將更新它們的ARP緩存表和記錄192.168.1-MAC_一個這樣的記錄，這樣當(dāng)它們被發(fā)送到網(wǎng)關(guān)時，也就是IP地址是192.168.1這臺電腦的數(shù)據(jù)和結(jié)果會發(fā)送到MAC_A這臺電腦中！這樣，計算機A將監(jiān)聽整個局域網(wǎng)發(fā)送到互聯(lián)網(wǎng)的數(shù)據(jù)包!