ARP 病毒的攻击特性与防范

【摘 要】ARP 病毒是局域网中常见的病毒类型。 它攻击的的目的并非只是单个的 PC ，而是局域网中的所有计算机，相比其他病毒来讲，

它的欺骗性更强，破坏力更大。在现代网络技术与应用越来越普遍的各个领域，大量的数据处理、身份认证与信息传输都离不开网络系统。系统

中，ARP 病毒的存在就意味着潜在的威胁和极大的破坏性，最终必将导致巨大的经济损失和账号识别信息混乱。 只有加强对这类病毒的深入 了解才能做到积极的防范。 【关键词】ARP；病毒；防范 1 什么是 ARP 病毒

ARP 协议是 “Address Resolution Protocol”（地址解析协议） 的缩 写。 所谓“地址解析”就是主机在发送帧前将目标 IP 地址转换成目标 MAC 地址的过程。 ARP 协议的基本功能就是通过目标设备的 IP 地 址，查询目标设备的 MAC 地址，以保证网络内 PC 之间通信顺利无误 的进行。在局域网中，网络中实际传输的是“帧”，帧里面必须要有目标 主机的 MAC 地址。 在以太网中，由于采用的是七层协议传输模式，所 以一个主机要和另一个主机进行直接通信， 必须要知道目标主机的 MAC 地址，而目标 MAC 地址则是通过地址解析协议获得的，也即是 由 ARP 来完成 IP 地址与 MAC 地址的对应转换。

不难看出，这种转换同时是脆弱的，任何对这种转换进行不正确 影响的程序，最终可能导致网络堵塞、账号被盗、无法登陆等后果的出 现，我们都可以称为 ARP 病毒。 2 ARP 病毒的攻击特性

在以太局域网内数据包传输依靠的是 MAC 地址，IP 地址与 MAC 对应的关系依靠 ARP 缓存表，每台主机(包括网关)都有一个 ARP 缓 存表。 在正常情况下这个缓存表能够有效保证数据传输的一对一性。 我们可以在命令行窗口中，输入命令 ARP -A，进行查看，输入命令 ARP -D 则可以进行清除重建。

当数据源主机需要将一个数据包要发送到目的主机时，会首先检

查自己 ARP 列表中是否存在该 IP 地址对应的 MAC 地址， 假使存在， 就直接将数据包发送到这个 MAC 地址；如果不存在，就向本地网段发 起一个 ARP 请求的广播包， 询问目的主机的 IP 所对应的 MAC 地址。 网络中在线的所有 PC 收到这个 ARP 请求后，会检查数据包中的目的 IP 是否和自己的 IP 地址一致。如果不一致就不作回应；如果一致，该主 机首先将发送端的 MAC 地址和 IP 地址添加到自己的 ARP 列表中，如 果 ARP 表中已经存在该 IP 的信息，则将其覆盖，后给数据源主机发送 一个 ARP 响应数据包，告诉对方自己是它需要查找的 MAC 地址，源主 机收到这个 ARP 响应数据包后，将得到的目的主机的 IP 地址和 MAC 地址添加到自己的 ARP 列表中，并利用此信息开始数据的传输。 若数 据源主机一直没有收到 ARP 响应数据包，表示 ARP 查询失败。 ARP 协议的基础就是信任局域网内所有的人，那么就很容易实现 在以太网上的 ARP 欺骗，更何况 ARP 协议是工作在更低于 IP 协议的 协议层，因此它的危害就更加隐蔽。

那么 ARP 病毒是怎么攻击的呢？ ARP 病毒的攻击是以 ARP 欺骗

为前提的。 ARP 欺骗分为二种：一种是对路由器 ARP 缓存表的欺骗， 另一种是对内网 PC 的网关欺骗。第一种 ARP 欺骗的原理是按照一定 频率不断发送广播包通知路由器一系列错误的内网 MAC 地址， 利用 信任机制和自动保存功能，让路由器把这些假信息保存进自己的缓存 表中，使真实的地址信息无法通过更新保存。 结果路由器的部分或所 有数据就是错误的，当然也只能发送给错误的 MAC 地址，造成正常目 标 PC 无法收到信息。 这样做，会造成数据包的大量拥堵，还没有来得 及被更改 MAC 地址的计算机会发现网速非常的慢，而已被更改 MAC 地址的计算机则根本无法访问路由器，表现为无法登陆互联网。 第二 种 ARP 欺骗则更为危险，它的原理是将自身伪装成网关，让被它欺骗 的 PC 向假网关发数据，也就是把病毒计算机当做网关或者路由器，而 不是通过正常的路由器途径上网。 这样一来，所有发送给路由器的数 据都会被“第三方”截获，里面不可避免的会包括各种账号、密码、隐私 信息，因怕被识破，病毒计算机又会将截获的信息提取保存后再转发

给真正的路由设备， 那么一般用户根本不会发现自己的信息被截取过，也不会进一步加以防范，隐蔽性非常强。 对于截获的信息，如果病毒计算机再通过其他软件进行破解和分析，那将带来账号、密码被盗、公私信息泄露等非常大的危害，相比第一种欺骗来讲，后果要严重得多。 曾经出现过的“恶意窃听”病毒就属于这种情况，它是“ARP 欺骗”系列病毒中影响和危害最为恶劣的。它在截取完网内信息之后还会通过电子邮件等方式向特定的外网用户自动发送所截获的数据，对局域网用户的网络信息安全造成非常严重的影响。如何防范 ARP 病毒 理论上讲，不采用 ARP 缓存表的信任保存机制，而是建立怀疑机制的 ARP 认证体系， 将是解决这类问题的根本办法。 但基于目前 IP地址资源的限制及方便性的考虑，大多数情况下不得不采用动态分配IP 地址的形式（DHCP），这样一来，势必造成 ARP 缓存表也会是动态的，就是要不停变换，也就不得不采用信任机制了。 除非建立静态的ARP 缓存模式，但这种模式实际操作起来时非常繁琐的，不但要给每一台 PC 事先制定缓存表，而且每次重启机器之后，都要重复这种操 作。 假如是在路由器中设置固定的 ARP 缓存表，则网络中每台机器仍有可能感染病毒。 如果采用怀疑机制认证身份，则需要更改现有的数据和互联网传输协议，也只能寄希望以后会有更为直接的身份认证技术，摈弃 IP 地址模式，而采用更为先进网络传输手段，现阶段还不太现实。 就目前的网络传输方式下，对 ARP 类病毒的防范我们需要从以下几个方面加以防范。

（1）利用网关或者其他软件，静态编辑对应 IP 与 MAC 地址，而不是现在的查询广播机制。 这种方法适于较小型的网络，一般为几十台PC， 给网络内每台 PC 都安装同样的一份网络内所有主机的静态 IP地址与 MAC 地址对应表，加入到批处理或开机自启动程序中，这样一来就不需要主机在传送数据之前发布广播包去网络中询问了，也不再接收新的缓存表，保证了地址信息的真实性。

（2）安装防护软件。 如 360 安全卫士，它可以有效的防止 ARP 病毒的攻击，同时具有追踪攻击源主机的功能，便于找到病毒计算机。它的 ARP 防护功能在该软件安装完成后是关闭的， 记得一定要设置为开启，且最好手动绑定网关的 IP 与 MAC 地

（3）不随便下载、运行未经信任的程序和软件；不接收来历不明的电子邮件，大量所谓免费的程序、软件内嵌了病毒程序，并以此吸引网络用户下载使用，不少垃圾邮件更是打出诱人的广告幌子吸引用户的点击，建立良好、文明的上网习惯与安全意识才能更为有效的进行源头的防范，使病毒程序无法到达本地计算机，那么也就无法向外传送病毒广播了。

（4）对于安全技术要求更高的政府、金融管理机构，就需要安装高质量的杀毒软件和专门的硬件防护设备，采用“内外有别”的网络拓扑形式，确保内部数据不外联，彻底防范病毒

在内外网之间的传入、传出。

总之，防范 ARP 病毒并什么特别有效的方法,对于所有的计算机病毒来讲，无论是攻和防,首要的就是找出每种攻击的“症结”之所在。只有这样才能找到行之有效的解决方案。计算机之能帮助我们解决各种各样的问题就在于它的“灵活”，但同样因为是这种“灵活”，也给病毒提供了生存空间，这是自计算机诞生以来一个永远矛盾的命题。