ARP地址欺騙類似病毒(簡稱ARP病毒)是一種特殊的病毒，一般屬于木馬(Trojan)病毒不具備主動傳播的特性，不會自我復制。Arp病毒不是某一種病毒的名稱，而是利用arp協(xié)議的漏洞進行傳播的一類病毒的總稱。

ARP病毒

Arp協(xié)議是TCP/IP協(xié)議組的一種協(xié)議，用于將網絡地址轉換為物理地址（又稱MAC地址）通常，這種攻擊有兩種方法：路由欺騙和網關欺騙。It 這是一種入侵計算機的特洛伊病毒。這對計算機用戶的私人信息是一個巨大的威脅。但由于它在攻擊時會向全網發(fā)送偽造的ARP數(shù)據(jù)包，干擾全網的運行，所以其危害比某些蠕蟲要嚴重得多。

ARP病毒

主要原因是局域網內有人使用了ARP欺騙木馬程序，比如一些盜取號碼的軟件。

傳說中的外掛攜帶ARP木馬攻擊在局域網中使用插件時，插件攜帶的病毒會將機器的MAC地址映射到網關的IP地址，并向局域網發(fā)送大量ARP數(shù)據(jù)包，導致同一網段的其他機器誤將其作為網關當斷開時，內部網是可互操作的，但是計算機可以 不要上網。方法是可以上網的時候輸入MS-DOS窗口，輸入命令：arp –檢查與網關IP對應的正確MAC地址，并記錄下來如果互聯(lián)網不再可用，首先運行命令arp –d刪除arp緩存中的內容，電腦可以暫時恢復上網一旦它可以上網，就會立刻斷網，禁用網卡或者拔掉網線，然后運行arp –a。

如果你有正確的網關MAC地址，當你可以 t訪問互聯(lián)網，您可以手動將網關IP與正確的MAC綁定，以確保計算機不會受到攻擊。可在MS-在DOS窗口中運行以下命令：arp –S 網關IP 網關MAC。如果被攻擊，用這個命令檢查，會發(fā)現(xiàn)MAC已經被攻擊機器的MAC替換了，記錄MAC備查。找出病毒計算機：如果你有病毒電腦的MAC地址，可以用NBTSCAN軟件找出網段中MAC地址對應的IP，也就是病毒電腦的IP地址。

當局域網內的一臺電腦運行這種ARP欺騙木馬時，以前其他用戶都是直接通過路由器上網，現(xiàn)在則轉而通過病毒主機上網切換時，用戶會斷開一次。

切換到病毒主機上網后，如果用戶已經登錄了傳說中的服務器，那么病毒主機往往會偽造斷線的假象，這樣用戶就要重新登錄傳說中的服務器，這樣病毒主機就可以盜號了。

由于ARP欺騙木馬的攻擊，會發(fā)出大量數(shù)據(jù)包，導致局域網通信擁塞，用戶會感覺上網速度越來越慢。當木馬停止運行后，用戶會從路由器恢復上網，切換過程中用戶會再次斷網。

電腦一開機就發(fā)送Arp欺騙消息，也就是用偽造的網卡物理地址向同一個子網的其他機器發(fā)送Arp欺騙消息，甚至假冒這個子網內網關的物理地址欺騙其他機器，讓網絡內的其他機器通過病毒主機替代訪問互聯(lián)網在從真網關切換到假網關的過程中，其他機器會斷開一次。如果病毒機突然關機或者下線，其他機器會重新搜索真正的網關，然后再次斷網。所以，只要某個子網中有一臺或多臺這樣的病毒機，其他人就會間歇性上網，嚴重時會導致整個網絡癱瘓。這種病毒（木馬）除了影響他人 訪問互聯(lián)網，它還可以從病毒機和同一子網的其他機器上竊取用戶帳戶和密碼（比如QQ和網游）為此，它發(fā)送一個Arp消息，具有一定的保密性如果不占用大量系統(tǒng)資源，不被殺毒軟件監(jiān)控，一般用戶不容易察覺。這種病毒主要發(fā)生在開學時的學生宿舍根據(jù)最近的一項調查，它已經蔓延到辦公區(qū)和員工住宅，而且越來越嚴重。

經過抽樣測試，賽門鐵克殺毒軟件企業(yè)版10由學校提供.0可以有效查殺已知的ARP欺騙病毒（木馬）病毒。惡意軟件在國際上沒有明確的定義，目前也沒有一款殺毒軟件能提供100%防止其攻擊的解決方案需要借助一些輔助工具進行清理。

唐 不要將網絡安全信任關系建立在ip或MAC上。

設置靜態(tài)MAC-IP映射表不要讓主機刷新你設置的轉換表。

除非必要，否則停止使用ARP，并將ARP作為永久條目保存在相應的表中。

使用ARP服務器。確保這個ARP服務器沒有被黑。

使用“proxy”代理IP傳輸。

用硬件屏蔽主機。

定期從響應的IP數(shù)據(jù)包中獲取rarp請求，并檢查arp響應的真實性。

定期輪詢以檢查主機上的ARP緩存。

使用防火墻持續(xù)監(jiān)控網絡。

一般出現(xiàn)局域網

網吧用戶一般可以使用ROS路由綁定，在主機上安裝ARP防火墻服務器，在客戶端安裝client雙相綁定更安全。

建議使用雙向綁定來解決和防止ARP欺騙。在電腦上綁定路由器的IP和MAC地址

首先，獲取路由器的MAC地址 的內部網（例如HiPER網關地址192.168.16.254的MAC地址是0022aa0022aa局域網端口MAC地址）

寫一個批處理文件rarp.bat內容如下：

echo off

arp -d

arp -s 192.168.16.(254 00)22-aa-00-22-aa

只需將網關IP和MAC更改為您自己的網關IP和MAC，并讓此文件開始運行（拖到“開始-程序-啟動”

自己手動清除病毒：

1立即升級操作系統(tǒng)中的殺毒軟件和防火墻，同時打開“實時監(jiān)控”實時攔截局域網中各種ARP病毒變種的功能。

2根據(jù)自己的操作系統(tǒng)版本，立即下載微軟MS06-014和MS07-017兩個系統(tǒng)漏洞補丁，安裝在局域網中存在這兩個漏洞的計算機系統(tǒng)上，防止病毒變種的感染和傳播。

14檢查是否已經中毒：

a. 在設備管理器中，單擊“查看—顯示隱藏的設備”

b. 在設備樹結構中，打開“非即插即用設備”

c. 查一下是否存在：網絡組 數(shù)據(jù)包 過濾器 驅動程序”或“網絡組 數(shù)據(jù)包 過濾器”如果存在，說明已經中毒了。

2對于沒有中毒的機器，可以下載軟件Anti ARP Sniffer，填寫網關，開啟自動防護，保護好自己的ip地址和網關地址，保證正常上網。

5您可以通過以下方式手動刪除中毒計算機中的病毒：

⑴刪除：windows%system32\LOADHW.EXE （有些電腦可能不會）

⑵a. 在設備管理器中，單擊“查看—顯示隱藏的設備”

b. 在設備樹結構中，打開“非即插即用設備”

c. 找到“網絡組 數(shù)據(jù)包 過濾器 驅動程序”或“網絡組 數(shù)據(jù)包 過濾器”

d. 右擊，”卸載”

e. 重啟系統(tǒng)

⑶刪除：windows%system32\drivers\npf.sys

⑷刪除%windows%system32\msitinit.dll（有些電腦可能不會）

5刪除注冊表服務密鑰：開始〉運行〉regedit〉打開，進入注冊表，并在整個注冊表中搜索npf.Sys，刪除文件所在的整個文件夾Npf.應該有2個）至此，arp病毒被清除.

6根據(jù)經驗，病毒會下載大量病毒木馬和惡意軟件，修改winsocks，導致網頁和netmeeting無法打開因此，需要完成以下步驟：

a.用殺毒軟件清理惡意軟件和木馬。

1、網上銀行、游戲和QQ賬號頻繁丟失

為了獲取非法利益，一些人利用ARP欺騙程序在網絡中進行非法活動這類程序的主要目的是破解賬號登錄時的加解密算法，攔截局域網內的數(shù)據(jù)包，進而攔截用戶 通過分析數(shù)據(jù)通信協(xié)議來獲取用戶信息。通過運行這種木馬病毒，你可以獲得互聯(lián)網用戶的詳細信息把整個局域網的賬號都偷出來。

2、網速時快時慢，極不穩(wěn)定，但單機測試光纖數(shù)據(jù)時一切正常

權限域內的計算機被ARP欺騙程序非法入侵后，會持續(xù)向網絡中的所有計算機和網絡設備發(fā)送大量非法ARP欺騙數(shù)據(jù)包，阻塞網絡通道，造成網絡設備過載，網絡通信質量不穩(wěn)定。

3、頻繁地區(qū)或整個局域網斷網，重啟電腦或網絡設備后恢復正常

帶有ARP欺騙程序的電腦在網絡中通訊時，會導致頻繁斷網出現(xiàn)此類問題后重啟電腦或禁用網卡會暫時解決問題，但斷網還是會發(fā)生。

網絡模型簡介

arp病毒

眾所周知，根據(jù)OSI (開放 系統(tǒng) 互連 參考 模型開放系統(tǒng)互聯(lián)參考模型) ，網絡系統(tǒng)可以分為七層，每層運行不同的協(xié)議和服務，上下兩層相互配合完成網絡數(shù)據(jù)交換的功能。

然而，OSI模型只是一個參考模型，而不是應用于實際網絡的模型。事實上，最廣泛使用的商業(yè)網絡模型是TCP/IP架構模型將網絡分為四層，每層也運行不同的協(xié)議和服務。

協(xié)議簡介

眾所周知，在局域網中，一臺主機要想和另一臺主機通信，就必須知道目標主機的IP地址而局域網中最終負責傳輸數(shù)據(jù)的網卡等物理設備并不識別IP地址，只識別其硬件地址，即MAC地址。MAC地址是48位，通常表示為12個十六進制數(shù)，并且在每兩個十六進制數(shù)之間使用“或冒號，如：00-0B-2F-13-1A-11是MAC地址。每個網卡都有其全球唯一的MAC地址，網卡之間發(fā)送的數(shù)據(jù)只能根據(jù)對方網卡的MAC地址發(fā)送這時候就需要一個協(xié)議來把高層數(shù)據(jù)包中的IP地址轉換成低層的MAC地址，這個重要的任務就由ARP協(xié)議來完成。

空襲預防措施全稱為地址 分辨率 協(xié)議,地址解析協(xié)議。所謂“地址解析”是主機在發(fā)送數(shù)據(jù)包之前，將目的主機的IP地址轉換成目的主機的MAC地址的過程。ARP協(xié)議的基本功能是通過目標設備的IP地址查詢目標設備的MAC地址，保證通信的暢通。這時候就涉及到一個問題一個局域網至少有幾臺電腦，也有幾百臺電腦你怎么能準確地記住其他電腦的MAC地址的網卡以便發(fā)送數(shù)據(jù)？這就涉及到另一個概念，ARP緩存表。在局域網內的任何一臺主機中，都有一個ARP緩存表，存儲著這個網絡中每臺計算機的ip地址和MAC地址的對比關系。當這臺主機向同一局域網內的另一臺主機發(fā)送數(shù)據(jù)時，會根據(jù)ARP緩存表中的對應關系進行發(fā)送。

接下來，我們用一個模擬的局域網環(huán)境來說明ARP欺騙的過程。

欺騙過程

想象一個僅由三臺計算機組成的局域網，它由交換機組成(Switch)連接。其中一臺電腦叫做A，代表攻擊者；一臺電腦叫S，代表源主機，也就是發(fā)送數(shù)據(jù)的電腦；另一臺電腦叫D，代表目的主機，也就是接收數(shù)據(jù)的電腦。這三臺電腦的IP地址分別是192.168.2，192.168.3，192.168.4。MAC地址分別是MAC_A，MAC_S，MAC_D。

現(xiàn)在，S計算機要向D計算機發(fā)送數(shù)據(jù)在S電腦內部，上層的TCP和UDP包已經發(fā)送到了最底層的網絡接口層，即將發(fā)送出去，但是目的主機D電腦的MAC地址MAC還不知道_D。這時候S電腦應該先查詢自己的ARP緩存表，看看里面有沒有192.168.4這臺電腦的MAC地址如果有，就好辦了在數(shù)據(jù)包外面包 就行了。直接發(fā)就好。如果沒有，那么計算機S會向全網發(fā)送一個ARP廣播包，大聲詢問：我的IP是192.168.3硬件地址是MAC_s，我想知道IP地址是192.168.4的主機的硬件地址是什么?這時，全網的電腦都收到了ARP廣播包，包括電腦A和d。當計算機A看到它要查詢的IP地址不是它自己的時，它丟棄該數(shù)據(jù)包并忽略它。當計算機D看到IP地址是自己的時，它回答計算機s：我的IP地址是192.168.4我的硬件地址是MAC_D”需要注意的是，這條消息是單獨回答的，也就是D電腦單獨發(fā)給S電腦的，而不僅僅是廣播。現(xiàn)在，計算機S已經知道了目的計算機D的MAC地址，它可以將目的地址MAC粘貼到要發(fā)送的數(shù)據(jù)包上_D，發(fā)送出去了。同時，它還會動態(tài)更新自己的ARP緩存表，該表將為192.168.4-MAC_添加這個記錄是為了當計算機S下次向計算機D發(fā)送數(shù)據(jù)時，你不會 發(fā)送ARP廣播包時不需要大聲詢問。這是正常的數(shù)據(jù)包發(fā)送過程。

這種機制看起來很完美，似乎整個局域網都是和平安寧的。然而，上述數(shù)據(jù)傳輸機制有一個致命的缺陷，即它是基于對局域網中所有計算機的信任，也就是說，它假定：無論是局域網中的哪臺電腦，它發(fā)出的ARP包都是正確的。那這就很危險了！因為局域網內并不是所有的電腦都守規(guī)矩，經常會有不法之徒。例如，在上面的數(shù)據(jù)傳輸中，當S計算機請求整個網絡時“我想知道IP地址是192.168.4的主機的硬件地址是什么?后來，計算機D也響應了其正確的MAC地址。但這時，一直沉默的電腦A也回答了：我的IP地址是192.168.4我的硬件地址是MAC_A” ，注意，此時它其實是冒充D機的IP地址，而MAC地址其實是寫成自己的！因為計算機A一直發(fā)送這樣的應答包，所以正確的記錄已經保存在計算機s的ARP緩存表中：192.168.4-MAC_d，但是因為計算機A一直在回答，計算機S沒有 t不知道計算機A發(fā)送的數(shù)據(jù)包是偽造的，導致計算機S再次動態(tài)更新其ARP緩存表這一次，它被記錄為：192.168.4-MAC_很明顯，這是一個錯誤記錄(這一步也稱為ARP緩存表中毒)這樣以后所有的S電腦都會被發(fā)送到D電腦，也就是IP地址是192.168.該主機的數(shù)據(jù)將被發(fā)送到MAC的MAC地址_一臺主機，就這樣，在光天化日之下，一臺電腦居然劫持了S電腦發(fā)給D電腦的數(shù)據(jù)！這就是ARP欺騙的過程。

如果這臺電腦A再做一次，“過分”有些，它不 不要假裝是一臺3d電腦，而是一個網關會發(fā)生什么？眾所周知，如果一臺局域網內的電腦要連接外網，那么在登錄互聯(lián)網時，收發(fā)的數(shù)據(jù)都會通過局域網內的網關進行轉發(fā)，所有的數(shù)據(jù)都會先經過網關，再由網關發(fā)送到互聯(lián)網。在局域網中，網關的IP地址通常是192.168.1。如果電腦A一直向全網發(fā)送ARP欺騙廣播，大聲說：我的IP地址是192.168.1我的硬件地址是MAC_A”此時局域網內的其他電腦并沒有察覺到什么，因為局域網通信的前提條件是信任任何一臺電腦發(fā)送的ARP廣播包。這樣，局域網中的其他計算機將更新它們的ARP緩存表和記錄192.168.1-MAC_一個這樣的記錄，這樣當它們被發(fā)送到網關時，也就是IP地址是192.168.1這臺電腦的數(shù)據(jù)和結果會發(fā)送到MAC_A這臺電腦中！這樣，計算機A將監(jiān)聽整個局域網發(fā)送到互聯(lián)網的數(shù)據(jù)包!