淺析讓局域網絡徹底癱瘓的ARP病毒

摘要：曾幾何時大名鼎鼎的惡性病毒——ARP病毒瘋狂的肆虐著網絡，和Av終結者大多針對個人搞破壞不同的是，ARP病毒不僅僅危害個人電腦，還能導致整個局域網的網絡癱瘓，危害相當大，讓眾多學校、企業網管很是頭痛，而能讓ARP病毒如此猖狂的幕后黑手便是ARP欺騙。

關鍵詞：ARP病毒；局域網；ARP欺騙；偽網關；應對之策

1、ARP到底為何方神圣

Address Res0luti0n Pr0t0c0l也稱地址解析協議，負責將局域網中32位IP地址映射為48位硬件地址（MAC地址）。因為局域網中的兩臺主機要相互直接通信，必須是A主機先向B主機發送包含IP地址信息的廣播數據包也就是ARP請求，然后B主機再向A主機發送含有自身IP地址和MAC地址的數據包，A主機收到B主機的MAC地址后便建立數據連接，實現數據傳輸，這相當于一個身份核實的過程。當然，不是說每次通信都需要身份核實，因為ARP緩存表可以做到簡化這個過程。

如果目標主機不在緩存表中又會如何呢？比如本機想與192.168.0.12通信，但緩存表中并無此機MAC地址，這時本機便向全網發送廣播詢問誰的IP是192.168.0.12，通常情況下其他主機接收到此廣播后都會保持沉默，只有192.168.0.12會作出回應并向本機返回它的MAC地址，隨后本機重寫ARP緩存，即將192.168.0.12的MAC地址寫入本地ARP緩存表，下次訪問192.168.0.12時無須向全網廣播，直接向其發送數據。

2、ARP為何受青睞

從前面我們可以了解到ARP緩存表的作用是用來提高網絡效率，減少數據延遲。然而，ARP緩存表存在易信任性，對發來的ARP數據包錯對不做審查。當主機接收到被刻意編制的，將IP地址指向錯誤的MAC地址的ARP數據包，主機會不加審查地將其中的記錄加入ARP緩存表。這樣，當主機下次訪問此IP時，就將根據這個虛假的記錄，將數據發送到記錄中所對應的“錯誤的MAC地址”，而真正使用這個IP的目標主機，則收不到數據，這就是ARP欺騙。

局域網內的主機要與外網進行通信，必須經過局域網與外網之間連通的節點——網關。由于存在這個規則，就可以將網關的IP地址與錯誤的MAC地址對應，這成了大部分ARP欺騙行為所選擇的做法。利用網關的IP地址進行的ARP欺騙，其危險之處在于攻擊者可以借此控制用戶主機的網絡數據流向，即可以指定用戶主機向哪一個MAC地址發送數據，比如：

（1）指向一個無效的MAC地址，這使得用戶主機發送的網絡數據“杳無音訊”，發出去的信息無法得到回應。將導致用戶沒有辦法訪問網關，當然就沒有辦法與外網進行通信。

（2）指向攻擊者設置好的MAC地址，這樣會導致用戶主機發送的網絡數據傳到了原本不應該傳輸的地方。而原本應該被發到網關的網絡數據將被設置好的MAC地址所接收。如果收到數據的主機直接丟棄數據，結果顯而易見，被欺騙主機得不到回應，不能正常上網。

如果就是如上所說的情況，造成的危害只是不能連接上外網而已，但是一旦收到數據的主機，對數據內容進行分析處理，就可能從中得到被欺騙主機用戶的隱私信息比如賬號、密碼，這種行為危害性更大。當然，此時被欺騙主機并非一定得不到回應。因為接收到數據的“偽網關”可以選擇充當起“真網關”的替代者，從而成為數據的中轉站，為用戶向“真網關”呼叫，用戶仍然可以收到“真網關”經由“偽網關”傳來的回應數據。C機實施ARP欺騙攻擊后，B機訪問Internet的鏈路被改變，此時B機和網關的通信對c機就暴露無遺了。

3、ARP病毒的主要危害

“ARP病毒”不是一個病毒，而是一群病毒，我們把所有具有ARP欺騙行為的病毒統稱為“ARP病毒”。ARP病毒的大面積爆發，曾讓很多網管叫苦不迭，它的危害還不僅僅是阻斷網絡，讓我們來看看它究竟有哪些危害。（1）阻止用戶上網，造成局域網網絡癱瘓；（2）盜取用戶隱私數據，特別是各種各樣的賬號密碼；（3）修改網關回傳數據，并繼續插入惡意代碼，為所欲為。

將ARP欺騙包指向中毒主機的MAC地址，被欺騙主機將會傳送信息給中毒主機，并使得中毒主機成為“偽網關”，在被欺騙主機與“真網關”之間進行數據交互。然而，“偽網關”得到由“真網關”傳來的數據后，在將數據傳回給被欺騙主機的過程中，在其中就加插了惡意代碼。不知情的被欺騙主機接收了數據，主機系統中的應用程序執行了傳送內容，就直接導致用戶的計算機安全遭到破壞。

4、ARP病毒的應對之策

病毒本身的性質可能千差萬別，ARP欺騙只是ARP病毒的一種行為和表現，并不是一類家族性病毒的變種集合。所以針對不同的病毒就需要對癥下藥解決問題。

避免電腦本身感染ARP病毒的方法，和預防其他病毒的方法并沒有什么本質的區別，仍然要從修補軟件漏洞，加強安全防護，養成良好的上網習慣入手。同樣，在中毒主機中查殺ARP病毒的方法，與查殺其他病毒也沒有明顯的不同，需要從病毒加載和感染系統的機理入手，而不是只盯住“ARP”這個特性。

ARP病毒的危害，是遍及整個局域網的。ARP病毒已經對眾多高校和企業的局域網造成嚴重影響，因此從局域網中主機受到ARP欺騙攻擊，到發現中毒主機并進行清除病毒的處理，需要局域網的網管在這其中扮演積極的角色，如果一旦反應和處理不及時，病毒將會造成的影響和損失會更大。而對于用戶來說，—旦發現自己受到ARP欺騙攻擊的影響，在做好防護措施同時，應該盡快聯系網管協調處理。而一旦確認自己的電腦被感染了ARP病毒，更要積極配合網管，自覺進行查殺病毒的處理。