ARP病毒

ARP地址欺騙類似病毒(簡稱ARP病毒)是一種特殊的病毒，一般屬于木馬(Trojan)病毒不具備主動傳播的特性，不會自我復(fù)制。Arp病毒不是某一種病毒的名稱，而是利用arp協(xié)議的漏洞進(jìn)行傳播的一類病毒的總稱。

ARP病毒

Arp協(xié)議是TCP/IP協(xié)議組的一種協(xié)議，用于將網(wǎng)絡(luò)地址轉(zhuǎn)換為物理地址（又稱MAC地址）通常，這種攻擊有兩種方法：路由欺騙和網(wǎng)關(guān)欺騙。It 這是一種入侵計算機(jī)的特洛伊病毒。這對計算機(jī)用戶的私人信息是一個巨大的威脅。但由于它在攻擊時會向全網(wǎng)發(fā)送偽造的ARP數(shù)據(jù)包，干擾全網(wǎng)的運行，所以其危害比某些蠕蟲要嚴(yán)重得多。

ARP病毒

主要原因是局域網(wǎng)內(nèi)有人使用了ARP欺騙木馬程序，比如一些盜取號碼的軟件。

傳說中的外掛攜帶ARP木馬攻擊在局域網(wǎng)中使用插件時，插件攜帶的病毒會將機(jī)器的MAC地址映射到網(wǎng)關(guān)的IP地址，并向局域網(wǎng)發(fā)送大量ARP數(shù)據(jù)包，導(dǎo)致同一網(wǎng)段的其他機(jī)器誤將其作為網(wǎng)關(guān)當(dāng)斷開時，內(nèi)部網(wǎng)是可互操作的，但是計算機(jī)可以 不要上網(wǎng)。方法是可以上網(wǎng)的時候輸入MS-DOS窗口，輸入命令：arp –檢查與網(wǎng)關(guān)IP對應(yīng)的正確MAC地址，并記錄下來如果互聯(lián)網(wǎng)不再可用，首先運行命令arp –d刪除arp緩存中的內(nèi)容，電腦可以暫時恢復(fù)上網(wǎng)一旦它可以上網(wǎng)，就會立刻斷網(wǎng)，禁用網(wǎng)卡或者拔掉網(wǎng)線，然后運行arp –a。

如果你有正確的網(wǎng)關(guān)MAC地址，當(dāng)你可以 t訪問互聯(lián)網(wǎng)，您可以手動將網(wǎng)關(guān)IP與正確的MAC綁定，以確保計算機(jī)不會受到攻擊。可在MS-在DOS窗口中運行以下命令：arp –S 網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC。如果被攻擊，用這個命令檢查，會發(fā)現(xiàn)MAC已經(jīng)被攻擊機(jī)器的MAC替換了，記錄MAC備查。找出病毒計算機(jī)：如果你有病毒電腦的MAC地址，可以用NBTSCAN軟件找出網(wǎng)段中MAC地址對應(yīng)的IP，也就是病毒電腦的IP地址。

當(dāng)局域網(wǎng)內(nèi)的一臺電腦運行這種ARP欺騙木馬時，以前其他用戶都是直接通過路由器上網(wǎng)，現(xiàn)在則轉(zhuǎn)而通過病毒主機(jī)上網(wǎng)切換時，用戶會斷開一次。

切換到病毒主機(jī)上網(wǎng)后，如果用戶已經(jīng)登錄了傳說中的服務(wù)器，那么病毒主機(jī)往往會偽造斷線的假象，這樣用戶就要重新登錄傳說中的服務(wù)器，這樣病毒主機(jī)就可以盜號了。

由于ARP欺騙木馬的攻擊，會發(fā)出大量數(shù)據(jù)包，導(dǎo)致局域網(wǎng)通信擁塞，用戶會感覺上網(wǎng)速度越來越慢。當(dāng)木馬停止運行后，用戶會從路由器恢復(fù)上網(wǎng)，切換過程中用戶會再次斷網(wǎng)。

電腦一開機(jī)就發(fā)送Arp欺騙消息，也就是用偽造的網(wǎng)卡物理地址向同一個子網(wǎng)的其他機(jī)器發(fā)送Arp欺騙消息，甚至假冒這個子網(wǎng)內(nèi)網(wǎng)關(guān)的物理地址欺騙其他機(jī)器，讓網(wǎng)絡(luò)內(nèi)的其他機(jī)器通過病毒主機(jī)替代訪問互聯(lián)網(wǎng)在從真網(wǎng)關(guān)切換到假網(wǎng)關(guān)的過程中，其他機(jī)器會斷開一次。如果病毒機(jī)突然關(guān)機(jī)或者下線，其他機(jī)器會重新搜索真正的網(wǎng)關(guān)，然后再次斷網(wǎng)。所以，只要某個子網(wǎng)中有一臺或多臺這樣的病毒機(jī)，其他人就會間歇性上網(wǎng)，嚴(yán)重時會導(dǎo)致整個網(wǎng)絡(luò)癱瘓。這種病毒（木馬）除了影響他人 訪問互聯(lián)網(wǎng)，它還可以從病毒機(jī)和同一子網(wǎng)的其他機(jī)器上竊取用戶帳戶和密碼（比如QQ和網(wǎng)游）為此，它發(fā)送一個Arp消息，具有一定的保密性如果不占用大量系統(tǒng)資源，不被殺毒軟件監(jiān)控，一般用戶不容易察覺。這種病毒主要發(fā)生在開學(xué)時的學(xué)生宿舍根據(jù)最近的一項調(diào)查，它已經(jīng)蔓延到辦公區(qū)和員工住宅，而且越來越嚴(yán)重。

經(jīng)過抽樣測試，賽門鐵克殺毒軟件企業(yè)版10由學(xué)校提供.0可以有效查殺已知的ARP欺騙病毒（木馬）病毒。惡意軟件在國際上沒有明確的定義，目前也沒有一款殺毒軟件能提供100%防止其攻擊的解決方案需要借助一些輔助工具進(jìn)行清理。

唐 不要將網(wǎng)絡(luò)安全信任關(guān)系建立在ip或MAC上。

設(shè)置靜態(tài)MAC-IP映射表不要讓主機(jī)刷新你設(shè)置的轉(zhuǎn)換表。

除非必要，否則停止使用ARP，并將ARP作為永久條目保存在相應(yīng)的表中。

使用ARP服務(wù)器。確保這個ARP服務(wù)器沒有被黑。

使用“proxy”代理IP傳輸。

用硬件屏蔽主機(jī)。

定期從響應(yīng)的IP數(shù)據(jù)包中獲取rarp請求，并檢查arp響應(yīng)的真實性。

定期輪詢以檢查主機(jī)上的ARP緩存。

使用防火墻持續(xù)監(jiān)控網(wǎng)絡(luò)。

一般出現(xiàn)局域網(wǎng)

網(wǎng)吧用戶一般可以使用ROS路由綁定，在主機(jī)上安裝ARP防火墻服務(wù)器，在客戶端安裝client雙相綁定更安全。

建議使用雙向綁定來解決和防止ARP欺騙。在電腦上綁定路由器的IP和MAC地址

首先，獲取路由器的MAC地址 的內(nèi)部網(wǎng)（例如HiPER網(wǎng)關(guān)地址192.168.16.254的MAC地址是0022aa0022aa局域網(wǎng)端口MAC地址）

寫一個批處理文件rarp.bat內(nèi)容如下：

echo off

arp -d

arp -s 192.168.16.(254 00)22-aa-00-22-aa

只需將網(wǎng)關(guān)IP和MAC更改為您自己的網(wǎng)關(guān)IP和MAC，并讓此文件開始運行（拖到“開始-程序-啟動”

自己手動清除病毒：

1立即升級操作系統(tǒng)中的殺毒軟件和防火墻，同時打開“實時監(jiān)控”實時攔截局域網(wǎng)中各種ARP病毒變種的功能。

2根據(jù)自己的操作系統(tǒng)版本，立即下載微軟MS06-014和MS07-017兩個系統(tǒng)漏洞補丁，安裝在局域網(wǎng)中存在這兩個漏洞的計算機(jī)系統(tǒng)上，防止病毒變種的感染和傳播。

14檢查是否已經(jīng)中毒：

a. 在設(shè)備管理器中，單擊“查看—顯示隱藏的設(shè)備”

b. 在設(shè)備樹結(jié)構(gòu)中，打開“非即插即用設(shè)備”

c. 查一下是否存在：網(wǎng)絡(luò)組 數(shù)據(jù)包 過濾器 驅(qū)動程序”或“網(wǎng)絡(luò)組 數(shù)據(jù)包 過濾器”如果存在，說明已經(jīng)中毒了。

2對于沒有中毒的機(jī)器，可以下載軟件Anti ARP Sniffer，填寫網(wǎng)關(guān)，開啟自動防護(hù)，保護(hù)好自己的ip地址和網(wǎng)關(guān)地址，保證正常上網(wǎng)。

5您可以通過以下方式手動刪除中毒計算機(jī)中的病毒：

⑴刪除：windows%system32\LOADHW.EXE （有些電腦可能不會）

⑵a. 在設(shè)備管理器中，單擊“查看—顯示隱藏的設(shè)備”

b. 在設(shè)備樹結(jié)構(gòu)中，打開“非即插即用設(shè)備”

c. 找到“網(wǎng)絡(luò)組 數(shù)據(jù)包 過濾器 驅(qū)動程序”或“網(wǎng)絡(luò)組 數(shù)據(jù)包 過濾器”

d. 右擊，”卸載”

e. 重啟系統(tǒng)

⑶刪除：windows%system32\drivers\npf.sys

⑷刪除%windows%system32\msitinit.dll（有些電腦可能不會）

5刪除注冊表服務(wù)密鑰：開始〉運行〉regedit〉打開，進(jìn)入注冊表，并在整個注冊表中搜索npf.Sys，刪除文件所在的整個文件夾Npf.應(yīng)該有2個）至此，arp病毒被清除.

6根據(jù)經(jīng)驗，病毒會下載大量病毒木馬和惡意軟件，修改winsocks，導(dǎo)致網(wǎng)頁和netmeeting無法打開因此，需要完成以下步驟：

a.用殺毒軟件清理惡意軟件和木馬。

1、網(wǎng)上銀行、游戲和QQ賬號頻繁丟失

為了獲取非法利益，一些人利用ARP欺騙程序在網(wǎng)絡(luò)中進(jìn)行非法活動這類程序的主要目的是破解賬號登錄時的加解密算法，攔截局域網(wǎng)內(nèi)的數(shù)據(jù)包，進(jìn)而攔截用戶 通過分析數(shù)據(jù)通信協(xié)議來獲取用戶信息。通過運行這種木馬病毒，你可以獲得互聯(lián)網(wǎng)用戶的詳細(xì)信息把整個局域網(wǎng)的賬號都偷出來。

2、網(wǎng)速時快時慢，極不穩(wěn)定，但單機(jī)測試光纖數(shù)據(jù)時一切正常

權(quán)限域內(nèi)的計算機(jī)被ARP欺騙程序非法入侵后，會持續(xù)向網(wǎng)絡(luò)中的所有計算機(jī)和網(wǎng)絡(luò)設(shè)備發(fā)送大量非法ARP欺騙數(shù)據(jù)包，阻塞網(wǎng)絡(luò)通道，造成網(wǎng)絡(luò)設(shè)備過載，網(wǎng)絡(luò)通信質(zhì)量不穩(wěn)定。

3、頻繁地區(qū)或整個局域網(wǎng)斷網(wǎng)，重啟電腦或網(wǎng)絡(luò)設(shè)備后恢復(fù)正常

帶有ARP欺騙程序的電腦在網(wǎng)絡(luò)中通訊時，會導(dǎo)致頻繁斷網(wǎng)出現(xiàn)此類問題后重啟電腦或禁用網(wǎng)卡會暫時解決問題，但斷網(wǎng)還是會發(fā)生。

網(wǎng)絡(luò)模型簡介

arp病毒

眾所周知，根據(jù)OSI (開放 系統(tǒng) 互連 參考 模型開放系統(tǒng)互聯(lián)參考模型) ，網(wǎng)絡(luò)系統(tǒng)可以分為七層，每層運行不同的協(xié)議和服務(wù)，上下兩層相互配合完成網(wǎng)絡(luò)數(shù)據(jù)交換的功能。

然而，OSI模型只是一個參考模型，而不是應(yīng)用于實際網(wǎng)絡(luò)的模型。事實上，最廣泛使用的商業(yè)網(wǎng)絡(luò)模型是TCP/IP架構(gòu)模型將網(wǎng)絡(luò)分為四層，每層也運行不同的協(xié)議和服務(wù)。

協(xié)議簡介

眾所周知，在局域網(wǎng)中，一臺主機(jī)要想和另一臺主機(jī)通信，就必須知道目標(biāo)主機(jī)的IP地址而局域網(wǎng)中最終負(fù)責(zé)傳輸數(shù)據(jù)的網(wǎng)卡等物理設(shè)備并不識別IP地址，只識別其硬件地址，即MAC地址。MAC地址是48位，通常表示為12個十六進(jìn)制數(shù)，并且在每兩個十六進(jìn)制數(shù)之間使用“或冒號，如：00-0B-2F-13-1A-11是MAC地址。每個網(wǎng)卡都有其全球唯一的MAC地址，網(wǎng)卡之間發(fā)送的數(shù)據(jù)只能根據(jù)對方網(wǎng)卡的MAC地址發(fā)送這時候就需要一個協(xié)議來把高層數(shù)據(jù)包中的IP地址轉(zhuǎn)換成低層的MAC地址，這個重要的任務(wù)就由ARP協(xié)議來完成。

空襲預(yù)防措施全稱為地址 分辨率 協(xié)議,地址解析協(xié)議。所謂“地址解析”是主機(jī)在發(fā)送數(shù)據(jù)包之前，將目的主機(jī)的IP地址轉(zhuǎn)換成目的主機(jī)的MAC地址的過程。ARP協(xié)議的基本功能是通過目標(biāo)設(shè)備的IP地址查詢目標(biāo)設(shè)備的MAC地址，保證通信的暢通。這時候就涉及到一個問題一個局域網(wǎng)至少有幾臺電腦，也有幾百臺電腦你怎么能準(zhǔn)確地記住其他電腦的MAC地址的網(wǎng)卡以便發(fā)送數(shù)據(jù)？這就涉及到另一個概念，ARP緩存表。在局域網(wǎng)內(nèi)的任何一臺主機(jī)中，都有一個ARP緩存表，存儲著這個網(wǎng)絡(luò)中每臺計算機(jī)的ip地址和MAC地址的對比關(guān)系。當(dāng)這臺主機(jī)向同一局域網(wǎng)內(nèi)的另一臺主機(jī)發(fā)送數(shù)據(jù)時，會根據(jù)ARP緩存表中的對應(yīng)關(guān)系進(jìn)行發(fā)送。

接下來，我們用一個模擬的局域網(wǎng)環(huán)境來說明ARP欺騙的過程。

欺騙過程

想象一個僅由三臺計算機(jī)組成的局域網(wǎng)，它由交換機(jī)組成(Switch)連接。其中一臺電腦叫做A，代表攻擊者；一臺電腦叫S，代表源主機(jī)，也就是發(fā)送數(shù)據(jù)的電腦；另一臺電腦叫D，代表目的主機(jī)，也就是接收數(shù)據(jù)的電腦。這三臺電腦的IP地址分別是192.168.2，192.168.3，192.168.4。MAC地址分別是MAC_A，MAC_S，MAC_D。

現(xiàn)在，S計算機(jī)要向D計算機(jī)發(fā)送數(shù)據(jù)在S電腦內(nèi)部，上層的TCP和UDP包已經(jīng)發(fā)送到了最底層的網(wǎng)絡(luò)接口層，即將發(fā)送出去，但是目的主機(jī)D電腦的MAC地址MAC還不知道_D。這時候S電腦應(yīng)該先查詢自己的ARP緩存表，看看里面有沒有192.168.4這臺電腦的MAC地址如果有，就好辦了在數(shù)據(jù)包外面包 就行了。直接發(fā)就好。如果沒有，那么計算機(jī)S會向全網(wǎng)發(fā)送一個ARP廣播包，大聲詢問：我的IP是192.168.3硬件地址是MAC_s，我想知道IP地址是192.168.4的主機(jī)的硬件地址是什么?這時，全網(wǎng)的電腦都收到了ARP廣播包，包括電腦A和d。當(dāng)計算機(jī)A看到它要查詢的IP地址不是它自己的時，它丟棄該數(shù)據(jù)包并忽略它。當(dāng)計算機(jī)D看到IP地址是自己的時，它回答計算機(jī)s：我的IP地址是192.168.4我的硬件地址是MAC_D”需要注意的是，這條消息是單獨回答的，也就是D電腦單獨發(fā)給S電腦的，而不僅僅是廣播。現(xiàn)在，計算機(jī)S已經(jīng)知道了目的計算機(jī)D的MAC地址，它可以將目的地址MAC粘貼到要發(fā)送的數(shù)據(jù)包上_D，發(fā)送出去了。同時，它還會動態(tài)更新自己的ARP緩存表，該表將為192.168.4-MAC_添加這個記錄是為了當(dāng)計算機(jī)S下次向計算機(jī)D發(fā)送數(shù)據(jù)時，你不會 發(fā)送ARP廣播包時不需要大聲詢問。這是正常的數(shù)據(jù)包發(fā)送過程。

這種機(jī)制看起來很完美，似乎整個局域網(wǎng)都是和平安寧的。然而，上述數(shù)據(jù)傳輸機(jī)制有一個致命的缺陷，即它是基于對局域網(wǎng)中所有計算機(jī)的信任，也就是說，它假定：無論是局域網(wǎng)中的哪臺電腦，它發(fā)出的ARP包都是正確的。那這就很危險了！因為局域網(wǎng)內(nèi)并不是所有的電腦都守規(guī)矩，經(jīng)常會有不法之徒。例如，在上面的數(shù)據(jù)傳輸中，當(dāng)S計算機(jī)請求整個網(wǎng)絡(luò)時“我想知道IP地址是192.168.4的主機(jī)的硬件地址是什么?后來，計算機(jī)D也響應(yīng)了其正確的MAC地址。但這時，一直沉默的電腦A也回答了：我的IP地址是192.168.4我的硬件地址是MAC_A” ，注意，此時它其實是冒充D機(jī)的IP地址，而MAC地址其實是寫成自己的！因為計算機(jī)A一直發(fā)送這樣的應(yīng)答包，所以正確的記錄已經(jīng)保存在計算機(jī)s的ARP緩存表中：192.168.4-MAC_d，但是因為計算機(jī)A一直在回答，計算機(jī)S沒有 t不知道計算機(jī)A發(fā)送的數(shù)據(jù)包是偽造的，導(dǎo)致計算機(jī)S再次動態(tài)更新其ARP緩存表這一次，它被記錄為：192.168.4-MAC_很明顯，這是一個錯誤記錄(這一步也稱為ARP緩存表中毒)這樣以后所有的S電腦都會被發(fā)送到D電腦，也就是IP地址是192.168.該主機(jī)的數(shù)據(jù)將被發(fā)送到MAC的MAC地址_一臺主機(jī)，就這樣，在光天化日之下，一臺電腦居然劫持了S電腦發(fā)給D電腦的數(shù)據(jù)！這就是ARP欺騙的過程。

如果這臺電腦A再做一次，“過分”有些，它不 不要假裝是一臺3d電腦，而是一個網(wǎng)關(guān)會發(fā)生什么？眾所周知，如果一臺局域網(wǎng)內(nèi)的電腦要連接外網(wǎng)，那么在登錄互聯(lián)網(wǎng)時，收發(fā)的數(shù)據(jù)都會通過局域網(wǎng)內(nèi)的網(wǎng)關(guān)進(jìn)行轉(zhuǎn)發(fā)，所有的數(shù)據(jù)都會先經(jīng)過網(wǎng)關(guān)，再由網(wǎng)關(guān)發(fā)送到互聯(lián)網(wǎng)。在局域網(wǎng)中，網(wǎng)關(guān)的IP地址通常是192.168.1。如果電腦A一直向全網(wǎng)發(fā)送ARP欺騙廣播，大聲說：我的IP地址是192.168.1我的硬件地址是MAC_A”此時局域網(wǎng)內(nèi)的其他電腦并沒有察覺到什么，因為局域網(wǎng)通信的前提條件是信任任何一臺電腦發(fā)送的ARP廣播包。這樣，局域網(wǎng)中的其他計算機(jī)將更新它們的ARP緩存表和記錄192.168.1-MAC_一個這樣的記錄，這樣當(dāng)它們被發(fā)送到網(wǎng)關(guān)時，也就是IP地址是192.168.1這臺電腦的數(shù)據(jù)和結(jié)果會發(fā)送到MAC_A這臺電腦中！這樣，計算機(jī)A將監(jiān)聽整個局域網(wǎng)發(fā)送到互聯(lián)網(wǎng)的數(shù)據(jù)包!