ARP欺骗原理及防范（一）

鉴于目前ARP欺骗对局域网安全运行造成的影响,我们收集整理了这个ARP欺骗病毒的专题,希望能给您的网络安全运行带来帮助!我们将从下面几个方面来讲解ARP欺骗病毒的原理及防治办法:

1、什么是ARP协议

2、ARP欺骗原理

3、ARP欺骗病毒

1、什么是ARP协议

要想了解ARP欺骗攻击的原理，首先就要了解什么是ARP协议。

ARP是地址转换协议（Address Resolution Protocol）的英文缩写，它是一个链路层协议，工作在OSI模型的第二层，在本层和硬件接口间进行联系，同时对上层（网络层）提供服务。我们知道二层的以太网交换设备并不能识别32位的IP地址，它们是以48位以太网地址（就是我们常说的MAC地址）传输以太网数据包的。也就是说IP数据包在局域网内部传输时并不是靠IP地址而是靠MAC地址来识别目标的，因此IP地址与MAC地址之间就必须存在一种对应关系，而ARP协议就是用来确定这种对应关系的协议。ARP工作时，首先请求主机会发送出一个含有所希望到达的IP地址的以太网广播数据包，然后目标IP的所有者会以一个含有IP和MAC地址对的数据包应答请求主机。这样请求主机就能获得要到达的IP地址对应的MAC地址，同时请求主机会将这个地址对放入自己的ARP表缓存起来，以节约不必要的ARP通信。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用（windows系统这个时间为2分钟，而Cisco路由器的这个时间为5分钟），就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。

2、ARP欺骗原理

在了解ARP协议后我们再来看看什么是ARP欺骗，它的目的又是什么？通过上面的例子我们知道了在以太局域网内数据包传输依靠的是MAC地址，IP地址与MAC对应的关系依靠ARP表，每台主机（包括网关）都有一个ARP缓存表。在正常情况下这个缓存表能够有效的保证数据传输的一对一性，也就是说主机A与主机C之间的通讯只通过网关1和网关1，象主机B之类的是无法截获A与C之间的通讯信息的。但是在ARP缓存表的实现机制中存在一个不完善的地方，当主机收到一个ARP的应答包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。

这就导致主机B截取主机A与主机C之间的数据通信成为可能。首先主机B向主机A发送一个ARP应答包说192.168.1.1的MAC地址是03-03-03-03-03-03，主机A收到这个包后并没有去验证包的真实性而是直接将自己ARP列表中的192.168.1.1的MAC地址替换成03-03-03-03-03-03，同时主机B向网关1发送一个ARP响应包说192.168.1.2的MAC是03-03-03-03-03-03，同样网关1也没有去验证这个包的真实性就把自己ARP表中的192.168.1.2的MAC地址替换成03-03-03-03-03-03。当主机A想要与主机C通讯时，它直接把应该发送给网关1(192.168.1.1)的数据包发送到03-03-03-03-03-03这个MAC地址，也就是发给了主机B，主机B在收到这个包后经过修改再转发给真正的网关1，当从主机C返回的数据包到达网关1后，网关1也使用自己ARP表中的MAC，将发往192.168.1.2这个IP地址的数据发往03-03-03-03-03-03这个MAC地址也就是主机B，主机B在收到这个包后再转发给主机A完成一次完整的数据通讯，这样就成功的实现了一次ARP欺骗攻击。因此简单点说ARP欺骗的目的就是为了实现全交换环境下的数据监听与篡改。到这里我们可以知道要完成一次有效的ARP欺骗的关键点就是双向欺骗，也就是说欺骗者必须同时对网关和主机进行欺骗。

3、ARP欺骗病毒

首先需要说明的是，这里说的ARP欺骗病毒并不是特指某一种病毒，而是指所有包含有ARP欺骗功能的病毒的总称。由于ARP欺骗到目前为止依然是一种难以控制且非常有效的攻击手段，在今后很长一段时间它都会被病毒、木马程序等利用。这也加大了我们对这类病毒的控制难度。

ARP病毒的危害：

影响局域网正常运行——局域网内一旦有ARP的攻击存在，会欺骗局域网内所有主机和网关，让所有上网的流量必须经过ARP攻击者控制的主机。其他用户原来直接通过网关上网现在转由通过被控主机转发上网，由于被控主机性能和程序性能的影响，这种转发并不会非常流畅，因此就会导致用户上网的速度变慢。而由于ARP表存在老化机制，这就导致在某段时候主机能获得正确的网关MAC直到新的欺骗完成，这两种情况的交替过程中，主机显示的状况就是时断时续。

泄露用户敏感信息——大部分时候这些信息是黑客们所感兴趣的东西（如游戏帐号和密码、QQ号和密码、网银帐号和密码等）

ARP病毒的传播方式

前面讲过ARP欺骗是一种攻击方式，所有的病毒都可以采用这种方式，因此ARP病毒传播的方式包括现有大部分病毒传播的方式，从前我们掌握的情况来看，主要为以下几种：

通过网页下载传播（目前大部分ARP木马的传播方式）

网络共享传播（弱口令共享等）

移动存储介质传播（如U盘、移动硬盘等）

文件感染

ARP病毒的查杀

对于已知的ARP病毒，可以使用杀毒软件或者是专杀工具进行查杀，而对于一些杀毒软件无法查杀的未知ARP病毒，建议用户重新安全系统并及时升级补丁程序！