ARP病毒的原理、防御及清除方法

2024年5月8日发(作者：)

新　疆　石　油　科　技　２０１２年第２期（第２２卷）　・７５・　

ＡＲＰ病毒的原理、防御及清除方法　

沈娜①　

新疆油田公司采油工艺研究院．８３４０００新疆克拉玛依　

龚林强　

中国石油克拉玛依石化公司　

摘要　从ＡＲＰ病毒定义、ＡＲＰ病毒发作时的现象出发，详细介绍了ＡＲＰ病毒原理以及ＡＲＰ病毒新的表现形式，最后给出了局　

域网ＡＲＰ病毒的网络免疫措施和解决方案。　

关键词ＡＲＰ病毒木马病毒网络免疫网络安全　

１　ＡＲＰ病毒简介　

ＡＲＰ病毒不是具体某一种病毒的名称，而是对利　

用ＡＲＰ协议的漏洞进行传播的一类病毒的总称。　

ＡＲＰ（Ａｄｄｒｅｓｓ　Ｒｅｓｏｌｕｔｉｏｎ　Ｐｒｏｔｏｃｏ１）的中文名称为地址　

解析协议，它的运行方式比较简单，整个过程是由　

ＡＲＰ请求（ＡＲＰ　Ｒｅｑｕｅｓｔ）与ＡＲＰ应答ｆ　ＡＲＰ　Ｒｅｐｌｙ）两　

２．２欺骗网关攻击　

攻击者伪造ＡＲＰ报文，发送源ＩＰ地址为同网段　

内某一合法用户的ＩＰ地址。源ＭＡＣ地址为伪造的　

ＭＡＣ的ＡＲＰ报文给网关，使网关更新自身ＡＲＰ表中　

原合法用户的ＩＰ地址与ＭＡＣ地址的对应关系。这　

样，网关发给该用户的所有数据全部重定向一个错误　

的ＭＡＣ地址，导致该用户无法正常访问外网。　

种信息包所组成。网络常识告诉我们。数据链路层在　

传递信息包时，必须利用数据链路层地址来识别目标　

２＿３中间人攻击　

ＡＲＰ中间人攻击是恶意攻击者想探听另外两台　

计算机之间的通信，它可以分别给这两台计算机发送　

伪造的ＡＲＰ应答报文。使两台计算机更新自身ＡＲＰ　

设备；网络层在传递信息包时，必须利用网络层地址　

来识别目标设备。通俗来说．当我们在网络中利用ＩＰ　

地址传递信息包时，必须要知道目标的ＭＡＣ地址．这　

项工作就由ＡＲＰ完成。由于ＡＲＰ的请求信息包为以　

映射表中与对方ＩＰ地址相应的表项。此后这两台计　

算机之间通信实际上是通过黑客所在的主机间接进　

行的，黑客充当了中间人的角色，可以对信息进行窃　

取和篡改。ＡＲＰ欺骗只需成功感染一台电脑。就可能　

太网广播信息包，即ＡＲＰ请求无法通过路由器传送　

到其他网络。因此，ＡＲＰ仅能解析同一网络内的ＭＡＣ　

地址，无法解析其他网络的ＭＡＣ地址。　

导致整个局域网都无法上网。严重的甚至可能带来整　

个网络的瘫痪。该病毒发作时除了会导致同一局域网　

２　ＡＲＰ病毒的攻击方式　

２．１伪冒网关攻击　

攻击者伪造ＡＲＰ报文，发送源ＩＰ地址为网关ＩＰ　

地址、源ＭＡＣ地址为伪造的ＭＡＣ地址的ＡＲＰ报文　

给被攻击的主机，使这些主机更新ＡＲＰ表中网关ＩＰ　

地址的对应关系。这样，主机访问网关的流量．被重新　

定向到一个错误的ＭＡＣ地址，导致用户无法正常访　

内的其他用户上网出现时断时续的现象外．还会窃取　

用户密码，给用户造成不便或经济损失。　

由于ＡＲＰ病毒不同于其它病毒．它的攻击是基　

于基础网络协议的缺陷，所以ＡＲＰ病毒攻击的防御　

不同于常见病毒，单靠传统杀毒软件和防火墙难以根　

除。ＡＲＰ病毒不仅攻击ＰＣ机，还攻击路由器、核心交　

换机、一般交换机等各种网络设备，传播和危害范围　

很广　

问外网。这样，如果某台ＰＣ机的ＡＲＰ表被攻击者修　

改，他就无法正常上网。而且。攻击者还可以使用第三　

方ＰＣ机的ＭＡＣ作为伪造ＭＡＣ。这样即使在被攻击　

者ＰＣ机上查到了伪造ＭＡＣ地址，也很难定位哪台　

ＰＣ机是真正的攻击者。　

３　ＡＲＰ病毒攻击原理　

ＡＲＰ欺骗的核心思想就是向目标主机发送伪造　

的ＡＲＰ应答，并使目标主机接收应答中伪造的ＩＰ地　

①作者简介：工程师，２００４—０７毕业于西南石油学院计算机科学与技术专业　

新　疆　石　油　科　技　

址与ＭＡＣ地址之间的映射对．以此更新目标主机　

ＡＲＰ缓存。　

ＡＲＰ工作时。首先请求主机发送出一个含有所希　

望到达的ＩＰ地址的以太网广播数据包，然后目标ＩＰ　

的所有者会以一个含有ＩＰ和ＭＡＣ地址对的数据包　

应答请求主机。这样请求主机就能获得要到达的ＩＰ　

地址对应的ＭＡＣ地址，同时请求主机会将这个地址　

对放入自己的ＡＲＰ表缓存起来，以节约不必要的　

ＡＲＰ通信。假如主机Ａ要与主机Ｂ通信，它首先会　

检查自己的ＡＲＰ缓存中是否有Ｂ这个地址对应的　

ＭＡＣ地址．如果没有它就会向局域网的广播地址发　

送ＡＲＰ请求包．大致的意思是Ｂ的ＭＡＣ地址是什么　

请告诉Ａ，而广播地址会把这个请求包广播给局域网　

内的所有主机。但是只有Ｂ这台主机才会响应这个　

请求包，它会回应Ａ一个ＡＲＰ包，大致的意思是Ｂ的　

ＭＡＣ地址是Ｂ的ＭＡＣ地址是００—１４～２２—３４—８０—５３。　

这样的话主机Ａ就得到了主机Ｂ的ＭＡＣ地址，并且　

它会把这个对应的关系存在自己的ＡＲＰ缓存表中。　

之后主机Ａ与主机Ｂ之间的通信就依靠两者缓存表　

里的ＭＡＣ地址来通信了，直到通信停止后２ｍｉｎ，这　

个对应关系才会从表中被删除。　

ＡＲＰ请求中包含目的主机的ＩＰ地址．它向以太　

网上的每一个主机询问：“如果你是这个ＩＰ地址的拥　

有者，请回答你的ＭＡＣ地址”。具有此ＩＰ地址的主机　

收到这份广播报文后，会向源主机回送一个包含其　

ＭＡＣ地址的ＡＲＰ应答。显然，这个过程是建立在主　

机之间相互信任的基础上的，这就为网络安全留下了　

隐患。ＡＲＰ运行效率很高，其关键在于每一个主机都　

有一个ＡＲＰ缓存表，这个缓存表存放了最忌的ＩＰ地　

址与ＭＡＣ地址之间的映射记录。由于ＡＲＰ缓存表是　

动态更新的，主机在接收到ＡＲＰ应答或请求后就更　

新ＡＲＰ缓存表，而不管自己是否曾经发送了ＡＲＰ请　

求或已经接收了ＡＲＰ应答，这就为实施ＡＲＰ欺骗提　

供了可能。　

通过以上分析可知，ＡＲＰ协议具有动态性、无序　

性、无记忆性、无安全管理等特性，这就是ＡＲＰ攻击　

的基础　

４　ＡＲＰ病毒的防御方法　

在局域网中，通信前必须通过ＡＲＰ协议来完成　

ＩＰ地址转换为第二层物理地址（即ＭＡＣ地址）。ＡＲＰ　

协议对网络安全具有重要的意义。通过伪造ＩＰ地址　

和ＭＡＣ地址实现ＡＲＰ欺骗，对网络的正常传输和安　

全都是一个很严峻的考验。　

２０１２年第２期（第２２卷）　

上面已经说过，欺骗形式有欺骗路由器ＡＲＰ表　

和欺骗电脑ＡＲＰ两种，我们的防护当然也是两个方　

面的，首先在路由器上进行设置。来防止路由器的　

ＡＲＰ表被恶意的ＡＲＰ数据包更改；其次，我们也会在　

电脑上进行一下设置，来防止电脑的ＡＲＰ表受恶意　

更改。两个方面的设置都是必须的，不然，如果您只设　

置了路由器的防止ＡＲＰ欺骗功能而没有设置电脑．　

电脑被欺骗后就不会把数据包发送到路由器上，而是　

发送到一个错误的地方，当然无法上网和访问路由器　

了。　

４．１设置前准备　

当使用了防止ＡＲＰ欺骗功能：即ＩＰ和ＭＡＣ绑　

定功能后，最好不要再使用动态ＩＰ地址分配，因为电　

脑可能获取到和ＩＰ与ＭＡＣ绑定条目不同的ＩＰ，这时　

候可能会无法上网，可以通过以下步骤来避免这一情　

况的发生。　

（１）把路由器的ＤＨＣＰ功能关闭：打开路由器管　

理界面。“ＤＨＣＰ服务器”＿＿＞“ＤＨＣＰ服务”．把状态由　

默认的“启用”更改为“不启用”，保存并重启路由器：　

（２）给电脑手工指定ＩＰ地址、网关、ＤＮＳ服务器　

地址。　

４．２设置路由器防止ＡＲＰ欺骗　

使用可防御ＡＲＰ攻击的三层交换机，绑定端口　

ＭＡＣ—ＩＰ。限制ＡＲＰ流量，及时发现并自动阻断ＡＲＰ　

攻击端口。合理划分ＶＬＡＮ。彻底阻止盗用ＩＰ、ＭＡＣ　

地址，杜绝ＡＲＰ的攻击。　

４－３设置电脑防止ＡＲＰ欺骗　

路由器已经设置了防止ＡＲＰ欺骗功能，接下来　

来设置电脑的防止ＡＲＰ欺骗。微软的操作系统中都　

带有ＡＲＰ这一命令行程序，我们可以在ｗｉｎｄｏｗｓ的　

命令行界面来使用它。打开ｗｉｎｄｏｗｓ的命令行提示符　

如下：　

、

通过“ａｒｐ—ｓ＋路由器ＩＰ如１９２．１６８．１．１＋路由器的　

ＭＡＣ地址”这条命令来实现对路由器的ＡＲＰ条目的　

静态绑定。至此，我们已经设置了电脑的静态ＡＲＰ条　

目，这样电脑发送到路由器的数据包就不会发送到错　

误的地方去了。　

５　ＡＲＰ　７Ｉ内母Ｉ的查杀　

ＡＲＰ病毒没有明显的特征．对于一般的杀毒软件　

来说是很难查杀的。ＡＲＰ病毒的查杀首先要对局域网　

内的ＡＲＰ中毒机器进行定位．然后再进行清除。ＡＲＰ　

病毒的定位有３种方法：直接定位、工具定位以及嗅　

ＡＲＰ病毒的原理、防御及清除方法　・７７・　

探定位，结合起来效果更佳。　

于错误的ＭＡＣ地址，均被发到了中毒主机。此时，中　

５．１使用ＡＲＰ—ａ命令　

在命令提示符下敲入“ＡＲＰ—ａ”命令查询一下当　

前网关的ＭＡＣ地址，如果与网关的真实ＭＡＣ不符，　

那它就是攻击者的ＭＡＣ地址。如果相符，则打开　

ＭＡＣ地址扫描工具，形成当前局域网的ＩＰ和ＭＡＣ　

毒主机越俎代庖，起了缺省网关的作用。　

６结束语　

通过分析和采取以上的防护措施以后，可以有效　

地避免ＡＲＰ病毒在局域网中造成的用户网络中断，　

对应表，再与正确的对应表相比较。即可确定攻击者　

的ＭＡＣ地址　

运行不稳定等现象，确保局域网正常工作。　

参考文献　

ｌ李扬继，方勇等．针对ＡＲＰ协议的攻击与防范ｆＪ１．信息安全与　

通信保密，２００４（８）：４Ｊ０—４２　

５．２使用Ｓｎｉｆｆｅｒ软件抓包　

如果是ＡＲＰ报文泛洪攻击．使用Ｓｎｉｆｆｅｒ软件嗅　

探全网，哪个ＭＡＣ地址的ＡＲＰ包泛滥即为攻击者。　

５．３使用Ｔｒａｃｅｒｔ命令　

在任意＿一一台收影响的主机上．跟踪一个外网地　

址，如在ＤＯＳ命令窗口下运行如下命令：Ｔｒａｃｅｒｔ　

１５７．５５．８５．２１２。假定设置的默认网关为１０．７１．２１６．１，　

２于静苗．ＡＲＰ病毒简介及查杀方法．网络安全技术与应用．　

２００８—０２　

３梁亚声．计算机网络安全教程（第２版）［Ｍ】．北京：机械工业出　

版社．２００８　

４李俊民，郭丽艳．网络安全与黑客攻防宝典［Ｍ】．北京：电子工　

业出版社．２ｏ１Ｏ　

第一跳却是１Ｏ．７１．２１６．１３３，那么，ＩＰ地址为　

１Ｏ．７１．２１６．１３３的计算机就是病毒源。　

中毒主机在受影响的主机和网关之间　扮演了　

“中间人”的角色。所有本应该到达网关的数据包。由　

责任编辑：周江　

收稿日期：２０１２一Ｏ２—２３　

（上接第７４页）　

后由控制中心根据任务列表启动“任务管理”为相应　

的后继活动新建任务：　

完毕，并成功地集成于《采油工艺方案与施工设计管　

理系统》，效果良好。通过审批流建模，实现了审批过　

（７）异常处理。系统在运行过程中难免会发生异　

常情况，如果这些异常得不到处理，系统的可靠性就　

得不到保障，该模块主要是在系统产生异常时自动转　

入到异常处理过程。由用户或计算机自动处理这些　

问题，及时地修正或终止流程。引擎的开发是基于多　

线程技术的，其中开启一条线程进行寻找已完成任　

务，通过对相应流程的解析自动生成新的审批任务添　

加到相应的任务项中：另外再开一条线程扫描审批超　

程规范化、合理化；提高技术文档资料安全性；最终　

实现了审批过程的可控化与自动化。　

参考文献　

１肖颖，陈德人，陈敏．基于Ｗｅｂ　Ｓｅｒｖｉｃｅ的可视化工作流系统的　

研究【Ａ】．国家高技术计划自动化领域ＣＩＭＳ主题专家组．网　

络化制造与大规模定制学术会议论文集【Ｃ】．２００３：１６５—１６８　

责任编辑：李未蓝　

收稿日期：２０１２—０３—０９　

时的任务，对其进行相关处理。采用多线程技术保证　

了扫描进行的实时性，提高了审批流的自动化程度及　

工作效率。　

５　结束语　

面向文档审批的可视化工作流原型系统已开发