ARP病毒的原理和防御方法

2024年5月8日发(作者：)

ARP攻击型病毒的原理和防御方法初探

作者简介

崔佩龙（1983- ），男，山西长治人，助理工程师，从事计算机软件开发等工作。

任俊明（1983- ），男，山西长治人，助理工程师，从事计算机网络建设与维护等工作。

摘要 介绍了计算机网络中存在的ARP攻击型病毒的成因及危害，提出了相应

的防御方法。

关键词 网络 ARP病毒

引言: 随着计算机网络在人们的生产和生活中日益普及,网络上的病毒种类也呈

现出爆炸式增长的趋势,各种新型病毒不但传播速度越来越快，攻击时间差也越

来越短，网络上存在的各种病毒编写工具甚至源代码也大大提升了病毒编制者的

能力及效率，使很多上网的一般用户难以提防，大大影响了正常的工作和学习，

造成难以估量的影响。本文所讨论的ARP攻击型病毒是以攻击网络通信设备为过

程,以盗取用户信息为目的的一种病毒,同时本文针对它的表现进行了分析并提

出一些防御措施。

一、 ARP攻击型病毒定义

ARP攻击型病毒（以下简称ARP攻击型病毒）是一类特殊的病毒，该病毒一

般属于木马(Trojan)病毒，不具备主动传播的特性，不会自我复制，但是发作的

时候会向全网发送伪造的ARP数据包或引起全网生成ARP广播风暴，干扰全网的

运行，因此它的危害比一些蠕虫还要严重得多。

二、ARP攻击型病毒发作时的现象

网络掉线，但网络连接正常，内网的部分PC机不能上网，或者所有计算机

不能上网，无法打开网页或打开网页慢，局域网时断时续并且网速较慢等。

三、ARP攻击型病毒运行原理

3.1 网络模型简介

众所周知，按照OSI (Open Systems Interconnection Reference Model 开

放系统互联参考模型) 的观点，可将网络系统划分为7层结构，每一个层次上运

行着不同的协议和服务，并且上下层之间互相配合，完成网络数据交换的功能，

如图1：

7 应用层

6 表示层

5 会话层

4 运输层

3 网络层

2 数据链路层

1 物理层

图1 OSI网络体系模型

然而，OSI的模型仅仅是一个参考模型，并不是实际网络中应用的模型。实

际上应用最广泛的商用网络模型即TCP/IP体系模型，将网络划分为四层，每一

个层次上也运行着不同的协议和服务，如图2。

4 应用层

HTTP,FTP,

Telnet,SMTP

3 运输层

TCP UDP

2 网际层

IP， ARP，RARP，

ICMP，IGMP

1 网络接口层

图2 TCP/IP四层体系模型及其配套协议

由图2可见，我们要讨论的ARP协议，是工作在网际层上的协议。

3.2 ARP协议简介

ARP全称为Address Resolution Protocol，地址解析协议。所谓“地址解

析”就是主机在发送数据包前将目标主机IP地址转换成目标主机MAC地址的过

程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地

址，以保证通信的顺利进行。

3.3 ARP工作原理

以太网设备比如网卡都有自己全球唯一的MAC地址，它们是以MAC地址来传

输以太网数据包的，但是它们却识别不了我们IP包中的IP地址，所以我们在以

太网中进行IP通信的时候就需要一个协议来建立IP地址与MAC地址的对应关

系，以使IP数据包能发到一个确定的地方去，这个就是ARP过程。

在此处，我们可以在命令行窗口中，输入

arp –a

来看一下效果，类似于这样的条目

192.168.1.200 00-0b-5f-e6-c5-d7 dynamic

就是我们计算机里存储的关于IP地址与MAC地址的对应关系，dynamic表示

是临时存储在ARP缓存中的条目，过一段时间就会超时被删除(xp/2003系统是2

分钟)。当我们的计算机要和一台机器比如192.168.1.5通信的时候，它会首先

去检查arp缓存，查找是否有对应的arp条目，如果没有，它就会给这个以太网

络发ARP请求包广播询问192.168.1.5的对应MAC地址，当然，网络中每台计算

机都会收到这个请求包，但是它们发现192.168.1.5并非自己，就不会做出相应，