ARP病毒攻击原理及防范

2024年5月8日发(作者：)

维普资讯

网络与安全技术　

２００７年１１月１０日第１１期　

坪　金融董Ｊ；垂．　

ＡＲＰ病毒攻击原理及防范　

◆　中国人民银行株洲市中心支行　贺朝晖　

ＡＲＰ病毒是一种地址欺骗病毒。当局域网内　

某台主机运行ＡＲＰ时，ＡＲＰ会欺骗局域网内所有　

ＡＲＰ广播包，这表示向同一网段内的所有主机发　

出询问：“１９２．１６８．１６．２的ＭＡＣ地址是什么？”网络　

上其他主机并不响应该ＡＲＰ询问，只有主机Ｂ接　

收这个帧时，才向主机Ａ做出回应：“１９２．１６８．１６．２　

的ＭＡＣ地址是ｂｂ—ｂｂ—ｂｂ—ｂｂ—ｂｂ—ｂｂ”。这样，主机　

的主机和路由器，让所有上网的数据都必须经过病　

毒主机，原来直接通过路由器上网的用户现在转由　

通过病毒主机上网。　

一

、

ＡＲＰ病毒原理　

Ａ就知道了主机Ｂ的ＭＡＣ地址，它就可以向主机　

Ｂ发送信息了。同时它还更新了自己的ＡＲＰ缓存　

表，下次再向主机Ｂ发送信息时，可直接从ＡＲＰ缓　

在以太网介质局域网中，数据帧在链路层是按　

照ＭＡＣ地址进行发送和接收的，一个主机要和另　

一

个主机进行直接通信，必须知道目标主机的　

存表里查找。缓存中的ＩＰ—ＭＡＣ条目根据ＡＲＰ响　

应包动态变化，只要网络上有ＡＲＰ响应包发送到　

本机上，本机就会更新ＡＲＰ高速缓存中的ＩＰ—　

ＭＡＣ条目。　

ＭＡＣ地址，ＩＰ地址和ＭＡＣ地址的转换通过ＡＲＰ　

协议（Ａｄｄｒｅｓｓ　Ｒｅｓｏｌｕｔｉｏｎ　Ｐｒｏｔｏｃｏｌ，地址解析协议）实　

现。每台安装有ＴＣＰＡＰ协议的计算机里都有一个　

ＡＲＰ缓存表，ＩＰ地址与ＭＡＣ地址的对应如表１所　

示：　

ＡＲＰ缓存表为ＡＲＰ欺骗和病毒攻击提供了可　

能。ＡＲＰ协议的基础是信任局域网内所有的人，计　

表１　ＩＰ地址与ＭＡＣ地址对应表　

ＩＰ地址　

ｌ９２．１６８．１６．１　

１９２．１６８．１６．２　

１９２．１６８．１６－３　

１９２．１６８．１６．４　

算机在收到伪造的ＡＲＰ应答数据包时，也会对本　

ＭＡＣ地址　

ａａ—ａａ—＿ａａ—　ａａ—ａａ—ａａ　

ｂｂ—ｂｂ—ｂｂ—ｂｂ—ｂｂ—ｂｂ　

ｃｃ—ｃｃ＿ｃｃ＿ｃｃ—ｃｃ—ｃｃ　

ｄｄ—ｄｄ—ｄｄ—ｄｄ—ｄｄ—ｄｄ　

说明　

主机Ａ　

主机Ｂ　

主机Ｃ　

主机Ｄ　

地的ＡＲＰ缓存进行更新。例如，Ｂ向Ａ发送一个自　

己伪造的ＡＲＰ应答，说其ＩＰ地址是ｌ９２．１６８．１０．３　

（主机Ｃ），ＭＡＣ地址是ＢＢ—ＢＢ—ＢＢ—ＢＢ—ＢＢ—ＢＢ，当　

Ａ接收到Ｂ伪造的ＡＲＰ应答，就会将ＡＲＰ缓存表　

中主机Ｃ的ＭＡＣ地址改为主机Ｂ的ＭＡＣ地址，　

当主机Ａ向主机Ｂ发送数据时，主机Ａ会在　

自己的ＡＲＰ缓存表中寻找是否有目标ＩＰ地址。如　

果找到了，也就知道了ＭＡＣ地址，直接把目标　

此后Ａ发往Ｃ的数据，实际上被Ｂ接收了，主机Ｃ　

并不会响应，因为数据帧的ＭＡＣ地址与它的ＭＡＣ　

地址不匹配。　

ＭＡＣ　ｆ￣ｔＡ－￣入帧里发送即可；如果在ＡＲＰ缓存表　

中没有找到相对应的ＩＰ地址，主机Ａ就会在网络　

上发送一个目标ＭＡＣ地址“ＦＦ．ＦＦ．ＦＦ．ＦＦ．ＦＦ．ＦＦ”的　

攻击者或通过计算机实施ＡＲＰ欺骗，通常出　

于两个目的。一是冒充网关，作为“中间人”（ｍａｎ　

ｉｎ　ｔｈｅ　ｍｉｄｄｌｅ）对网络进行嗅探，截获特定的数据信　

Ｎ０Ｖ．１０．２００７　ＮＯ．１　１　

囵　

维普资讯

坪切金　电肛　

兀￣ＡＮＣＩＡＬ　Ｃ０ＭＰＵ　ｒＥＲ　ＯＦ　ＨＵＡＮＡ　

网络与安全技术　

２００７年１　１月１０　Ｅｔ第１　１期　

息；二是制造混乱，造成ＩＰ地址冲突，导致网络不　

能正常使用。攻击源大量向局域网中发送虚假的　

ＡＲＰ信息后，会造成局域网内通讯壅塞，计算机　

ＡＲＰ缓存崩溃。　

二、ＡＲＰ病毒的清除　

ＡＲＰ病毒通常用高级语言编写，由几个部分　

预。但在互联网上，用户升级的自动化程度和及时　

性都较差，用户必须经常检查病毒定义并主动进行　

升级。如果病毒定义滞后，系统对较新的病毒就没　

有防范能力，会给病毒以可乘之机。　

（二）、安装ＡＲＰ专杀Ｔ具和病毒防火墙　

目前，针对ＡＲＰ病毒　现了不少专杀Ｔ具或　

ＡＲＰ防火墙工具，对于防范ＡＲＰ病毒具有一定的　

积极作用。此类软件的功能通常包括：在系统内核　

组成，每一部分都是单独的文件，以单独的进程驻　

留内存，而且ＡＲＰ病毒可以通过任务管理器查看。　

ＡＲＰ病毒的这些特点使用户在遇到ＡＲＰ病毒时可　

以遵循一定的步骤通过手工的方法进行清除。　

（一）、关闭系统恢复功能。本步骤仅用于　

Ｗｉｎｄｏｗｓ　Ｍｅ和Ｗｉｎｄｏｗｓ　ＸＰ系统。　

层拦截外部虚假ＡＲＰ数据包，保障系统不受ＡＲＰ　

欺骗、ＡＲＰ攻击影响，保持网络畅通及通讯安全；　

自动监测本机ＡＲＰ缓存表，如发现网关ＭＡＣ地址　

被恶意程序篡改，将报警并自动修复，以保持网络　

畅通及通讯安全；主动与网关保持通讯，通告网关　

正确的ＭＡＣ地址，保持网络畅通及通讯安全。Ａｎ—　

ｔｉＡＲＰ就是一款实用的丁具。　

但ＡＲＰ专杀Ｔ具大多只能保护ＰＣ机，不能　

保护路由器（网关）。如果一台带毒的计算机向路由　

器发送伪造的ＡＲＰ应答包，由于路由器并不受专　

杀工具保护，它将根据伪应答包更新特定计算机在　

ＡＲＰ缓存表中的ＭＡＣ地址，这将导致ＰＣ机知道　

网关在哪里，而网关不知道真正的ＰＣ机在哪里，　

通讯会出现时断时通。　

（二）、更新杀毒软件的病毒定义。安装最新的　

病毒代码库，以便杀毒软件识别、处理更多的病毒。　

（三）、重新启动计算机，进入安全模式。这一　

步操作非常关键，目的是为了使杀毒在安全的系统　

下进行，避免循环感染。在安全模式下，Ｗｉｎｄｏｗｓ系　

统只运行最基本的程序，因此病毒不会被执行，这　

样可以确定系统是安全的。　

（四）、使用杀毒软件对本地计算机进行全面扫　

描，发现带毒文件一律删除。　

（五）、删除病毒在注册表中添加的键值。杀毒　

软件在很多时候不能自动修复注册表设置，用户必　

须通过手工完成，这一步操作的步骤因具体的病毒　

而－ｉｔ－所不同。　

（三）、在网关和用户端实行“双向绑定”　

要消除ＡＲＰ病毒的影响，最根本的方法是在　

路由器和客户机上同时绑定ＩＰ与ＭＡＣ地址，实行　

“双向绑定”。　

三、ＡＲＰ病毒的防范　

由于ＡＲＰ病毒的影响较为严重，在日常工作　

中，要在以下三个层次上进行防范：　

在每台ＰＣ机上绑定网关和其他ＰＣ的ＭＡＣ　

地址。采用固化ＡＲＰ表，使下列指令在开机后自　

动执行：　

ａｒｐ　ｄ清空ＡＲＰ表　

ａｒｐ—ｓ　１９２．１６８．０．２５４　００一ｅｏ－４ｃ一８ｃ一９ａ一４７绑定网关　

ａｒｐ—ｓ　１９２．１６８．０．１　００一ｅｏ－４ｃ一８ｃ一９ａ一４８绑定主机１　

ａｒｐ—ｓ　１９２．１６８．０．２　００一ｅ０－４ｅ一８ｅ一９ａ－－４９……　

（一）、及时升级系统补丁和病毒定义　

病毒是利用操作系统的漏洞进行传播和感染　

的，因此及时打好操作系统的补丁，能够有效堵塞　

漏洞，减少病毒入侵的机会。在内网上，可以利用　

ＷＳＵＳ、Ｌａｎ—Ｄｅｓｋ技术建立补丁分发系统，及时更　

新用户操作系统；在互联网上，用户可使用　

Ｗｉｎｄｏｗｓ　Ｕｐｄａｔｅ安装系统补丁程序（关键更新、安　

全更新和Ｓｅｒｖｉｃｅ　Ｐａｃｋ），但自动化程度和实际效果　

往往受到制约。　

为了清除病毒，首先要正确识别病毒，确保当　

ａｒｐ—ｓ　１９２．１６８．０．ｎ　００－ｅ０—４ｃ一８ｅ一９ａ一５０绑定主机Ｎ　

在路由器中把所有ＰＣ的ＩＰ—ＭＡＣ输入到一　

个静态表中。经过上述绑定后，ＰＣ与路由器之间，　

ＰＣ与ＰＣ之间都能找到对方的真实ＭＡＣ地址，链　

路层数据帧也能顺利发送到目标主机，从而保证了　

ＩＰ通讯的正常进行。　

（责任编辑：高碧波）　

前的病毒定义库是最新的。很多单位内网上可以利　

用网络防病毒系统实现自动升级，用户不需要干　

ＮＯＶ．１０．２００７　ＮＯ．１　１