2024年5月8日发(作者:)

2010年8局 电 脑 学 习 第4期 

ARP病毒攻击浅析 

陈芬 张永志“ 沈吉锋“’ 

摘 要:针对ARP欺骗的形式特点。阐述ARP的概念。ARP欺骗攻击的原理以及防范ARP攻击的策略.为增强计算机网终对 

ARP欺骗的防范能力提供借鉴。 

关键词:ARP 地址解析协议 

中图分类号:TP393.1 

局域网 病毒 安全 

文献标识码:A 文章编号:1002—2422(2010)04-0082—02 

Analysis of ARP Virus Attack 

Chen Fen Zhang Yongzhl Shen Jifeng 

Abstract:The paper describes the characteristics of ARP,the concept of ARP and the principle of ARP spoofing attack,and 

also presents the strategies to prevent ARP attack,which provides reference for computer network to enhance the a— 

bility of preventing ARP cheating 

Keyword:ARP Address Resolution Protocol LAN Virus Safety 

l什么是ARP协议 

在局域网中,一台主机与另一台主机进行通信时,必须 

知道目标主机的II)地址,而计算机的物理设备不能识别II) 

地址,只能识别其硬件地址一MAc地址,目标MAC地址是 

通过ARP协议获得的。ARP是“Address Resolution Prow- 

常用软件故障等。若局域网中是通过身份认证上网的,会突 

然出现可通过认证,但不能上网的现象,重启计算机或在 

MS—DOS窗口下运行arp—d命令后,又可恢复上网一段时 

间。另外,ARP木马病毒只需成功感染一台计算机,就可能 

导致整个局域网都无法上网,严重的甚至可能导致整个网 

col”(地址解析协议)的缩写,所谓“地址解析”就是主机 

在发送数据包前将目标IP地址转换成目标MAC地址的过 

程。ARP协议的基本功能就是通过目标设备的IP地址,查 

询目标设备的MAC地址,以保证通信的顺利进行【l】。 

络的瘫痪【3】。该病毒发作时除了会导致同一局域网内的用户 

上网时断时续外,还会窃取用户密码。如:盗取各种网络游 

戏账号、密码,盗窃网上银行账号等,造成信息资源和经济 

资源的损失。 

2 ARP欺骗原理及现象 

2.I基本原理 

ARP欺骗攻击是基于ARP协议的工作特性的,其通过 

3防范ARP攻击的策略 

3.1中毒主机的定位 

面对ARP病毒的攻击,首先要查找出中毒的主机,然 

后再进行杀毒处理。通常有三种方法。 

(1)提示符命令法 

向对方计算机不断发送欺诈性的ARP数据包,数据包内包 

含有与当前设备重复的MAC地址,导致对方在回应报文 

时,因地址重复错误而不能进行正常的网络通信。这种攻击 

是利用ARP请求报文进行欺骗的,所以普通的防火墙会误 

以为是正常的请求数据包,不予拦截,而使计算机遭受攻 

击。 

当局域网遭受ARP欺骗时,中毒主机会向全网不停地 

发送ARP欺骗广播,局域网中的其它主机就会动态更新自 

身的ARP缓存表,将网关的MAC地址记录成ARP病毒主 

机的MAC地址。这时只要在其它受影响的主机中查询一下 

当前网关的MAC地址,就可确定中毒主机。在MS—DOS命 

ARP欺骗可分为两种:一种是对路由器ARP表的欺 

骗,原理是截获网关数据。其通知路由器一系列错误的内网 

MAC地址,并按照一定的频率不断进行,使真实的地址信 

令提示符中输入arp—a命令,假设某主机的IP地址为 

192.168.6.1,MAC地址为AA—AA一从一从一从一AA,会显 

不: 

息无法通过更新保存在路由器中,导致路由器的所有数据 

只能发送错误的MAC地址,造成正常PC无法收到信息。另 

Intemet Address Physical Address Type 

种是对内网PC的网关欺骗,其原理是伪造网关。通过建 

192.168.6.1 AA—AA—AA—AA—AA—AA dynamic 

立假网关,让被它欺骗的PC向假网关发送数据,造成网络 

不通。 

由于这个主机的ARP表是错误的记录,因此,该MAC 

地址并不是真正网关的MAC地址,而是中毒主机的MAC 

地址。这时,再与实际的IP—MAC地址对照表进行对照,即 

2.2主要现象 

遭受ARP欺骗攻击,一般情况下会出现以下症状:局 

可找到中毒主机的II)地址(可在网络正常时,使用nbtscan 

工具对全网段主机的IP地址和MAC地址进行扫描,保存 

域网经常掉线或者大面积断网,浏览器频繁出错,以及一些 

收稿日期:2010-05--04 

・陈芬蚌埠坦克学院计算机技术教研室助教(安徽,蚌埠233050)。 

・・张永志蚌埠坦克学院计算机技术教研室讲师(安徽,蚌埠233050)。 

・・・沈吉锋蚌埠坦克学院计算机技术教研室助教(安徽,蚌埠233050)。 

・ 82 ・ 

各用)。 

在MS—DOS命令提示符中输入:“arp—S 192.168.6.1 

(2)工具定位法 

AA一从一AA—AA一从一从”,即可实现绑定。设置成功后,可 

再通过arp—a命令查看到以下信息: 

Internet Address Physical Address 

192.168.1.1 AA一从一从一从一从一AA 

Type 

static 

目前有很多ARP病毒定位工具,Ante ARP Sniffer(即 

ARP防火墙)是其中比较出色的工具之一。使用Anti 

ARP Snifer工具定位ARP中毒主机的方法是:启动AntE 

ARP Snifer软件,先输入网关的IP地址,再单击“枚举 

MAC”按钮,即可获得正确网关的MAC地址。然后单击“自 

动保护”按钮,即可保护当前网卡与网关的正常通信。当局 

域网中存在ARP欺骗时,该数据包会被记录并报警。这时, 

需要注意的是,静态绑定在计算机重启后会失效,需要 

重新绑定。 

(2)软件法 

ARP的防护软件、防火墙比较多,如:欣向ARP工具, 

再根据欺骗机的MAC地址,与全网的IP—MAC地址对照表 

进行对照,即可快速定位中毒主机[21。 

(3)抓包嗅探法 

当局域网中有ARP病毒欺骗时,往往伴随着大量的 

ARP欺骗广播数据包。这时,流量检测机制可以很好地检测 

出网络中的异常举动。可使用如Ethereal这样的抓包工具, 

进行中毒主机的检测定位。 

通常,上述几种方法综合使用,可以更快更准地查找出 

ARP病毒的中毒主机。 

3.2 ARP病毒的清除 

当确定中毒主机后,应立即拔掉中毒主机的网线,中断 

其继续发包干扰全网的运行。随后,可利用杀毒软件杀毒。 

但由于现在病毒变种极其繁多,有时杀毒软件可能查不出 

来,这时需要借助手动杀毒。某些类型的ARP病毒运行特 

征比较隐蔽,电脑中毒时并无明显异常现象,这类病毒运行 

时自身无进程,通过注入到Explorer.exe进程来实现隐藏自 

身。其注册表中的启动项不是常规的Run键值加载,也不是 

服务加载,而是通过注册表的Applnit_DLLs键值加载实现 

开机自动启动的。这时,利用如Autoruns的工具软件即可快 

速扫描出病毒文件,然后先清除注册表中的相关键值,重启 

计算机,在安全模式下手动删除文件。 

3.3 ARP攻击的防范措施 

对于ARP攻击不能坐以待毙,必须积极预防,在计算 

机还没遭到ARP攻击前,必须采取有效手段,主动抵御其 

攻击。 

(1)双向绑定法 

静态绑定IP和MAC地址是最常用的方法,即在网内 

把每台主机和网关都做IP和MAC绑定 ARP欺骗是通过 

ARP动态实时规则欺骗内网机器的,所以把ARP全部设置 

为静态的,即可解决对内网PC的欺骗,同时在网关也进行 

IP和MAC的静态绑定,通过双向绑定提高保险系数。例如: 

某主机的IP地址为192.168.6.1,MAC地址为从一从一AA— 

AA一从一AA。在未被绑定的情况下是动态的,通过arp—a 

命令可查看到以下信息: 

Internet Address Physical Address Type 

192.168.6.1 从一从一从一AA一从一从dynamic 

Antiarp等。其防护的工作原理是以一定的频率向网络广播 

正确的ARP信息。现在很多国内软件厂商,如:江民、金山、 

瑞星、奇虎都推出了相应的防火墙,可以用来预防ARP的 

局域网攻击。 

(3)路由器法 

这种方法就是使用具有ARP防护功能的路由器,其原 

理是定期发送自己正确的ARP信息,以维持网络稳定运 

行。但路由器的这种功能不能解决真正意义上的攻击,若出 

现攻击性ARP欺骗,即在短时间内出现大量的ARP欺骗, 

不断地发送ARP欺骗包来阻止内网机器上网,则使路由器 

不断广播的正确包被其大量错误信息淹没。而在网络中,不 

可能浪费和占用大量的资源专门去处理这些广播信息,这 

样会严重影响网络速度141。 

(4)定期检查ARP缓存 

定期检查ARP缓存是必不可少的预防措施。定期从响 

应的IP包中获得一个mrp请求,然后检查ARP响应的真 

实性。定期轮询,检查主机上的ARP缓存,使用防火墙连续 

监控网络。 

4应注意的几个问题 

在遭受到ARP攻击中毒后,可以通过一些技术手段来 

清除病毒和恢复数据,但有时会出现泄密或丢失数据的情 

况,本质上的预防要从自身做起,加强网络安全意识,随时 

保证网络的安全。主要应注意做好五个方面:一是使用正版 

软件,不安装非法或不明来源软件。二是及时更新操作系统 

补丁、安装正版杀毒软件并及时更新病毒库。三是不主动通 

过网络攻击别人,发现自己中病毒后主动和网络隔离,避免 

扩散,感染其他用户。四是不随便接收、打开或运行陌生、可 

疑文件和程序,如邮件中的陌生附件等。五是不随便访问不 

明、不健康的网站。 

参考文献 

【1】胡健伟.网络安全与保密【M】.西安:西安电子科技大学出版 

社,2003—01. 

[2]刘先省,张连堂.计算机常用工具软件及应用[M】.北京:机械 

工业出版社,2008—07. 

【3王达.网络第1课一计算机与网络安全[3]MI.北京:电子工业出 

版社,2008一O1. 

【4】甘刚.网络攻击与防御[M】.北京:清华大学出版社,2008—03. 

・ 83 ・