2024年5月8日发(作者:)

维普资讯

第21卷第2期 

商洛学院学报 

Vo1I21 No.2 

2007年6月 

Journal of Shangluo University 

June 2Oo7 

ARP病毒的原理及防御方法 

樊景博 ,刘爱军 

(1.商洛学院计算机科学系,陕西商洛726000;2.西北大学信息与科学技术学院,陕西西安710069) 

摘要:目的了解ARP病毒原理,有效地防御ARP病毒.方法解析ARP协议原理,分析 

ARP病毒机理.结果通过ARP病毒原理的分析,指出ARP病毒利用ARP协议本身的漏洞进 

行ARP欺骗,虚拟网关、制造垃圾数据堵塞网络,从宏观和微观两方面给出局域网内有效地防 

御ARP病毒的对策.结论ARP病毒是可以防御的;对付病毒最有效的方法是预防,制度、措 

施、法规、法律是保障,而其核心是人. 

关键词:ARP;ARP病毒;IP地址;MAC地址 

中图分类号:TP393、08 文献标识码:A 文章编号:1674—0033(2007)02—0037-05 

O序言 

从大约去年9月份开始在国内很多单位和学校的局域网爆发一种新的“ARP欺骗”木马病毒,病毒 

发作时其症状表现为计算机网络连接正常,能登陆成功却无法打开网页;或由于ARP欺骗的木马程序 

(病毒)发作时发出大量的数据包,导致网络运行不稳定,频繁断网、IE浏览器频繁出错以及一些常用软 

件出现故障等问题,极大地影响了校园网用户的正常使用【 .近期该病毒在我院校园网内如洪水之势广 

为漫延,对我院的正常工作、学习和办公造成极大的影响.为了解决这一问题,笔者查阅了大量的资料, 

现就ARP病毒的原理及防治办法进行讨论. 

1 ARP病毒的原理 

1,1 ARP概念 

当用户上网时在浏览器地址栏输入网址时(如www.slsz.corn),DNS(Domain Name System或者 

Domain Name Service)服务器会自动把它解析为IP地址(如61.134.49.23),浏览器实际上查找的是IP 

地址而不是网址[2].而IP地址仅仅是网内主机区别其它主机的一个外部标识,是不能直接来访问主机 

的.如何根据IP地址找到我们要访问的一台主机呢?这就要把IP地址转化为物理地址,这个物理地址 

就是MAC(Media Access Contro1),它是在网络中唯一能标识计算机的硬件地址,存在于所购买的网卡 

上.每块合法的网卡在出厂时都被赋予了一个MAC地址,且所有网卡的MAC地址在全世界范围内唯 

在一般情况下可在Windows的DOS窗口下输入“ipconfig/all”命令而得到. 

Windows IP Configuration 

Host Name............:lenovo一2ac94c87 

Primary Dns Sumx.......: 

Node Type............:Unknown 

IP Routing Enabled........:No 

WINS Proxy Enabled........:No 

Ethernet adapter本地连接: 

Connection—speciifc DNS Sufifx .: 

收稿日期:20o7一D3一D8 

基金项目:陕西省教育厅专项科研计划项目(05JK186) 

作者简介:樊景博(1966一),男,陕西洛南人,商洛学院计算机科学系副教授 

维普资讯

38 商洛学院学报 2007年6月 

Description...........:Broadcom NetLink frM)Gigabit Ethernet 

Physical Address.........:OO一1 5—58一D4—7B一2E 

Dhcp Enabled...........:No 

IP Address............:59.75.20.95 

Subnet Mask...........:255.255.255.0 

Default Gateway.........:59.75.20.1 

DNS Servers...........:218.30.19.40 61.134.1.4 

其中Physical Address.........:00—15—58…D4 7B 2E就是该机的MAC,MAC地址是用12 

位16位进制数表示的,其中MAC地址的前六位是厂商号,后六位是网卡号. 

那么IP地址是如何转换为第二层物理地址(即MAC地址)的呢?在局域网中,这是通过ARP协议来 

完成的.ARP是“Address Resolution Protocol”(地址解析协议)的缩写,是将IP地址与网络物理地址一一对 

应的协议 .负责IP地址和网卡实体地址(MAC)之间的转换.也就是将网络层(IP层,也就是相当于OSI的 

第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址.一张ARP的表,用来 

支持在MAC地址和IP地址之间的一一对应关系.它提供两者的相互转换.地址转换协议ARP是个链路 

层协议,它工作在第二层的位置,在本层和硬件接口联系,同时对上层(网络层)提供服务. 

网络层 

链路层 

媒体 

图1 ARP协议描述 

图1是针对TCP/IP协议族来描述ARP协议的,但是设置ARP协议的本来用意却不是专门针对 

TCP/IP协议的.在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的.在以太网 

中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址.但这个目标MAC地址 

是如何获得的呢?它就是通过地址解析协议获得的.所谓“地址解析”就是主机在发送帧前将目标IP地 

址转换成目标MAC地址的过程.ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的 

MAC地址,以保证通信的顺利进行t5--61. 

可见,ARP是一种将IP转化成以IP对应的网卡的物理地址MAC的一种协议,或者说ARP协议是 

种将IP地址转化成MAC地址的一种协议,它靠维持在内存中保存的一张表来使IP得以在网络上被 

目标机器应答. 

1.2 ARP的工作原理 

在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对 

应的,如表1所示. 

表1 ARP缓存表 

我们以主机A(59.75.20.1)向主机B(59.75.2O.95)发送数据为例.当发送数据时,主机A会在自己 

维普资讯

第2期 樊景博,刘爱军:ARP病毒的原理及防御方法 39 

的ARP缓存表中寻找是否有目标IP地址.如果找到了,也就知道了目标MAC地址,直接把目标MAC 

地址写入帧里面发送就可以了;is果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络 

上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的 

询问:“59.75.20.95的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个 

帧时,才向主机A做出这样的回应:“59.75.20.95的MAC地址是o0一l5—58一d4—7b一2e”.这样,主机A就 

知道了主机B的MAC地址,它就可以向主机B发送信息了.同时它还更新了自己的ARP缓存表,下次 

再向主机B发送信息时,直接从ARP缓存表里查找就可以了.ARP缓存表采用了老化机制,在一段时 

间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度[71. 

ARP缓存表是可以查看的,也可以添加和修改.在命令提示符下,输入“arp—a”就可以查看ARP缓存表 

中的内容了,如附图所示 

C: ̄Documents and Settings ̄lenovo>arp—a 

Interface:59.75.20.95—0x2 

Intemet Address Physical Address Type 

59.75.20.1 00一e0一fc—l3一l0—4f dynamic 

59.75.20.24 o0—0d一87一l6—56—6a dynamic 

59.75.20.95 00一l 5—58一d4—7b一2e dynamic 

l-3 ARP病毒的原理 

ARP病毒是一种木马程序,其本质就是利用ARP本身的漏洞进行ARP欺骗,即通过伪造IP+MAC 

地址实现ARP欺骗,在网络中产生大量的ARP通信量使网络阻塞,或使信息流向本不存在的有“正确 

的IP和MAC”虚拟机器,而使个人主机无法收到信息. 

1)ARP病毒实现欺骗的过程ARP协议的基础就是信任局域网内所有的用户,通过ARP工作原 

理的分析可以看出,ARP病毒正是利用这一点非常容易实现在以太网上的ARP欺骗.如前附表1对目 

标主机A进行欺骗,A去Ping主机C却发送到了DD—DD—DD…DD DD 33这个地址上.如果进行欺骗 

的时候,把C的MAC地址骗为DD—DD—DD—DD—DD一33,于是A发送到C上的数据包都变成发送给D 

的了.这不正好是D能够接收到A发送的数据包了,欺骗成功. 

主机A对这个变化并不知道,但是接下来的事情就让A产生了怀疑,因为A和C连接不上了.D对 

接收到A发送给C的数据包可没有转交给C.进行ARP重定向,打开D的IP转发功能,A发送过来的 

数据包,转发给C,主机D就好比一个路由器一样.不过,假如D发送ICMP(Intemet Control Message 

Protocol,Intemet控制消息协议)重定向就中断了整个计划.D直接进行整个包的修改转发,捕获到A发 

送给C的数据包,全部进行修改后再转发给C,而C接收到的数据包完全认为是从A发送来的is-9].不过, 

C发送的数据包又直接传递给A,倘若再次进行对C的ARP欺骗.现在D就完全成为A与C的中间桥 

梁,对于A和C之间的通讯就可以了如指掌. ’ 

2)ARP欺骗的分类从影响网络连接通畅的方式来看,ARP欺骗分为二种[1O-11],一种是对路由器 

ARP表的欺骗;另一种是对内网PC的网关欺骗. 

第一种ARP欺骗是通过截获网关数据实现的.它通知路由器一系列错误的内网MAC地址,并按 

照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只 

能发送给错误的MAC地址,造成正常网内主机无法收到信息【 .第二种ARP欺骗是通过伪造网关实现 

的.它的原理是建立假网关,让被它欺骗的主机向假网关(其实是网内一普通的感染ARP病毒的主机) 

发数据,而不是通过正常的路由器途径上网.由于假网关本身处理速度和本身不断在滥发广播消息,在 

其它网内PC主机看来,就是上不了网了,“网络掉线了”. 

2 ARP病毒的防御方法 

ARP病毒的防御可从网络管理和网内主机两个方面人手,即从宏观和微观两个角度来有效防 

维普资讯

商洛学院学报 2007年6月 

御之. 

2.1 网络管理方面的对策 

校园网是互联网的组成部分.校园网内用户并非全部安全可靠,甚至Hacher依仗内网的速度优势, 

更容易成为病毒传播的温床. 

对于ARP病毒,应该做到: 

1)设置静态的MAC一>IP对应表,对所有的用户的MAC和IP有非常明确的定位,不要让主机刷新 

你设定好的转换表. 

2)使用ARP服务器.通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播,确保这 

台ARP服务器不被黑,从而保证校园网不会出现整体瘫痪. 

3)在所有网段的网关服务器(代理主机)的电脑上做客户机器的ARP静态绑定. 

4)使用监测软件,对于网内频繁向服务器或网关发动攻击的染毒主机,为了保证校园网的整体安 

全,应立即封掉染毒主机端口并通知机主,直到其确已杀毒,再行开通. 

5)使用硬件屏蔽主机.设置好路由(静态配置路由ARP条目),确保IP地址能到达合法的路径. 

6)管理员定期轮询,检查主机上的ARP缓存. 

2.2客户端主机应采用的方法 

客户端主机是校园网ARP病毒的主要发源地也是ARP病毒的受害者,建立必要的防御体系,采用 

必要的防御手段,对于网络安全有很重要的意义. 

1)对于经查证已染毒的机器,要下载专门的杀毒软件查杀,打上系统补丁(如防ARP攻击补丁FOR 

WIN.XP.rar),安装正版杀毒软件并定期升级. 

2)在客户端主机绑定路由器的IP和MAC地址,首先如1.1、1.2所述,获得网关MAC(例如南院家 

属区的网关地址59.75.20.1的MAC地址为00…e0 fc 13—10-4f). 

3)利用写字板编写一个批处理文件rarp.bat,内容如下: 

@echo off 

arp——d 

arp—s DefaultGatewaylP MAC 

将文件中的DefaultGatewaylP的IP地址和MAC地址更改为您自己的网关IP地址和MAC地址 

即可.将这个批处理软件拖到“windows——开始——程序——启动”中即可. 

当然现在网上有防御ARP病毒的各类杀毒软件,原理也大同小异,这里就不再赘述. 

3 结论 

计算机病毒技术和反病毒技术都是呈现螺旋式发展的趋势,互为促进.没有任何一种反病毒技术 

手段可以使我们高枕无忧,技术手段仅仅是一种方法,对付计算机病毒最根本的方法仍然是预防,这就 

要靠一套行之有效的、严格的法律、法规和章程制度及措施来保障,其核心仍然是人:即用计算机文化 

来约束自己的行为不要使用、传播非法的、来历不明的软件. 

参考文献: 

【l】那 罡.疯狂的ARP痛苦的路由器【J].中国计算用户,2006(9):42._42. 

【2]李扬继,方勇,等.针对ARP协议的攻击与防范[J].信息安全与通信保密,2004(8):40--42. 

【3】李扬继,方勇,等.ARP协议的攻击与防范fJ】.兵工自动化,2004,23(4):28—30. 

[4]范淑霞,刘吉强,等.基于ARP协议的内网访问控制系统研究【J].科技信息:学术版,2007(1):36—36. 

【5]王奇.以太网中ARP欺骗原理与解决办法【J].网络安全技术与应用,2007(2):42--44. 

【6】AdoJfo Ro&iguez,等.TCP//P权威救程:7版【M】.杨铁男,李增民,等,译.北京:机馘工业出版社,2002:112—119 

【7】郑文兵,李成忠.ARP欺骗原理及一种防范算法【J].江南大学学报:自然科学版.2003(6):44--45. 

【8】徐功文,陈 曙,时研会.ARP协议攻击原理及其防范措施【J].信息技术与信息化,2005(1):56—57. 

维普资讯

第2期 

Ⅲ 

樊景博,刘爱军:ARP病毒的原理及防御方法 41 

吴企渊,等.计算机网络【M】.北京:清华大学出版社,2004:56—69. 

彭学军,李春丽.基于ARP协议的攻击与保护fJ].荆门职业技术学院学报,2005(6):66—68. 

王佳,李志蜀 基于ARP协议的攻击原理分析【.『】.微电子学与计算机,2004(4):35—36. 

邓清华,陈松乔.ARP欺骗攻击及其防范L『].微机发展,2004(8):55—56. 

(责任编辑:张国春) 

The Theory of ARP virus and Defense Methods 

FAN Jing-bo LIU Ai-jun 

(1.Department of Computer Science,Shangluo University,Shangluo Shaanxi 726000; 

2.School of Information Science and Technology

Northwest University,Xi"an,Shaanxi 710049) 

Abstract:Aim To understand the theory of ARP virus to effectively defense ARP virus

Method 

analyze ARP protocol and ARP virus mechanism

ResllIt though analysis of ARP vI‘I'Us theory.it is 

found that,wiht the application of ARP protocol

ARP virus makes ARP cheating and virtual gateway

, 

thus produces large amount of waste

data to jam the network,measures are presented to protect ARP 

in L N in two aspects.Conclusion ARP viurs is defensible and the best way is to protect

with 

system,measures,laws and regulations as the guarantee.But the cOre is human

. 

Key words:ARP;ARP—Viurs;IP Address;MAC Address;Defense 

(上接第36页) 

Design of one kind of Communication 

Management System based on Wireless Technology 

JIANG LP,ZHANG Xiao-yan 

(1・Chinese Communist Party’School of Linhai Zhejiang,Linhai,Zhejiang 317000: 

2.Modern Education Technology Center’Shangluo University

Shangluo,Shaanxi 726000) 

Abstract:Aim to solve the traditional enterprise information management system applicable scope too 

to be narrow.Mobile termination equipment and the wireless networking and so on PDA/Smartphone 

the universal existence movement maintenance cost is high in the utilization process

。 

questi0ns and 

SO on information flow and business officila ranks separation

Method Use the wireless techno1o 

0alTleS on the communication between grasps the terminal and the repeater

repeater uses the TDMA 

technology to survey each wireless hand-hold terminal to have the receiving and dispatching 

communication to request,the wireless hand—hold terminal selects the interrupt communication method 

the insturction address ifnormation which sends out to the repeater to carry on processing

,and unifies 

technologies and SO on data bank technology

data acquisition.Finally Has designed one kind of 

communication management system management system based on wireless technica1.Conclusion This 

system Can the very good union information flow and the data stream

also the cost is low,the mobilitv 

is good,t}1e extendibility is good and SO on the characteristics

may the enomous enhaJ1cement working 

efficiency,reduce the personnel to bear

obtalned the very good application in one large—sca1e Dhysl。Ca1 

distirbution enterprise of Shanghai warehousing management

. 

Key words:Wireless technical;Communication ProtocoI;DDE;MSCOMM contorls