ARP病毒的症状

2024年3月12日发(作者：)

ARP病毒的症状

ARP的主要用途是将局域网中的IP地址转换为MAC地址，ARP协议同时对网

络安全具有重要的意义，ARP病毒通过伪造IP地址和MAC地址实现ARP欺骗，

能够在网络中产生大量的ARP通信量使网络阻塞，进行ARP重定向和嗅探攻击，

使内网PC机的ARP表混乱。

用伪造源MAC地址发送ARP响应包，对ARP高速缓存机制的攻击。这些情况

主要出现在网吧用户，造成网吧部分机器或全部机器暂时掉线或者不可以上网，

对路由器进行重新启动后可以解决，但保持不了多久有会出现这样的问题，网吧

管理员对每台机器使用arp-命令来检查ARP表的时候发现路由器的IP和MAC被

修改，这就是ARP病毒攻击的典型症状。

这种病毒的程序如或其变种，属于木马程序/蠕虫类病毒，

Windows 系列操作系统都将受到影响，病毒攻击的方式对影响网络连接畅通来看

有两种，对路由器的ARP表的欺骗和对内网PC网关的欺骗。

前者是先截获网关数据，再将一系列的错误的内网MAC信息不停地发送给路

由器，造成路由器发出错误的MAC地址，造成正常PC无法收到信息。后者ARP

攻击是伪造网关。它先建立一个假网关，让被它欺骗的PC向假网关发数据，而

不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。

定位ARP攻击源头和防御方法

1．定位ARP攻击源头

主动定位方式：因为所有的ARP攻击源都会有其特征——网卡会处于混杂模式，

可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的，

从而判断这台机器有可能就是“元凶”。定位好机器后，再做病毒信息收集，提

交给趋势科技做分析处理。

标注：网卡可以置于一种模式叫混杂模式（promiscuous），在这种模式下工作

的网卡能够收到一切通过它的数据，而不管实际上数据的目的地址是不是它。这

实际就是Sniffer工作的基本原理：让网卡接收一切它所能接收的数据。

被动定位方式：在局域网发生ARP攻击时，查看交换机的动态ARP表中的内容，

确定攻击源的MAC地址；也可以在局域居于网中部署Sniffer工具，定位ARP攻

击源的MAC。

也可以直接Ping网关IP，完成Ping后，用ARP –a查看网关IP对应的MAC地

址，此MAC地址应该为欺骗的MAC。

使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址，如果有”ARP攻

击”在做怪，可以找到装有ARP攻击的PC的IP、机器名和MAC地址。

命令：“nbtscan -r 192.168.16.0/24”（搜索整个192.168.16.0/24网段, 即

192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索

192.168.16.25-137 网段，即192.168.16.25-192.168.16.137。输出结果第一

列是IP地址，最后一列是MAC地址。

NBTSCAN的使用范例：

假设查找一台MAC地址为“000d870d585f”的病毒主机。

1）将压缩包中的 和解压缩放到c:下。

2）在Windows开始—运行—打开，输入cmd（windows98输入“command”），

在出现的DOS窗口中输入：C: btscan -r 192.168.16.1/24（这里需要根据用户

实际网段输入），回车。

3）通过查询IP--MAC对应表，查出“000d870d585f”的病毒主机的IP地址为

“192.168.16.223”。

通过上述方法，我们就能够快速的找到病毒源，确认其MAC——〉机器名和IP

地址。