ARP病毒攻击网络的原理及其具体解决方案

ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。 ARP原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址Ia--物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到 ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的 ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。 ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP 和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充C伪造来的，即IP地址为C的 IP，而MAC地址是伪造的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC 地址，这样就会造成网络不通，导致A不能Ping通C！这就是一个简单的ARP欺骗。 可以通过攻击你主机获得一个错误的MAC地址 使得不能上网，也可以通过大量的ARP广播使得网络阻塞。 被攻击的电脑现象 被欺骗电脑的典型症状是刚开机能上网，几分钟之后断网，过一会又能上网，或者重启一遍电脑就可以上网，一会又不好了，如此不断重复，造成校园网的不稳定，影响正常使用。重启机器或在MSDOS窗口下运行命令ARP -d后，又可恢复上网一段时间。 ARP病毒原理： 电脑中毒后会向同网段内所有计算机发ARP欺骗包，从而致使同一网段地址内的其它机器误将其作为网关，导致网络内其它电脑因网关物理地址被更改而无法上网，这就是为什么掉线时内网是互通的，计算机却不能上网的原因。 ARP病毒手动处理方法 ： 步骤一在网关地址栏内输入您的网关IP地址。获取网关地址的方法：打开一个DOS窗口， 输入命令ipconfig/all后回车，得到如图结果： 图中“Default Gateway”行显示的就是您的网关地址（注：各网段的网关地址是不一样的，切记：请不要照搬）。 步骤二. 如果已经有网关的正确MAC地址，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令：arp ?s 网关IP 网关MAC 例如：假设计算机所处网段的网关为210.38.202.126，本机地址为210.38.202.1在计算机上运行arp ?a后输出如下： C:Documents and Settings>arp -a Interface: 210.38.202.1 --- 0x2 Internet Address Physical Address Type 210.38.202.126 00-d0-95-d8-3c-12 dynamic 其中00-d0-95-d8-3c-12就是网关210.38.202.126对应的MAC地址，类型是动态（dynamic）的，因此是可被改变。 被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC，如果大家希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找做准备。 手工绑定的命令为：arp ?s 210.38.202.126 00-d0-95-d8-3c-12 这时，类型变为静态（static），就不会再受攻击影响了。但是，需要说明的是，手工绑定在计算机关机重开机后就会失效，需要再绑定。所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，令其杀毒，方可解决。 方法二： 建议用户采用双向绑定的方法解决并且防止ARP欺骗。? 　　1、在PC上绑定路由器的IP和MAC地址:? 　　1)首先，获得路由器的内网的MAC地址(例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa局域网端口MAC地址>)。? 　　2)编写一个批处理文件rarp.bat内容如下:? 　　@echo off? 　　arp -d? 　　arp -s 192.168.16.254 00-22-aa-00-22-aa? 　　将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。? 　　将这个批处理软件拖到“windows--开始--程序--启动”中。