淺析讓局域網(wǎng)絡(luò)徹底癱瘓的ARP病毒

摘要：曾幾何時大名鼎鼎的惡性病毒——ARP病毒瘋狂的肆虐著網(wǎng)絡(luò)，和Av終結(jié)者大多針對個人搞破壞不同的是，ARP病毒不僅僅危害個人電腦，還能導致整個局域網(wǎng)的網(wǎng)絡(luò)癱瘓，危害相當大，讓眾多學校、企業(yè)網(wǎng)管很是頭痛，而能讓ARP病毒如此猖狂的幕后黑手便是ARP欺騙。

關(guān)鍵詞：ARP病毒；局域網(wǎng)；ARP欺騙；偽網(wǎng)關(guān)；應(yīng)對之策

1、ARP到底為何方神圣

Address Res0luti0n Pr0t0c0l也稱地址解析協(xié)議，負責將局域網(wǎng)中32位IP地址映射為48位硬件地址（MAC地址）。因為局域網(wǎng)中的兩臺主機要相互直接通信，必須是A主機先向B主機發(fā)送包含IP地址信息的廣播數(shù)據(jù)包也就是ARP請求，然后B主機再向A主機發(fā)送含有自身IP地址和MAC地址的數(shù)據(jù)包，A主機收到B主機的MAC地址后便建立數(shù)據(jù)連接，實現(xiàn)數(shù)據(jù)傳輸，這相當于一個身份核實的過程。當然，不是說每次通信都需要身份核實，因為ARP緩存表可以做到簡化這個過程。

如果目標主機不在緩存表中又會如何呢？比如本機想與192.168.0.12通信，但緩存表中并無此機MAC地址，這時本機便向全網(wǎng)發(fā)送廣播詢問誰的IP是192.168.0.12，通常情況下其他主機接收到此廣播后都會保持沉默，只有192.168.0.12會作出回應(yīng)并向本機返回它的MAC地址，隨后本機重寫ARP緩存，即將192.168.0.12的MAC地址寫入本地ARP緩存表，下次訪問192.168.0.12時無須向全網(wǎng)廣播，直接向其發(fā)送數(shù)據(jù)。

2、ARP為何受青睞

從前面我們可以了解到ARP緩存表的作用是用來提高網(wǎng)絡(luò)效率，減少數(shù)據(jù)延遲。然而，ARP緩存表存在易信任性，對發(fā)來的ARP數(shù)據(jù)包錯對不做審查。當主機接收到被刻意編制的，將IP地址指向錯誤的MAC地址的ARP數(shù)據(jù)包，主機會不加審查地將其中的記錄加入ARP緩存表。這樣，當主機下次訪問此IP時，就將根據(jù)這個虛假的記錄，將數(shù)據(jù)發(fā)送到記錄中所對應(yīng)的“錯誤的MAC地址”，而真正使用這個IP的目標主機，則收不到數(shù)據(jù)，這就是ARP欺騙。

局域網(wǎng)內(nèi)的主機要與外網(wǎng)進行通信，必須經(jīng)過局域網(wǎng)與外網(wǎng)之間連通的節(jié)點——網(wǎng)關(guān)。由于存在這個規(guī)則，就可以將網(wǎng)關(guān)的IP地址與錯誤的MAC地址對應(yīng)，這成了大部分ARP欺騙行為所選擇的做法。利用網(wǎng)關(guān)的IP地址進行的ARP欺騙，其危險之處在于攻擊者可以借此控制用戶主機的網(wǎng)絡(luò)數(shù)據(jù)流向，即可以指定用戶主機向哪一個MAC地址發(fā)送數(shù)據(jù)，比如：

（1）指向一個無效的MAC地址，這使得用戶主機發(fā)送的網(wǎng)絡(luò)數(shù)據(jù)“杳無音訊”，發(fā)出去的信息無法得到回應(yīng)。將導致用戶沒有辦法訪問網(wǎng)關(guān)，當然就沒有辦法與外網(wǎng)進行通信。

（2）指向攻擊者設(shè)置好的MAC地址，這樣會導致用戶主機發(fā)送的網(wǎng)絡(luò)數(shù)據(jù)傳到了原本不應(yīng)該傳輸?shù)牡胤健６緫?yīng)該被發(fā)到網(wǎng)關(guān)的網(wǎng)絡(luò)數(shù)據(jù)將被設(shè)置好的MAC地址所接收。如果收到數(shù)據(jù)的主機直接丟棄數(shù)據(jù)，結(jié)果顯而易見，被欺騙主機得不到回應(yīng)，不能正常上網(wǎng)。

如果就是如上所說的情況，造成的危害只是不能連接上外網(wǎng)而已，但是一旦收到數(shù)據(jù)的主機，對數(shù)據(jù)內(nèi)容進行分析處理，就可能從中得到被欺騙主機用戶的隱私信息比如賬號、密碼，這種行為危害性更大。當然，此時被欺騙主機并非一定得不到回應(yīng)。因為接收到數(shù)據(jù)的“偽網(wǎng)關(guān)”可以選擇充當起“真網(wǎng)關(guān)”的替代者，從而成為數(shù)據(jù)的中轉(zhuǎn)站，為用戶向“真網(wǎng)關(guān)”呼叫，用戶仍然可以收到“真網(wǎng)關(guān)”經(jīng)由“偽網(wǎng)關(guān)”傳來的回應(yīng)數(shù)據(jù)。C機實施ARP欺騙攻擊后，B機訪問Internet的鏈路被改變，此時B機和網(wǎng)關(guān)的通信對c機就暴露無遺了。

3、ARP病毒的主要危害

“ARP病毒”不是一個病毒，而是一群病毒，我們把所有具有ARP欺騙行為的病毒統(tǒng)稱為“ARP病毒”。ARP病毒的大面積爆發(fā)，曾讓很多網(wǎng)管叫苦不迭，它的危害還不僅僅是阻斷網(wǎng)絡(luò)，讓我們來看看它究竟有哪些危害。（1）阻止用戶上網(wǎng)，造成局域網(wǎng)網(wǎng)絡(luò)癱瘓；（2）盜取用戶隱私數(shù)據(jù)，特別是各種各樣的賬號密碼；（3）修改網(wǎng)關(guān)回傳數(shù)據(jù)，并繼續(xù)插入惡意代碼，為所欲為。

將ARP欺騙包指向中毒主機的MAC地址，被欺騙主機將會傳送信息給中毒主機，并使得中毒主機成為“偽網(wǎng)關(guān)”，在被欺騙主機與“真網(wǎng)關(guān)”之間進行數(shù)據(jù)交互。然而，“偽網(wǎng)關(guān)”得到由“真網(wǎng)關(guān)”傳來的數(shù)據(jù)后，在將數(shù)據(jù)傳回給被欺騙主機的過程中，在其中就加插了惡意代碼。不知情的被欺騙主機接收了數(shù)據(jù)，主機系統(tǒng)中的應(yīng)用程序執(zhí)行了傳送內(nèi)容，就直接導致用戶的計算機安全遭到破壞。

4、ARP病毒的應(yīng)對之策

病毒本身的性質(zhì)可能千差萬別，ARP欺騙只是ARP病毒的一種行為和表現(xiàn)，并不是一類家族性病毒的變種集合。所以針對不同的病毒就需要對癥下藥解決問題。

避免電腦本身感染ARP病毒的方法，和預防其他病毒的方法并沒有什么本質(zhì)的區(qū)別，仍然要從修補軟件漏洞，加強安全防護，養(yǎng)成良好的上網(wǎng)習慣入手。同樣，在中毒主機中查殺ARP病毒的方法，與查殺其他病毒也沒有明顯的不同，需要從病毒加載和感染系統(tǒng)的機理入手，而不是只盯住“ARP”這個特性。

ARP病毒的危害，是遍及整個局域網(wǎng)的。ARP病毒已經(jīng)對眾多高校和企業(yè)的局域網(wǎng)造成嚴重影響，因此從局域網(wǎng)中主機受到ARP欺騙攻擊，到發(fā)現(xiàn)中毒主機并進行清除病毒的處理，需要局域網(wǎng)的網(wǎng)管在這其中扮演積極的角色，如果一旦反應(yīng)和處理不及時，病毒將會造成的影響和損失會更大。而對于用戶來說，—旦發(fā)現(xiàn)自己受到ARP欺騙攻擊的影響，在做好防護措施同時，應(yīng)該盡快聯(lián)系網(wǎng)管協(xié)調(diào)處理。而一旦確認自己的電腦被感染了ARP病毒，更要積極配合網(wǎng)管，自覺進行查殺病毒的處理。