ARP病毒

ARP地址欺骗类似病毒(简称ARP病毒)是一种特殊的病毒，一般属于木马(Trojan)病毒不具备主动传播的特性，不会自我复制。Arp病毒不是某一种病毒的名称，而是利用arp协议的漏洞进行传播的一类病毒的总称。

ARP病毒

Arp协议是TCP/IP协议组的一种协议，用于将网络地址转换为物理地址（又称MAC地址）通常，这种攻击有两种方法：路由欺骗和网关欺骗。It 这是一种入侵计算机的特洛伊病毒。这对计算机用户的私人信息是一个巨大的威胁。但由于它在攻击时会向全网发送伪造的ARP数据包，干扰全网的运行，所以其危害比某些蠕虫要严重得多。

ARP病毒

主要原因是局域网内有人使用了ARP欺骗木马程序，比如一些盗取号码的软件。 www.qwbaike.cn

传说中的外挂携带ARP木马攻击在局域网中使用插件时，插件携带的病毒会将机器的MAC地址映射到网关的IP地址，并向局域网发送大量ARP数据包，导致同一网段的其他机器误将其作为网关当断开时，内部网是可互操作的，但是计算机可以 不要上网。方法是可以上网的时候输入MS-DOS窗口，输入命令：arp –检查与网关IP对应的正确MAC地址，并记录下来如果互联网不再可用，首先运行命令arp –d删除arp缓存中的内容，电脑可以暂时恢复上网一旦它可以上网，就会立刻断网，禁用网卡或者拔掉网线，然后运行arp –a。

www.qwbaike.cn

如果你有正确的网关MAC地址，当你可以 t访问互联网，您可以手动将网关IP与正确的MAC绑定，以确保计算机不会受到攻击。可在MS-在DOS窗口中运行以下命令：arp –S 网关IP 网关MAC。如果被攻击，用这个命令检查，会发现MAC已经被攻击机器的MAC替换了，记录MAC备查。找出病毒计算机：如果你有病毒电脑的MAC地址，可以用NBTSCAN软件找出网段中MAC地址对应的IP，也就是病毒电脑的IP地址。

当局域网内的一台电脑运行这种ARP欺骗木马时，以前其他用户都是直接通过路由器上网，现在则转而通过病毒主机上网切换时，用户会断开一次。 www.qwbaike.cn

切换到病毒主机上网后，如果用户已经登录了传说中的服务器，那么病毒主机往往会伪造断线的假象，这样用户就要重新登录传说中的服务器，这样病毒主机就可以盗号了。 www.qwbaike.cn

由于ARP欺骗木马的攻击，会发出大量数据包，导致局域网通信拥塞，用户会感觉上网速度越来越慢。当木马停止运行后，用户会从路由器恢复上网，切换过程中用户会再次断网。

www.qwbaike.cn

电脑一开机就发送Arp欺骗消息，也就是用伪造的网卡物理地址向同一个子网的其他机器发送Arp欺骗消息，甚至假冒这个子网内网关的物理地址欺骗其他机器，让网络内的其他机器通过病毒主机替代访问互联网在从真网关切换到假网关的过程中，其他机器会断开一次。如果病毒机突然关机或者下线，其他机器会重新搜索真正的网关，然后再次断网。所以，只要某个子网中有一台或多台这样的病毒机，其他人就会间歇性上网，严重时会导致整个网络瘫痪。这种病毒（木马）除了影响他人 访问互联网，它还可以从病毒机和同一子网的其他机器上窃取用户帐户和密码（比如QQ和网游）为此，它发送一个Arp消息，具有一定的保密性如果不占用大量系统资源，不被杀毒软件监控，一般用户不容易察觉。这种病毒主要发生在开学时的学生宿舍根据最近的一项调查，它已经蔓延到办公区和员工住宅，而且越来越严重。

经过抽样测试，赛门铁克杀毒软件企业版10由学校提供.0可以有效查杀已知的ARP欺骗病毒（木马）病毒。恶意软件在国际上没有明确的定义，目前也没有一款杀毒软件能提供100%防止其攻击的解决方案需要借助一些辅助工具进行清理。

www.qwbaike.cn

唐 不要将网络安全信任关系建立在ip或MAC上。

www.qwbaike.cn

设置静态MAC-IP映射表不要让主机刷新你设置的转换表。

除非必要，否则停止使用ARP，并将ARP作为永久条目保存在相应的表中。

使用ARP服务器。确保这个ARP服务器没有被黑。

www.qwbaike.cn

使用“proxy”代理IP传输。

www.qwbaike.cn

用硬件屏蔽主机。 www.qwbaike.cn

定期从响应的IP数据包中获取rarp请求，并检查arp响应的真实性。

定期轮询以检查主机上的ARP缓存。 www.qwbaike.cn

使用防火墙持续监控网络。 www.qwbaike.cn

一般出现局域网

网吧用户一般可以使用ROS路由绑定，在主机上安装ARP防火墙服务器，在客户端安装client双相绑定更安全。

建议使用双向绑定来解决和防止ARP欺骗。在电脑上绑定路由器的IP和MAC地址

www.qwbaike.cn

首先，获取路由器的MAC地址 的内部网（例如HiPER网关地址192.168.16.254的MAC地址是0022aa0022aa局域网端口MAC地址） www.qwbaike.cn

写一个批处理文件rarp.bat内容如下：

www.qwbaike.cn

echo off

arp -d www.qwbaike.cn

arp -s 192.168.16.(254 00)22-aa-00-22-aa www.qwbaike.cn

只需将网关IP和MAC更改为您自己的网关IP和MAC，并让此文件开始运行（拖到“开始-程序-启动”

自己手动清除病毒： www.qwbaike.cn

1立即升级操作系统中的杀毒软件和防火墙，同时打开“实时监控”实时拦截局域网中各种ARP病毒变种的功能。

www.qwbaike.cn

2根据自己的操作系统版本，立即下载微软MS06-014和MS07-017两个系统漏洞补丁，安装在局域网中存在这两个漏洞的计算机系统上，防止病毒变种的感染和传播。

14检查是否已经中毒： www.qwbaike.cn

a. 在设备管理器中，单击“查看—显示隐藏的设备”

b. 在设备树结构中，打开“非即插即用设备” www.qwbaike.cn

c. 查一下是否存在：网络组 数据包 过滤器 驱动程序”或“网络组 数据包 过滤器”如果存在，说明已经中毒了。

www.qwbaike.cn

2对于没有中毒的机器，可以下载软件Anti ARP Sniffer，填写网关，开启自动防护，保护好自己的ip地址和网关地址，保证正常上网。 www.qwbaike.cn

5您可以通过以下方式手动删除中毒计算机中的病毒：

www.qwbaike.cn

⑴删除：windows%system32\LOADHW.EXE （有些电脑可能不会）

www.qwbaike.cn

⑵a. 在设备管理器中，单击“查看—显示隐藏的设备”

b. 在设备树结构中，打开“非即插即用设备” www.qwbaike.cn

c. 找到“网络组 数据包 过滤器 驱动程序”或“网络组 数据包 过滤器” www.qwbaike.cn

d. 右击，”卸载”

www.qwbaike.cn

e. 重启系统

www.qwbaike.cn

⑶删除：windows%system32\drivers\npf.sys

⑷删除%windows%system32\msitinit.dll（有些电脑可能不会） www.qwbaike.cn

5删除注册表服务密钥：开始〉运行〉regedit〉打开，进入注册表，并在整个注册表中搜索npf.Sys，删除文件所在的整个文件夹Npf.应该有2个）至此，arp病毒被清除. www.qwbaike.cn

6根据经验，病毒会下载大量病毒木马和恶意软件，修改winsocks，导致网页和netmeeting无法打开因此，需要完成以下步骤： www.qwbaike.cn

a.用杀毒软件清理恶意软件和木马。

www.qwbaike.cn

1、网上银行、游戏和QQ账号频繁丢失

www.qwbaike.cn

为了获取非法利益，一些人利用ARP欺骗程序在网络中进行非法活动这类程序的主要目的是破解账号登录时的加解密算法，拦截局域网内的数据包，进而拦截用户 通过分析数据通信协议来获取用户信息。通过运行这种木马病毒，你可以获得互联网用户的详细信息把整个局域网的账号都偷出来。 www.qwbaike.cn

2、网速时快时慢，极不稳定，但单机测试光纤数据时一切正常

www.qwbaike.cn

权限域内的计算机被ARP欺骗程序非法入侵后，会持续向网络中的所有计算机和网络设备发送大量非法ARP欺骗数据包，阻塞网络通道，造成网络设备过载，网络通信质量不稳定。 www.qwbaike.cn

3、频繁地区或整个局域网断网，重启电脑或网络设备后恢复正常 www.qwbaike.cn

带有ARP欺骗程序的电脑在网络中通讯时，会导致频繁断网出现此类问题后重启电脑或禁用网卡会暂时解决问题，但断网还是会发生。

www.qwbaike.cn

网络模型简介

arp病毒

众所周知，根据OSI (开放 系统 互连 参考 模型开放系统互联参考模型) ，网络系统可以分为七层，每层运行不同的协议和服务，上下两层相互配合完成网络数据交换的功能。

然而，OSI模型只是一个参考模型，而不是应用于实际网络的模型。事实上，最广泛使用的商业网络模型是TCP/IP架构模型将网络分为四层，每层也运行不同的协议和服务。

协议简介

众所周知，在局域网中，一台主机要想和另一台主机通信，就必须知道目标主机的IP地址而局域网中最终负责传输数据的网卡等物理设备并不识别IP地址，只识别其硬件地址，即MAC地址。MAC地址是48位，通常表示为12个十六进制数，并且在每两个十六进制数之间使用“或冒号，如：00-0B-2F-13-1A-11是MAC地址。每个网卡都有其全球唯一的MAC地址，网卡之间发送的数据只能根据对方网卡的MAC地址发送这时候就需要一个协议来把高层数据包中的IP地址转换成低层的MAC地址，这个重要的任务就由ARP协议来完成。 www.qwbaike.cn

空袭预防措施全称为地址 分辨率 协议,地址解析协议。所谓“地址解析”是主机在发送数据包之前，将目的主机的IP地址转换成目的主机的MAC地址的过程。ARP协议的基本功能是通过目标设备的IP地址查询目标设备的MAC地址，保证通信的畅通。这时候就涉及到一个问题一个局域网至少有几台电脑，也有几百台电脑你怎么能准确地记住其他电脑的MAC地址的网卡以便发送数据？这就涉及到另一个概念，ARP缓存表。在局域网内的任何一台主机中，都有一个ARP缓存表，存储着这个网络中每台计算机的ip地址和MAC地址的对比关系。当这台主机向同一局域网内的另一台主机发送数据时，会根据ARP缓存表中的对应关系进行发送。 www.qwbaike.cn

接下来，我们用一个模拟的局域网环境来说明ARP欺骗的过程。

欺骗过程

想象一个仅由三台计算机组成的局域网，它由交换机组成(Switch)连接。其中一台电脑叫做A，代表攻击者；一台电脑叫S，代表源主机，也就是发送数据的电脑；另一台电脑叫D，代表目的主机，也就是接收数据的电脑。这三台电脑的IP地址分别是192.168.2，192.168.3，192.168.4。MAC地址分别是MAC_A，MAC_S，MAC_D。 www.qwbaike.cn

现在，S计算机要向D计算机发送数据在S电脑内部，上层的TCP和UDP包已经发送到了最底层的网络接口层，即将发送出去，但是目的主机D电脑的MAC地址MAC还不知道_D。这时候S电脑应该先查询自己的ARP缓存表，看看里面有没有192.168.4这台电脑的MAC地址如果有，就好办了在数据包外面包 就行了。直接发就好。如果没有，那么计算机S会向全网发送一个ARP广播包，大声询问：我的IP是192.168.3硬件地址是MAC_s，我想知道IP地址是192.168.4的主机的硬件地址是什么?这时，全网的电脑都收到了ARP广播包，包括电脑A和d。当计算机A看到它要查询的IP地址不是它自己的时，它丢弃该数据包并忽略它。当计算机D看到IP地址是自己的时，它回答计算机s：我的IP地址是192.168.4我的硬件地址是MAC_D”需要注意的是，这条消息是单独回答的，也就是D电脑单独发给S电脑的，而不仅仅是广播。现在，计算机S已经知道了目的计算机D的MAC地址，它可以将目的地址MAC粘贴到要发送的数据包上_D，发送出去了。同时，它还会动态更新自己的ARP缓存表，该表将为192.168.4-MAC_添加这个记录是为了当计算机S下次向计算机D发送数据时，你不会 发送ARP广播包时不需要大声询问。这是正常的数据包发送过程。 www.qwbaike.cn

这种机制看起来很完美，似乎整个局域网都是和平安宁的。然而，上述数据传输机制有一个致命的缺陷，即它是基于对局域网中所有计算机的信任，也就是说，它假定：无论是局域网中的哪台电脑，它发出的ARP包都是正确的。那这就很危险了！因为局域网内并不是所有的电脑都守规矩，经常会有不法之徒。例如，在上面的数据传输中，当S计算机请求整个网络时“我想知道IP地址是192.168.4的主机的硬件地址是什么?后来，计算机D也响应了其正确的MAC地址。但这时，一直沉默的电脑A也回答了：我的IP地址是192.168.4我的硬件地址是MAC_A” ，注意，此时它其实是冒充D机的IP地址，而MAC地址其实是写成自己的！因为计算机A一直发送这样的应答包，所以正确的记录已经保存在计算机s的ARP缓存表中：192.168.4-MAC_d，但是因为计算机A一直在回答，计算机S没有 t不知道计算机A发送的数据包是伪造的，导致计算机S再次动态更新其ARP缓存表这一次，它被记录为：192.168.4-MAC_很明显，这是一个错误记录(这一步也称为ARP缓存表中毒)这样以后所有的S电脑都会被发送到D电脑，也就是IP地址是192.168.该主机的数据将被发送到MAC的MAC地址_一台主机，就这样，在光天化日之下，一台电脑居然劫持了S电脑发给D电脑的数据！这就是ARP欺骗的过程。

www.qwbaike.cn

如果这台电脑A再做一次，“过分”有些，它不 不要假装是一台3d电脑，而是一个网关会发生什么？众所周知，如果一台局域网内的电脑要连接外网，那么在登录互联网时，收发的数据都会通过局域网内的网关进行转发，所有的数据都会先经过网关，再由网关发送到互联网。在局域网中，网关的IP地址通常是192.168.1。如果电脑A一直向全网发送ARP欺骗广播，大声说：我的IP地址是192.168.1我的硬件地址是MAC_A”此时局域网内的其他电脑并没有察觉到什么，因为局域网通信的前提条件是信任任何一台电脑发送的ARP广播包。这样，局域网中的其他计算机将更新它们的ARP缓存表和记录192.168.1-MAC_一个这样的记录，这样当它们被发送到网关时，也就是IP地址是192.168.1这台电脑的数据和结果会发送到MAC_A这台电脑中！这样，计算机A将监听整个局域网发送到互联网的数据包!