經分析，這大部分是由于病毒進行ARP地址欺騙造成的。由于ARP協議的固有的缺陷，病毒通過發送假的ARP數據包，使得同網段的計算機誤以為中毒計算機是網關，造成其它計算機上網中斷（第一種情況）。或是假冒網絡中特定的機器對這臺機器通信的數據進行截獲（第二種情況）。為了避免中毒計算機對網絡造成影響，趨勢科技已經提供相關的防御工具KB（62735），由于ARP病毒攻擊的復雜多變性，現在針對兩種基本的攻擊行為的原理進行分析，并提出相應的解決思路。

上網速度很慢甚至上不了網

我們首先要了解一下ARP（Address Resolution Protocol）地址解析協議，它是一種將IP地址轉化成物理地址的協議。ARP具體說來就是將網絡層（TCP/IP協議的IP層，也就是相當于OSI 的第三層）地址（32位）解析為數據鏈路層（TCP/IP協議的MAC層，也就是相當于OSI的第二層）的MAC地址（48位）［RFC826］。ARP 協議是屬于鏈路層的協議，在以太網中的數據幀從一個主機到達網內的另一臺主機是根據48位的以太網地址（硬件地址）來確定接口的，而不是根據32位的IP 地址。內核（如驅動）必須知道目的端的硬件地址才能發送數據。當然，點對點（如兩臺直聯的計算機）的連接是不需要ARP協議的。為了解釋ARP協議的作用，就必須理解數據在網絡上的傳輸過程。這里舉一個簡單的ping例子。

假設我們的計算機A的IP地址是192.168.1.50，要測試與B機器的連通性，執行這個命令：ping 192.168.1.51。該命令會通過ICMP協議發送ICMP數據包。該過程需要經過下面的步驟：

1、應用程序構造數據包，該示例是產生ICMP包，被提交給內核（網絡驅動程序）；

2、內核檢查是否能夠轉化該IP地址為MAC地址，也就是在本地的ARP緩存中查看IP-MAC對應表；

3、如果存在該IP-MAC對應關系，那么數據包直接發出；如果不存在該IP-MAC對應關系，那么接續下面的步驟；

4、內核進行ARP廣播，目的地的MAC地址是BB-BB-BB-BB-BB-BB，ARP命令類型為Request，其中包含有自己的MAC地址；（下面會講到具體包格式）

5、當B主機接收到該ARP請求后，就發送一個ARP的Reply命令，其中包含自己的MAC地址；

6、B獲得A主機的IP-MAC地址對應關系，并保存到ARP緩存中；

7、B內核將把IP轉化為MAC地址，然后封裝在以太網頭結構中，再把數據發送出去；

使用arp -a命令就可以查看本地的ARP緩存內容，所以，執行一個本地的ping命令后，ARP緩存就會存在一個目的IP的記錄了。當然，如果你的數據包是發送到不同網段的目的地，那么就一定存在一條網關的IP-MAC地址對應的記錄。

知道了ARP協議的作用，就能夠很清楚地知道，數據包的向外傳輸依靠ARP協議，當然，也就是依賴ARP緩存。要知道，ARP協議的所有操作都是內核自動完成的，同其他的應用程序沒有任何關系。ARP協議并不只在發送了ARP請求才接收ARP應答。而ARP協議的固有缺陷就在這里，當計算機接收到ARP應答數據包的時候，就會對本地的ARP緩存進行更新，將應答中的IP和MAC地址存儲在ARP緩存中。因此， B向A發送一個自己偽造的ARP應答，而這個應答中的數據為發送方IP地址是192.168.1.52（C的IP地址），MAC地址是BB-BB-BB- BB-BB-BB（C的MAC地址本來應該是CC-CC-CC-CC-CC-CC，這里被偽造了）。當A接收到B偽造的ARP應答，就會更新本地的ARP 緩存，將本地的IP-MAC對應表更換為接收到的數據格式，由于這一切都是A的系統內核自動完成的，A可不知道被偽造了。

某些病毒就是利用這個原理，向受害者發送源硬件地址為隨機產生貌似來自網關的ARP應答包，于是在受害者緩存里，網關的IP是正確的，可對應的硬件地址卻是錯誤的或者是中毒機器。該計算機向外發送的數據包總是發送到了錯誤的網關硬件地址上或是中毒機器。

而如果病毒想要截獲某臺機器上網的所有通信而不被察覺，只要同時再向網關發送冒充此機器的相應的數據包即可實現。

頻繁出現地址沖突的現象

主機A在連接網絡（或更改IP地址）的時候就會向網絡發送ARP包廣播自己的IP地址。如果網絡中存在相同IP地址的主機B，那么B就會通過ARP來 reply該地址，當A接收到這個reply后，A就會跳出IP地址沖突的警告，當然B也會有警告。因此用如果病毒發出的是ARP的Request包就會使用戶一直遭受IP地址沖突警告的困擾。

下面就以上分析做一個模擬病毒進行ARP攻擊的行為的實驗，了解此類病毒是如何產生危害的。

實驗描述：此實驗模仿ARP攻擊的一種，機器不斷提示地址沖突，運行變慢，無法上網的情況，其他情況可自行參考模擬

分析：不同病毒在中毒機器上運行，發送的ARP包是有一定的周期的，受影響的系統產生的開銷不一。先模擬中毒機B以較大的發送頻率發送到A機器上（未中毒），如系統內核處理會不斷處理接到的ARP包，這時盜用者機器上會不斷提示IP沖突， 則A機器上的系統開銷將大大增加，很容易無法響應用戶操作。而這一切由于ARP處于網絡協議的底層，對一般防火墻等高層軟件是透明的，盜用者無從察覺，只能看到機器不端彈出沖突信息，系統很快慢下來，最終沒有任何響應。

實驗內容：

1．首先 讓我們先了解一下ARP協議的數據結構：

typedefstructarphdr

{

unsignedshortarp_hrd;//硬件類型 使用的硬件（網絡訪問層）類型一般為 0806（ARP）

unsignedshortarp_pro;//協議類型 解析過程中的協議使用以太類型的值一般為000110M以太網）

unsignedchararp_hln;//硬件地址長度 對于以太網和令牌環來說，其長度為6字節

unsignedchararp_pln;//協議地址長度 IP的長度是4字節

unsignedshortarp_op;ARP操作類型 指定當前執行操作的字段 1為請求，2為應答

unsignedchararp_sha［6］;/*發送者的硬件地址

unsignedlongarp_spa;//發送者的協議地址

unsignedchararp_tha［6］;//目標的硬件地址

unsignedlongarp_tpa;//目標的協議地址

}ARPHDR，*PARPHDR;

下面，假設中毒機器的硬件地址是AA-AA-AA-AA-AA-AA，IP地址是192.168.1.5，受影響機器B的硬件地址是BB-BB-BB-BB-BB-BB，IP地址是192.168.1.51.為了便于說明，我們在B機器上用Sniffer Pro工具先獲得發送目標為192.168.1.51的 ARP數據包，

由于A中病毒不斷發送ARP請求包，我們很容易獲得。如圖：

現在我們結合圖中上半部分的協議解析來分析下半部分的代碼的意義，

共有四行每行都標了號

00行，ff ff ff ff ff ff 廣播地址，每個同網段用戶都能收到。

aa aa aa aa aa aa 發送方的硬件地址

08 06 指使用ARP協議

10行，00 01 10M 以太網

08 00 使用IP協議

06 硬件地址使用6字節表示

04 協議（IP）地址使用4字節表示

00 01 ARP請求包

aa aa aa aa aa aa 發送方硬件地址

c0 a8 01 32發送方IP地址

20行，00 00 00 00 00 00 目標硬件地址

c0 a8 01 33 目標IP地址

其他數據與本文無關，暫不討論。

仔細看一下不難發現，IP為192.168.1.5的A的IP地址被”篡改”了，A網絡中宣布自己假冒是192.168.1.50。

使得與192.168.1.50通信的數據發到了192.168.1.5上，而真正的192.168.1.50則運行緩慢甚至無法上網。

2. 下面利用獲取的數據包，通過SnifferPro的構造并發送數據包的功能對它進行簡單的修改，我們可以模擬一種病毒攻擊方式：

對照前邊捕獲的數據包我們看到改動處有（紅線標注）：

1．aa aa aa aa aa aa 硬件目的地址中毒機器A（DLC，數據鏈路層地址）

2．bb bb bb bb bb bb（第一組） 源硬件地址為受影響機器B（DLC）

3．bb bb bb bb bb bb（第二組） 源硬件地址為受影響機器B （ARP）

4．（c0 a8 01）32 目的IP地址為中毒機器A（ARP）

最后，我們通過Sniffer的發包工具利用不間斷發送（Continuously）將其發送給192.168.1.50，將使其很快癱瘓。筆者實驗環境如下：TP-LINK R402M路由器，A機器配置1.8G.RAM 1.0G 。B機器配置CPU1.0G，RAM128M，B機器發送數據包15秒左右，A機器進入“無法響應”狀態�？梢�，如果病毒大規模爆發，造成的網絡擁塞影響是十分嚴重的。

最后，提供幾種防御ARP攻擊行為的思路：

首先，需要了解一下一般解決方法，很多人知道如何捆綁MAC地址和IP地址，進入“MS-DOS方式”或“命令提示符”，在命令提示符下輸入命令：ARP - s X.X.X.X YY-YY-YY-YY-YY-YY，即可把MAC地址和IP地址捆綁在一起。這樣，就不會出現IP地址被盜用而不能正常使用網絡的情況。從前面的分析我們知道，即使我們知道了正確的網關硬件地址，由于盜用者不斷發送偽造ARP包，網關卻不知道合法用戶的硬件地址，而且合法用戶端主機會不斷產生IP沖突的警告。事實上，ARP命令是對局域網的上網代理服務器來說的，如我們提出的KB（62735）中的”APR解決方案”細節內容不在本文論述范圍內。

一般說來，在網絡關鍵設備上使用的解決盜用的方法大體上有3種方案：采用路由器將網卡MAC地址與IP地址綁定；采用高端交換機將交換機端口、網卡MAC 地址與IP地址三者綁定；代理服務器與防火墻相結合的辦法。這幾種方法各有優缺點，采用路由器將網卡MAC地址與IP地址綁定的方法，只能解決靜態地址的修改，對于成對修改IP-MAC地址就無能為力。采用高端交換機將交換機端口、網卡MAC地址與IP地址三者綁定的方法，可以解決成對修改IP-MAC地址的問題，但高端交換機費用昂貴，而且解決沖突具有滯后性。

當我們遇到ARP類病毒時，應該怎么辦？

1 采用IP-MAC 綁定方法預防，如利用KB（62735）解決方案部署中ipmac_binds_tools.exe 防御工具

2 一旦發現無法解決的ARP病毒較復雜的攻擊行為，請用戶使用工具抓取病毒爆發時網絡中的數據包，根據以上ARP病毒的原理，分析數據包找到頻繁發送ARP的REQUEST或REPLY請求的機器，從而找到病毒源頭進行查殺毒。