什么是arp病毒啊?
arp是一個(gè)網(wǎng)絡(luò)協(xié)議,一般用于局域網(wǎng)中,它將IP地址解析為網(wǎng)卡的物理地址,又稱為MAC地址。局域網(wǎng)中的所有ip通信最終都必須轉(zhuǎn)換到基于mac地址的通信。一般局域網(wǎng)中每臺(tái)機(jī)器都會(huì)緩存一個(gè)IP到MAC的轉(zhuǎn)換地址表,使得不用每次要向其他機(jī)器發(fā)送信息時(shí)都要重新解析一遍。
由于該協(xié)議存在某些缺陷,使得局域網(wǎng)中惡意的機(jī)器可以發(fā)送虛假的ARP包來(lái)欺騙其他機(jī)器,使得其它機(jī)器獲得虛假的ip與mac對(duì)應(yīng)關(guān)系。
局域網(wǎng)一般通過(guò)統(tǒng)一的網(wǎng)關(guān)來(lái)訪問(wèn)外部網(wǎng)絡(luò),比如上網(wǎng)瀏覽網(wǎng)頁(yè)(http協(xié)議),某機(jī)器上的惡意代碼通過(guò)欺騙,讓其他機(jī)器將網(wǎng)關(guān)ip的mac地址都指向自己,又欺騙網(wǎng)關(guān)使得其他機(jī)器IP的mac地址也指向自己,只有它自己保存著一份真實(shí)的ip-mac轉(zhuǎn)換表。這樣,基于網(wǎng)中所有機(jī)器的上網(wǎng)包都通過(guò)該惡意代碼的機(jī)器進(jìn)行轉(zhuǎn)發(fā),從而該代碼就能截獲局域網(wǎng)其他用戶的很多上網(wǎng)信息。這種采用arp欺騙的惡意代碼就是ARP病毒。
以上是arp病毒的一個(gè)基本原理描述,更詳細(xì)的信息及防護(hù)請(qǐng)看資料:
http://netcurity.51cto.com/art/200609/31883.htm
什么是ARP病毒?
磁碟機(jī)病毒的泛濫讓很多普通用戶熟悉了一個(gè)詞匯——arp病毒。那么什么是“arp病毒”呢?
首先,arp病毒并不是某一種病毒的名稱,而是對(duì)利用arp協(xié)議的漏洞進(jìn)行傳播的一類病毒的總稱。arp協(xié)議是TCP/IP協(xié)議組的一個(gè)協(xié)議,用于進(jìn)行把網(wǎng)絡(luò)地址翻譯成物理地址(又稱MAC地址)。arp攻擊或者arp欺騙并不新鮮,但是把a(bǔ)rp欺騙用于傳播病毒,的確是近來(lái)的事情,而磁碟機(jī)病毒把這種手段的應(yīng)用推向了一個(gè)新的高峰。
那么,什么是arp欺騙呢?這需要我們仔細(xì)了解一下我們?cè)谏暇W(wǎng)的時(shí)候發(fā)生的一些細(xì)節(jié):
當(dāng)我們?cè)诰W(wǎng)上瀏覽網(wǎng)頁(yè)或者收發(fā)電子郵件的時(shí)候,我們知道我們是在跟IP地址通信,因?yàn)闉g覽器會(huì)通過(guò)dns協(xié)議,把我們輸入的域名,比如www.microsoft.com,翻譯成IP地址,比如207.46.19.190。這個(gè)翻譯過(guò)程僅僅是為了便于記憶。因此,當(dāng)你瀏覽http://www.microsoft.com/的時(shí)候,你的計(jì)算機(jī)在不斷地與www.microsoft.com這臺(tái)服務(wù)器,也就是207.46.19.190這個(gè)IP地址的服務(wù)器,在進(jìn)行通信。如下圖所示:
而在現(xiàn)實(shí)中,作為用戶,我們自己的計(jì)算機(jī)跟服務(wù)器的距離通常非常遙遠(yuǎn),不再一個(gè)“局域網(wǎng)”之內(nèi)。打比方來(lái)說(shuō),正如你跟外地的女朋友要通信一樣,你不能直接把信件直接交給她,而只能通過(guò)郵局寄出去。在IP網(wǎng)絡(luò)中,同樣地,你也需要借助郵局才能跟遙遠(yuǎn)的服務(wù)器進(jìn)行通信,這個(gè)郵局就是你的網(wǎng)關(guān)。你可能也猜到了,跟現(xiàn)實(shí)中一樣,在IP網(wǎng)絡(luò)中也存在一個(gè)郵政網(wǎng)絡(luò),其中的郵局稱為路由器(Router)。由此我們可以把上圖的圖景再細(xì)化一下:
IP通信和郵政通信的模式是如此地類似,我們不妨再來(lái)復(fù)習(xí)一遍:在邏輯層次上,用戶計(jì)算機(jī)和服務(wù)器直接通信,你的你的女朋友直接通信;在實(shí)際實(shí)現(xiàn)中,你通過(guò)郵局來(lái)收發(fā)你的信件,用戶計(jì)算機(jī)則通過(guò)路由收發(fā)數(shù)據(jù)。
但是,IP通信和郵政通信也存在一些微小而重要的差別。在郵政通信中,如果你要跟遠(yuǎn)方的女朋友通信,你不僅需要知道她的名字,還需要知道她的實(shí)際位置。你在信封上寫(xiě)上她的地址和名字。而在IP通信中,你要給遠(yuǎn)方的服務(wù)器通信,你的數(shù)據(jù)包的“收件人”會(huì)寫(xiě)上服務(wù)器的“名字”,就是服務(wù)器的IP地址。但是,“收件人地址”,卻不是服務(wù)器的物理地址,而是網(wǎng)關(guān)的物理地址。
你可能會(huì)感到驚訝,但是它就是這么工作的。而且這種方式自有其優(yōu)點(diǎn),你可以想象一下,你的女朋友正在周游世界,而你只需要信封上寫(xiě)上她的名字,郵局就可以想辦法把信件送到她的手中!
現(xiàn)在你知道,你的網(wǎng)關(guān)就是你的郵局,你與局域網(wǎng)以外的所有通信都必須經(jīng)過(guò)它。如果你曾經(jīng)更改過(guò)你的網(wǎng)絡(luò)設(shè)置,你應(yīng)該見(jiàn)國(guó)下面這個(gè)對(duì)話框,其中紅色框住的部分就是網(wǎng)關(guān)的IP地址。
然而,這還不夠,你怎么知道郵局的實(shí)際位置呢?在現(xiàn)實(shí)中,你通過(guò)查閱地圖,或者詢問(wèn)他人得到郵局的實(shí)際位置。在IP網(wǎng)絡(luò)中,如果你的局域網(wǎng)規(guī)模比較小,你的網(wǎng)關(guān)可能就放在你的桌子上;如果你是ADSL用戶,在輸入帳號(hào)和密碼建立ADSL連接后,你的網(wǎng)關(guān)就是電信運(yùn)營(yíng)商那里的一臺(tái)服務(wù)器。但是,你的計(jì)算機(jī)如何知道這一切呢?他怎么知道該把信件交給誰(shuí)呢?
類似于購(gòu)買(mǎi)地圖,在IP網(wǎng)絡(luò)中,找到網(wǎng)關(guān)的位置,或者局域網(wǎng)內(nèi)部其他計(jì)算機(jī)的物理地址,需要要用到地址解析協(xié)議(Address Resolution Protocol,arp協(xié)議)。不幸的是,由于arp協(xié)議的漏洞,你的計(jì)算機(jī)可能被欺騙,而得到錯(cuò)誤的網(wǎng)關(guān)物理地址——它將得到一張被惡意修改過(guò)的地圖!
arp協(xié)議的工作流程是這樣設(shè)計(jì)的:
需要的計(jì)算機(jī)會(huì)在網(wǎng)絡(luò)中發(fā)送一個(gè)廣播請(qǐng)求:誰(shuí)是我設(shè)置的網(wǎng)關(guān)(比如192.168.1.1),請(qǐng)把你的物理地址報(bào)上來(lái)!
普通的計(jì)算機(jī)會(huì)忽略這個(gè)請(qǐng)求,而網(wǎng)關(guān)192.168.1.1則會(huì)根據(jù)請(qǐng)求把自己的物理地址告知請(qǐng)求的計(jì)算機(jī)。
得到回答之后的計(jì)算機(jī)會(huì)把這個(gè)地址緩存起來(lái),在后續(xù)的通信中使用——它要經(jīng)常跟郵局打交道,可不能每次都買(mǎi)地圖。
然而,在第二步中存在一個(gè)關(guān)鍵的問(wèn)題:計(jì)算機(jī)對(duì)于arp回應(yīng)是不加鑒別的,一個(gè)惡意的計(jì)算機(jī)完全可以發(fā)送虛假的回復(fù)信息讓其他計(jì)算機(jī)以為它是網(wǎng)關(guān),從而獲得偷窺甚至修改它們?nèi)送ㄐ诺臋C(jī)會(huì)!
你可能覺(jué)得買(mǎi)到假地圖的機(jī)會(huì)其實(shí)不多,你錯(cuò)了。根據(jù)arp協(xié)議,計(jì)算機(jī)不僅在啟動(dòng)后第一次需要的時(shí)候發(fā)送arp請(qǐng)求,還定期發(fā)送arp請(qǐng)求,更新arp緩存,以確保自己得到的物理地址列表(它可能還需要知道局域網(wǎng)中其他計(jì)算機(jī)的物理地址)是最新的。在默認(rèn)情況下,操作系統(tǒng)會(huì)每個(gè)兩分鐘更新一次arp緩存。你的計(jì)算機(jī)幾乎每時(shí)每刻都可能上當(dāng)受騙!
現(xiàn)在你應(yīng)該明白arp欺騙的原理了,它通過(guò)欺騙你的計(jì)算機(jī),偽裝成網(wǎng)關(guān),成為你和網(wǎng)關(guān)之間的中間人,然后從你的郵件中偷偷地搜集你的個(gè)人信息,或者往你的郵包中塞入廣告甚至病毒!下次你在迪吉?jiǎng)P爾的網(wǎng)頁(yè)看到QQ的廣告,你就應(yīng)該意識(shí)到,這不是網(wǎng)站的問(wèn)題。要么是你自己中病毒了,要么是你的網(wǎng)絡(luò)中存在arp病毒。
那么,該如何防范這種arp攻擊呢?顯然,要點(diǎn)在于確保arp緩存中的網(wǎng)關(guān)物理地址是真實(shí)可靠的。有兩種方式可以確保可靠:
一種方式是對(duì)arp應(yīng)答信息進(jìn)行鑒別。由于操作系統(tǒng)本身并未提供這樣的選項(xiàng),你需要另外一種稱為arp防火墻的軟件,它會(huì)對(duì)arp應(yīng)答信息進(jìn)行鑒別,現(xiàn)在有不少殺毒軟件開(kāi)始集成這種防火墻,只需要開(kāi)啟這種功能即可。
第二種方式要麻煩一些,但是不需要另外安裝軟件。因?yàn)椴僮飨到y(tǒng)實(shí)際上提供了手動(dòng)查看和修改arp緩存的途徑。在命令行窗口中輸入arp -a即可查看當(dāng)前arp緩存的內(nèi)容。在我的計(jì)算機(jī)上,情況是這樣的:
如果你的計(jì)算機(jī)被arp病毒欺騙了,那么其中顯示的Physical Address就是發(fā)起arp欺騙的主機(jī)的物理地址。此時(shí),你就需要運(yùn)行另外一條命令:arp -d。這樣就可以清空當(dāng)前的arp緩存。然后你就可以再使用arp -s命令,靜態(tài)地綁定真實(shí)的網(wǎng)關(guān)物理IP。注意,這種靜態(tài)綁定只保持到計(jì)算機(jī)重啟。也就是說(shuō),如果計(jì)算機(jī)重新啟動(dòng)了,你靜態(tài)綁定的結(jié)果就會(huì)丟失。因此,你可能有必要制作一個(gè)批處理,在計(jì)算機(jī)每次啟動(dòng)的時(shí)候應(yīng)用,內(nèi)容格式如下:
arp -d
arp -s arp -s <網(wǎng)關(guān)IP> <真實(shí)的網(wǎng)關(guān)物理地址>
從哪里得知真實(shí)的網(wǎng)關(guān)物理地址呢?現(xiàn)在沒(méi)有其他辦法,要么,你在網(wǎng)絡(luò)正常的時(shí)候記下來(lái)過(guò);要么,你能夠接觸到你的網(wǎng)關(guān),上面會(huì)有相應(yīng)的描述;最后,請(qǐng)咨詢你的網(wǎng)絡(luò)管理員。
通過(guò)這種方式,也可以有效防止病毒對(duì)您的計(jì)算機(jī)進(jìn)行arp欺騙
ARP病毒是什么原理?
你好,ARP病毒原理如下:arp病毒利用arp協(xié)議的漏洞進(jìn)行傳播,通常此類攻擊的手段有兩種:路由欺騙和網(wǎng)關(guān)欺騙。
如果中了這個(gè)病毒,建議按下面兩步來(lái)處理:
1、首先開(kāi)啟騰訊電腦管家的ARP防火墻
2、重啟計(jì)算機(jī)進(jìn)入安全模式(重啟按F8進(jìn)入),使用騰訊電腦管家進(jìn)行全盤(pán)查殺
有其他問(wèn)題歡迎到電腦管家企業(yè)平臺(tái)咨詢,我們將竭誠(chéng)為您服務(wù)!
如何確認(rèn)自己的電腦是否中了ARP病毒?
ARP欺騙方式共分為兩種:
一種是對(duì)路由器ARP表的欺騙,該種攻擊截獲網(wǎng)關(guān)數(shù)據(jù)。通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址,并按照一定的頻率不斷進(jìn)行,使真實(shí)的地址信息無(wú)法通過(guò)更新保存在路由器中,結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址,造成正常PC無(wú)法收到信息,導(dǎo)致上網(wǎng)時(shí)斷時(shí)通或上不了網(wǎng)。
另一種是對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙,仿冒網(wǎng)關(guān)的mac地址,發(fā)送arp包欺騙別的客戶端,讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù),而不是通過(guò)正常的路由器途徑上網(wǎng),造成上網(wǎng)時(shí)斷時(shí)通或上不了網(wǎng)。
arp病毒是什么
你可能是和很多人共用一個(gè)網(wǎng)線對(duì)把
所謂的ARP病毒就是
是另外一臺(tái)電腦用終結(jié)者對(duì)你的電腦進(jìn)行攻擊
帶有病毒的攻擊
一般所運(yùn)行的都是終結(jié)者
主要原因是在局域網(wǎng)中有人使用了ARP欺騙的木馬程序,比如一些盜號(hào)的軟件
去這里http://www.newhua.com/soft/52718.htm在這里下載ARP防火墻
帶自動(dòng)防御的
在也不怕攻擊
ARP病毒是什么原理?
ARP欺騙的原理
網(wǎng)絡(luò)執(zhí)法官中利用的ARP欺騙使被攻擊的電腦無(wú)法上網(wǎng),其原理就是使該電腦無(wú)法找到
網(wǎng)關(guān)
的
MAC地址
。那么ARP欺騙到底是怎么回事呢?知其然,知其所以然是我們《黑客X檔案》的優(yōu)良傳統(tǒng),下面我們就談?wù)勥@個(gè)問(wèn)題。
首先給大家說(shuō)說(shuō)什么是ARP,ARP(Address
Resolution
Protocol)是地址解析協(xié)議,是一種將
IP地址
轉(zhuǎn)化成
物理地址
的協(xié)議。從IP地址到物理地址的映射有兩種方式:表格方式和非表格方式。ARP具體說(shuō)來(lái)就是將網(wǎng)絡(luò)層(IP層,也就是相當(dāng)于OSI的第三層)地址解析為數(shù)據(jù)連接層(MAC層,也就是相當(dāng)于OSI的第二層)的MAC地址。
ARP原理:某機(jī)器A要向
主機(jī)
B發(fā)送
報(bào)文
,會(huì)查詢本地的ARP
緩存
表,找到B的IP地址對(duì)應(yīng)的MAC地址后,就會(huì)進(jìn)行數(shù)據(jù)傳輸。如果未找到,則廣播A一個(gè)ARP請(qǐng)求報(bào)文(攜帶主機(jī)A的IP地址Ia--物理地址Pa),請(qǐng)求IP地址為Ib的主機(jī)B回答物理地址Pb。網(wǎng)上所有主機(jī)包括B都收到ARP請(qǐng)求,但只有主機(jī)B識(shí)別自己的IP地址,于是向A主機(jī)發(fā)回一個(gè)ARP響應(yīng)報(bào)文。其中就包含有B的MAC地址,A接收到B的應(yīng)答后,就會(huì)更新本地的ARP緩存。接著使用這個(gè)MAC地址發(fā)送數(shù)據(jù)(由網(wǎng)卡附加MAC地址)。因此,本地高速緩存的這個(gè)ARP表是本地網(wǎng)絡(luò)流通的基礎(chǔ),而且這個(gè)緩存是動(dòng)態(tài)的。
ARP協(xié)議并不只在發(fā)送了ARP請(qǐng)求才接收ARP應(yīng)答。當(dāng)
計(jì)算機(jī)
接收到ARP應(yīng)答
數(shù)據(jù)包
的時(shí)候,就會(huì)對(duì)本地的ARP緩存進(jìn)行更新,將應(yīng)答中的IP和MAC地址存儲(chǔ)在ARP緩存中。因此,當(dāng)
局域網(wǎng)
中的某臺(tái)機(jī)器B向A發(fā)送一個(gè)自己偽造的ARP應(yīng)答,而如果這個(gè)應(yīng)答是B冒充C偽造來(lái)的,即IP地址為C的IP,而MAC地址是偽造的,則當(dāng)A接收到B偽造的ARP應(yīng)答后,就會(huì)更新本地的ARP緩存,這樣在A看來(lái)C的IP地址沒(méi)有變,而它的MAC地址已經(jīng)不是原來(lái)那個(gè)了。由于局域網(wǎng)的網(wǎng)絡(luò)流通不是根據(jù)IP地址進(jìn)行,而是按照MAC地址進(jìn)行傳輸。所以,那個(gè)偽造出來(lái)的MAC地址在A上被改變成一個(gè)不存在的MAC地址,這樣就會(huì)造成網(wǎng)絡(luò)不通,導(dǎo)致A不能Ping通C!這就是一個(gè)簡(jiǎn)單的ARP欺騙。
網(wǎng)絡(luò)執(zhí)法官利用的就是這個(gè)原理!知道了它的原理,再突破它的防線就容易多了。
