ARP病毒

1、什么是ARP

    ARP协议（Address Resolution Protocol），或称地址解析协议。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

    具体来说，同一局域网中一台主机和另一台主机通讯时必须知道对方的MAC地址，而在TCP/IP协议中，网络层只关心主机的IP地址。这时候就需要ARP协议将IP地址转换成MAC地址后投递。

    在每台安装有TCP/IP协议的电脑或路由器里都有一个ARP缓存表，表里的IP地址与MAC地址是一对应的。

    当发送数据时，主机A(1.1.1.1)会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播（ARP request），目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询 问：“主机B(2.2.2.2)的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应（ARP response）：“2.2.2.2的MAC地址是BB-BB-BB-BB-BB-BB”。 这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。

ARP 简要原理图：

在系统的开始-运行中 输入 cmd 进入dos窗口 输入ARP –a 即可显示当前已缓存的ARP列表。

2、什么是ARP欺骗

    ARP欺骗的运作原理是由攻击者发送假的ARP应答包到网络上，尤其是送到网关上。其目的是要让送至特定的IP地址的流量被错误送到攻击者所取代的地方。因此攻击者可将这些流量另行转转发到真正的目的地址（被动式分组嗅探，passive sniffing）或是篡改后再转送（中间人攻击，man-in-the-middle attack）。攻击者也可将ARP 应答至不存在的MAC地址以达到阻断服务攻击的效果。

 

所以ARP欺骗大致分为2类：

1. 劫持数据包再转发（起到截取用户数据包信息，以及分法恶意内容的作用）

2. 劫持数据包至不存在的MAC（起到阻断用户网络通讯的作用）

下图为一个简单的ARP欺骗过程：

3、什么是ARP病毒

    ARP 病毒是具有ARP欺骗行为的病毒的总称，它并不是一个特定的病毒。也就是说只要病毒有ARP攻击的行为，我们都可以将之称为ARP病毒。

     本文转自stock0991 51CTO博客，原文链接：http://blog.51cto.com/qing0991/1754064，如需转载请自行联系原作者