详细解读ARP病毒的攻击与影响

pjm

上网速度慢，或者网络内共享文件很慢
―――表现为利用网络抓包工具，抓到局域网中有大量ARP报文。
全网同样配置下，唯独某台电脑无法上网
―――表现为掉线后，重启电脑或者禁用网卡再启用就恢复正常，但一会又掉线
大面积同时掉线，或时通时断(即通常说的“卡”)
―――表现为某一片区域，某台网络设备下挂的所有PC出现上网不正常。
电脑挨个掉线，或时通时断(即通常说的“卡”)
―――表现为正在使用某一类应用程序的PC依次掉线。

总结：如果网络出现上述现象，多半网络就是中了ARP病毒。

什么是ARP病毒攻击？

ARP病毒是什么呢？ARP全名叫Address Resolution Protocol，地址解析协议。网络设备之间是通过ARP协议查找到彼此的IP地址和MAC地址对应关系，从而实现局域网内设备间的正常通信。

下图所示的IP地址和MAC地址对应表（简称ARP表），就是该PC机通过ARP协议生成的。当该PC机要和网关10.165.16.1通信时，就在这个表中找到网关的MAC地址，从而正确将报文发送出去。

ARP病毒攻击的核心也就是破坏网络设备的ARP表内容，使得设备无法查到IP对应的正确MAC地址，导致报文发送错误，网络通信瘫痪。通俗地理解，我们可把IP地址看成人名，MAC地址看成电话号码，那么ARP就是电话簿。如果电话簿上某人的电话号码错了，我们也就无法联系上他。
由于ARP病毒不同于其它病毒，它的攻击是基于基础网络协议的天然缺陷，所以ARP病毒攻击的防御不同于常见病毒，单靠传统杀毒软件和防火墙往往是头疼医头、脚疼医脚难以根除。而且，ARP病毒不仅攻击PC机，还可攻击路由器、核心交换机、接入交换机等各种网络设备，传播和危害范围很广。所以，仅靠单一设备、单一解决方案防御ARP病毒是不够的。

ARP病毒攻击都可能带来哪些危害？

一、所有PC机无法和网关通信----仿冒网关攻击

现象：全网同样配置下，唯独某台电脑无法上网。重启PC机后恢复正常，但过一段时间网络又瞬间瘫痪。查看每台PC机的ARP表，发现网关的MAC地址错误。正如下图所示，该PC机的ARP表中网关10.165.16.1的MAC地址已被修改另外一台PC机的地址，显然该PC机无法再同网关通信了，无法上网了。

原因：攻击者伪造ARP报文，发送源IP地址为网关IP地址，源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机，使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。这样一来，主机访问网关的流量，被重定向到一个错误的MAC地址，导致该用户无法正常访问外网。这样，如果某台PC机的ARP表被攻击者修改，它就无法正常上网了。
而且，攻击者还可能使用第三方PC机的MAC作为伪造MAC。这样即使在被攻击者PC机上查到了伪造MAC地址，也很难定位哪台PC是真正的攻击者。

“仿冒网关”攻击示意图

通俗地理解：老总和三个员工（张三、李四、王五），每个人的电话簿都记录了其他人的号码。王五这次没升经理，心里不平衡，修改所有人电话簿中老总的电话号码，张三、李四等都无法向老总汇报工作。甚至，王五把张三电话簿中老总的号码修改为李四的，让张三还误认为是李四干的。造成公司内疑神疑鬼，员工不合，极大地影响了工作氛围。

二、所有PC机无法和网关通信----欺骗网关攻击

现象：网络中PC逐台掉线，甚至全网内PC都无法上网。查看路由器ARP表项，发现很多错误地址。重启路由器后恢复正常，但过一段时间PC又开始掉线，导致很多用户怀疑是路由器故障。正如下图所示，网关路由器的ARP表中各台PC机的MAC地址已不正确，这些PC机无法再同网关通信，无法上网。

原因：攻击者伪造ARP报文，发送源IP地址为同网段内某一合法用户的IP地址，源MAC地址为伪造的MAC地址的ARP报文给网关；使网关更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来，网关发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网。

“欺骗网关”攻击示意图

通俗地理解：老总本来想带张三一起去国外考察，王五嫉妒张三，于是他修改了老总电话簿中张三的号码。老总联系不上张三，好机会就这样丢失了。甚至，王五修改了老总电话簿的全部号码，老总就一个员工也找不到了，公司业务一片混乱。

三、窃听通信隐私----“中间人”攻击

现象：某台PC上网突然掉线，一会又恢复了，但恢复后一直上网很慢。查看该PC机的ARP表，网关MAC地址已被修改，而且网关上该PC机的MAC也是伪造的。该PC机和网关之间的所有流量都中转到另外一台机子上了。同样，也会表现为局域网内PC机之间共享文件等正常通信非常慢。
原因： ARP “中间人”攻击，又称为ARP双向欺骗。如图1-4所示，如果有恶意攻击者（Host B）想探听Host A和Host C之间的通信，它可以分别给这两台主机发送伪造的ARP应答报文，使Host A和Host C用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后，Host A 和Host C之间看似“直接”的通信，实际上都是通过黑客所在的主机间接进行的，即Host B担当了“中间人”的角色，可以对信息进行了窃取和篡改。

ARP“中间人”攻击示意图

通俗地理解：王五想偷听张三和李四间的悄悄话，于是修改了张三和李四电话簿中的号码，他们之间的通话都先中转到王五这里了。

四、常有人掉线，网络还很慢----ARP报文泛洪攻击

现象：经常有人反馈上不了网，或网速很慢，查看ARP表项也都正确，但在网络中抓报文分析，发现大量ARP请求报文。（正常情况时，网络中ARP报文所占比例是很小的）
原因：恶意用户利用工具构造大量ARP报文发往交换机、路由器或某台PC机的某个端口，导致CPU忙于处理ARP协议，负担过重，造成设备其他功能不正常甚至瘫痪。
通俗地理解：李四为保障电话薄正确，会定时检查和刷新电话簿，王五就高频率地发送信息修改李四的电话簿，导致李四也只能不断刷新电话簿，而无暇再去推进其他工作了。

以上是ARP病毒的四种基本攻击类型，实际中ARP病毒还可变种为更多的攻击方式。例如，有的ARP病毒就专门在网吧中盗窃别人的QQ、网络游戏账号，使用的就是改进的仿冒网关攻击。但万变不离其宗，只要能够防御四种基本攻击方式，ARP病毒就无计可施了。