ＡＲＰ病毒正是利用了ＡＲＰ协议的以上两个缺陷，对以太网进行攻击的。常见的攻击方式有以下两种：
3.1、同一网段的ARP欺骗
设在同一网段的三台主机:A,B,C。其IP地址和物理(MAC)地址映射关系如表2所示[9]。
假设A与B是信任关系,A欲向B发送数据包。攻击方C通过前期准备,收集信息,发现B的漏洞,使B暂时无法工作。然后C发送包含自己MAC地址的ARP应答给A。由于大多数的操作系统在接收到ARP应答后会及时更新ARP缓存,而不考虑是否发出过真实的ARP请求,所以A接收到应答后,就更新它的ARP缓存,建立新的IP/MAC地址映射对,即B的IP地址:192.168.3.22→C的MAC地址:00 - 09 - 6b - 84 - a1 - 1a。这样,A就将发往B 的数据包发向了C。
3.2、跨网段的ARP欺骗
跨网段的ARP欺骗比同一网段的ARP欺骗要复杂得多,它需要把ARP欺骗与ICMP重定向攻击结合在一起 。如表3所示:
假设A和B在同一网段,C在另一网段,其IP地址和物理(MAC)地址映射关系如表2所示。首先攻击方C修改IP包的生存时间,将其延长,以便做充足的广播。然后和上面提到的一样,寻找主机B的漏洞,攻击此漏洞,使主机B暂时无法工作。此后,攻击方C发送IP地址为B的IP地址:192.168.3.22,MAC地址为C的MAC地址00-02-b3-bb-d9-a8的ARP应答给A。A接收到应答后,更新其ARP缓存。这样,在主机A上B的IP地址就对应C的MAC地址。但是,A在发数据包给B时,仍然会在局域网内寻找192.168.3.22的MAC地址,不会把包发给路由器,这时就需要进行ICMP重定向,告诉主机A，“到192.168.3.22的最短路径不是局域网,而是路由器,请主机重定向路由路径,把所有到192.168.3.22的包发给路由器”。主机A在接受到这个合理的ICMP重定向后,修改自己的路由路径,把对192.168.3.22的数据包都发给路由器。这样攻击方C就能得到来自内部网段的数据包。
4、ＡＲＰ欺骗的防范与清除
4.1、ARP欺骗的防范措施
针对ＡＲＰ病毒攻击的特点[7]，为有效防范其对局域网的破坏，目前预防ARP攻击采取最多的方法是绑定MAC地址和使用ARP防护软件,现在也出现了具有ARP防护功能的路由器。同时使网络尽量工作在路由器环境下，而不是工作在ＨＵＢ环境下。我们可以从网络拓扑规划、交换机配置、和上网计算机保护三个层面做好防范措施[8]。
4.1.1、合理规划网络拓扑结构
因为ＡＲＰ请求报文作为广播数据包只能在一个网段中传送，所以，可以将整个网络划分为多个不同的 网段，来限制ＡＲＰ病毒的攻击范围。
4.1.2、交换机中配置静态ＡＲＰ表
ＡＲＰ病毒发作时，会修改交换机中的ＡＲＰ表信息，造成同网段其他计算机无法正常上网。所以，在交换机中配置上网计算机的ＩＰ地址和ＭＡＣ地址的静态表，可有效防范ＡＲＰ病毒对交换机的攻击。一般情况下，ARP缓存列表都是动态存储的。ARP将保存在高速缓存中的每一个映射地址项目都设置生存时间,凡超过生存时间的项目就从高速缓存中删除掉,或者被收到的新映射所更新。
(1)静态ARP表
静态ARP表是防止ARP欺骗的较好方法[11]。因为静态ARP表中的IP/MAC地址对不会动态更新,一般是由管理员对网段上的每台机器进行静态登记,所以执行欺骗行为的ARP应答就会被忽略。但是开发静态ARP表和维持表项的及时更新代价高,需要管理员付出大量工作。
可使用“ＡＲＰ ａｄｄ”命令静态绑定上网计 算机的ＩＰ地址、ＭＡＣ“地址、交换机接入口和保留时间等信息，具体格式如下[10]：
ＡＲＰ ａｄｄ ＜ｈｏｓｔ＞ ｍａｃ－ ａｄｄｒ ＜ＭＡＣ－ ａｄｄｒ＞ ｅｘｉｔ－ ｐｏｒｔ ＜ｐｏｒｔ＞ ｋｅｅｐ－ ｔｉｍｅ ＜ｓｅｃｏｎｄｓ＞
其中：＜ｈｏｓｔ＞为上网计算机的主机名或ＩＰ地址；＜ＭＡＣ－ａｄｄｒ＞为该主机的ＭＡＣ地址；＜ｐｏｒｔ＞为该主机在交换机上的接入口；＜ｓｅｃｏｎｄｓ＞为本条ＡＲＰ信息在ＡＲＰ表中的保留时间（秒），值为０表示永久有效。
(2)在计算机系统启动项中创建批处理文件，使系统每次启动时就静态绑定网关的ＩＰ地址和ＭＡＣ地址。批处理文件内容如下：
＠ｅｃｈｏ ｏｆｆ
ＡＲＰ – ｄ
ＡＲＰ － ｓ ＜ｉｎｅｔ－ ａｄｄｒ＞ ＜ｅｔｈ－ ａｄｄｒ＞
其中＜ｉｎｅｔ－ ａｄｄｒ＞和＜ｅｔｈ－ ａｄｄｒ＞ 两项分别填入网关的ＩＰ地址和ＭＡＣ地址。
4.1.3、加密传输
由于通常ARP欺骗导致数据包从源机流向攻击方 ,使得网络通信被非法截取和监听。采用加密的方法对网络中传输的重要数据时行加密处理。加密后的数据安全性大大提高。即使加密后数据在传输过程中被截获,也将加大攻击方的取得重要数据的时间成本。
4.2、ＡＲＰ病毒的清除
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当某一网段中出现部分或全部计算机无法上网，重新启动系统后又可恢复上网，但不久又会出现断网的故障时，我们可以断定该网段中已有计算机感染了ＡＲＰ病毒[12]。
如果某ARP木马病毒以盗取银行帐号、QQ帐号、游戏服务器帐号等为目的,它就会频繁制造瞬间断网现象,以诱使用户多次输入帐号信息,由于所有信息都将被病毒主机捕获,病毒就有可能窃取出帐号等重要信息。
查找到感染ＡＲＰ病毒的计算机后，首先应立刻将其从网络中断开，阻止其对局域网的继续攻击，然后可使用木马专杀工具（如木马杀客下载地址：ｈｔｔｐ：／／ｗｗｗ．ｓｋｙ－ｃｎ．ｃｏｍ／ｓｏｆｔ／２４１５８．ｈｔｍｌ） ，或杀毒软件（如ＭＣＡＦＥＥ，卡巴斯基等，注意应先将病毒库升级到最新）进行病毒清除。
参考文献
[1] 谢希仁.计算机网络(第四版)[M].大连:大连理工大学出版社,2004.
[2] 刘贵松.基于ARP协议的局域网访问控制[J].电子科技大学学报,2005(2).
[3] 张普兵,郭广猛,廖成君.Internet中的电子欺骗攻击及其防范[J].计算机应用,2001,21(1):32-34.
[4] 任泰明.TCP/IP协议与网络编程[M].武汉:武汉大学出版社,2005:5.
[5] ［美］Ｋｅｎｎｅｔｈ Ｄ．Ｒｅｅｄ． ＴＣＰ／ＩＰ基础（第７版）［Ｍ］．张文，等译北京：电子工业出版社，２００４．
[6] 陈波.DoS攻击原理与对策的进一步研究[J].计算机工程与应用,2001(1).
[7] 罗军舟，等．ＴＣＰ／ＩＰ协议及网络编程技术［Ｍ］．北京：清华大学出版社，２００４．(责任编辑：南粤论文中心)转贴于南粤论文中心: http://www.nylw.net(南粤论文中心__代写代发论文_毕业论文带写_广州职称论文代发_广州论文网）