资深网管谈ARP欺骗类病毒的防治思路

来源：qqread 作者：佚名出处：巧巧读书 2008-01-02 进入讨论组

讨论组：http://group.qqread.com

相信最近一段时间最让我们头疼的莫过于ARP欺骗类蠕虫病毒了，这种病毒处理起来很麻烦，一台机器感染会造成网段中所有机器的上网中断或混乱。笔者也曾经为ARP欺骗类蠕虫病毒所困饶，下面笔者根据自己的经验和经历和大家一起探讨下ARP欺骗类病毒的防治思路。

　　一、ARP欺骗病毒概述：

　　由于篇幅关系我们不可能在这里大幅讲解ARP欺骗病毒的工作原理和扩散机理，笔者只是对ARP欺骗病毒进行一个大概介绍。所谓ARP欺骗病毒实际上就是一台感染了病毒的计算机不断的冒充网关的IP地址，不停的告诉网络中所有计算机网关地址对应的MAC信息是感染病毒机器的MAC，这样由于他的发包量大大大于网关实际发送的ARP信息数据。

　　所以正确的ARP数据包被虚假伪装过的数据包所掩盖，从而导致到其他计算机要上网时会把对应的数据发送到网关(实际上这个网关对应的MAC已经是中毒机器的MAC地址了)，接下来数据的发送与接收完全由中毒机器和正常机器进行了，正确的网关地址被彻底跳过，从而造成网络访问出现问题，虚假欺骗信息赫然网页之上，其他计算机上网缓慢或者根本无法上网，甚至访问到的地址变成了一个虚假页面等。

　　二、ARP欺骗病毒防治关键：

　　ARP欺骗病毒的诞生和传播与爆发关键在于他向网络中发送了大量的虚假数据包，虚假数据包的内容是告诉其他计算机网关地址的MAC是感染病毒的MAC，比如这台机器的MAC地址是1111-1111-1111，自己的IP地址是192.168.1.5，网络中真正网关地址是192.168.1.254，那么虚假数据包就是告诉其他计算机192.168.1.254对应的MAC地址是1111-1111-1111。

　　由于TCP/IP协议传输是从低层数据链路层开始到高层网络层的，所以辨认计算机先要通过MAC地址，由于网络中其他计算机已经接收到了192.168.1.254地址对应的MAC是1111-1111-1111，那么他们将首先通过MAC和ARP缓存信息来确定定位目标网关计算机。

　　因此通过上面的分析我们可以明确一点，那就是防范ARP欺骗病毒的关键就是处理这种非法数据包——IP地址是网关而MAC地址是感染病毒的计算机。