ARP病毒攻擊都有哪些典型的癥狀？下面小編就給大家講解下局域網(wǎng)ARP病毒癥狀和ARP攻擊的原理，讓大家在排查局域網(wǎng)故障的時(shí)候，區(qū)分自己的故障屬于哪種類型的，千萬不要誤認(rèn)為是ARP病毒就不好了。

ARP病毒攻擊癥狀

1、上網(wǎng)速度慢，或者網(wǎng)絡(luò)內(nèi)共享文件很慢

表現(xiàn)癥狀：利用網(wǎng)絡(luò)抓包工具，抓到局域網(wǎng)中有大量ARP報(bào)文。

2、全網(wǎng)同樣配置下，唯獨(dú)某臺(tái)電腦無法上網(wǎng)

表現(xiàn)癥狀：掉線后，重啟電腦或者禁用網(wǎng)卡再啟用就恢復(fù)正常，但一會(huì)又掉線

3、大面積同時(shí)掉線，或時(shí)通時(shí)斷(即通常說的“卡”)

表現(xiàn)癥狀：某一片區(qū)域，某臺(tái)網(wǎng)絡(luò)設(shè)備下掛的所有PC出現(xiàn)上網(wǎng)不正常。

4、電腦挨個(gè)掉線，或時(shí)通時(shí)斷(即通常說的“卡”)

表現(xiàn)癥狀：正在使用某一類應(yīng)用程序的PC依次掉線。

注意：若你所在的局域網(wǎng)，網(wǎng)絡(luò)出現(xiàn)上述現(xiàn)象，估計(jì)是網(wǎng)絡(luò)中了ARP病毒。

什么是ARP病毒攻擊？

ARP英文全稱：Address Resolution Protocol，地址解析協(xié)議。網(wǎng)絡(luò)設(shè)備之間是通過ARP協(xié)議查找到彼此的IP地址和MAC地址對(duì)應(yīng)關(guān)系，從而實(shí)現(xiàn)局域網(wǎng)內(nèi)設(shè)備間的正常通信。

下圖所示：IP地址和MAC地址對(duì)應(yīng)表（簡(jiǎn)稱ARP表），就是該P(yáng)C機(jī)通過ARP協(xié)議生成的。當(dāng)該P(yáng)C機(jī)要和網(wǎng)關(guān)10.165.16.1通信時(shí)，就在這個(gè)表中找到網(wǎng)關(guān)的MAC地址，從而正確將報(bào)文發(fā)送出去。

ARP病毒是什么呢？

ARP病毒攻擊的核心也就是破壞網(wǎng)絡(luò)設(shè)備的ARP表內(nèi)容，使得設(shè)備無法查到IP對(duì)應(yīng)的正確MAC地址，導(dǎo)致報(bào)文發(fā)送錯(cuò)誤，網(wǎng)絡(luò)通信癱瘓。通俗地理解，我們可把IP地址看成人名，MAC地址看成電話號(hào)碼，那么ARP就是電話簿。如果電話簿上某人的電話號(hào)碼錯(cuò)了，我們也就無法聯(lián)系上他。

由于ARP病毒不同于其它病毒，它的攻擊是基于基礎(chǔ)網(wǎng)絡(luò)協(xié)議的天然缺陷，所以ARP病毒攻擊的防御不同于常見病毒，單靠傳統(tǒng)殺毒軟件和防火墻往往是頭疼醫(yī)頭、腳疼醫(yī)腳難以根除。而且，ARP病毒不僅攻擊PC機(jī)，還可攻擊路由器、核心交換機(jī)、接入交換機(jī)等各種網(wǎng)絡(luò)設(shè)備，傳播和危害范圍很廣。所以，僅靠單一設(shè)備、單一解決方案防御ARP病毒是不夠的。

ARP病毒攻擊都可能帶來哪些危害？

一、所有PC機(jī)無法和網(wǎng)關(guān)通信（仿冒網(wǎng)關(guān)攻擊）

ARP病毒現(xiàn)象：全網(wǎng)同樣配置下，唯獨(dú)某臺(tái)電腦無法上網(wǎng)。重啟PC機(jī)后恢復(fù)正常，但過一段時(shí)間網(wǎng)絡(luò)又瞬間癱瘓。查看每臺(tái)PC機(jī)的ARP表，發(fā)現(xiàn)網(wǎng)關(guān)的MAC地址錯(cuò)誤。如下圖所示：該P(yáng)C機(jī)的ARP表中網(wǎng)關(guān)10.165.16.1的MAC地址已被修改另外一臺(tái)PC機(jī)的地址，顯然該P(yáng)C機(jī)無法再同網(wǎng)關(guān)通信了，無法上網(wǎng)了。

原因：攻擊者偽造ARP報(bào)文，發(fā)送源IP地址為網(wǎng)關(guān)IP地址，源MAC地址為偽造的MAC地址的ARP報(bào)文給被攻擊的主機(jī)，使這些主機(jī)更新自身ARP表中網(wǎng)關(guān)IP地址與MAC地址的對(duì)應(yīng)關(guān)系。這樣一來，主機(jī)訪問網(wǎng)關(guān)的流量，被重定向到一個(gè)錯(cuò)誤的MAC地址，導(dǎo)致該用戶無法正常訪問外網(wǎng)。這樣，如果某臺(tái)PC機(jī)的ARP表被攻擊者修改，它就無法正常上網(wǎng)了。

而且，攻擊者還可能使用第三方PC機(jī)的MAC作為偽造MAC。這樣即使在被攻擊者PC機(jī)上查到了偽造MAC地址，也很難定位哪臺(tái)PC是真正的攻擊者。

“ARP病毒仿冒網(wǎng)關(guān)”攻擊示意圖

通俗地理解：老總和三個(gè)員工（張三、李四、王五），每個(gè)人的電話簿都記錄了其他人的號(hào)碼。王五這次沒升經(jīng)理，心里不平衡，修改所有人電話簿中老總的電話號(hào)碼，張三、李四等都無法向老總匯報(bào)工作。甚至，王五把張三電話簿中老總的號(hào)碼修改為李四的，讓張三還誤認(rèn)為是李四干的。造成公司內(nèi)疑神疑鬼，員工不合，極大地影響了工作氛圍。

二、所有PC機(jī)無法和網(wǎng)關(guān)通信（欺騙網(wǎng)關(guān)攻擊）

ARP病毒現(xiàn)象：網(wǎng)絡(luò)中PC逐臺(tái)掉線，甚至全網(wǎng)內(nèi)PC都無法上網(wǎng)。查看路由器ARP表項(xiàng)，發(fā)現(xiàn)很多錯(cuò)誤地址。重啟路由器后恢復(fù)正常，但過一段時(shí)間PC又開始掉線，導(dǎo)致很多用戶懷疑是路由器故障。正如下圖所示，網(wǎng)關(guān)路由器的ARP表中各臺(tái)PC機(jī)的MAC地址已不正確，這些PC機(jī)無法再同網(wǎng)關(guān)通信，無法上網(wǎng)。

原因：攻擊者偽造ARP報(bào)文，發(fā)送源IP地址為同網(wǎng)段內(nèi)某一合法用戶的IP地址，源MAC地址為偽造的MAC地址的ARP報(bào)文給網(wǎng)關(guān)；使網(wǎng)關(guān)更新自身ARP表中原合法用戶的IP地址與MAC地址的對(duì)應(yīng)關(guān)系。這樣一來，網(wǎng)關(guān)發(fā)給該用戶的所有數(shù)據(jù)全部重定向到一個(gè)錯(cuò)誤的MAC地址，導(dǎo)致該用戶無法正常訪問外網(wǎng)。

“ARP病毒欺騙網(wǎng)關(guān)”攻擊示意圖

通俗地理解：老總本來想帶張三一起去國(guó)外考察，王五嫉妒張三，于是他修改了老總電話簿中張三的號(hào)碼。老總聯(lián)系不上張三，好機(jī)會(huì)就這樣丟失了。甚至，王五修改了老總電話簿的全部號(hào)碼，老總就一個(gè)員工也找不到了，公司業(yè)務(wù)一片混亂。

三、竊聽通信隱私（“中間人”攻擊）

ARP病毒現(xiàn)象：某臺(tái)PC上網(wǎng)突然掉線，一會(huì)又恢復(fù)了，但恢復(fù)后一直上網(wǎng)很慢。查看該P(yáng)C機(jī)的ARP表，網(wǎng)關(guān)MAC地址已被修改，而且網(wǎng)關(guān)上該P(yáng)C機(jī)的MAC也是偽造的。該P(yáng)C機(jī)和網(wǎng)關(guān)之間的所有流量都中轉(zhuǎn)到另外一臺(tái)機(jī)子上了。同樣，也會(huì)表現(xiàn)為局域網(wǎng)內(nèi)PC機(jī)之間共享文件等正常通信非常慢。

原因： ARP “中間人”攻擊，又稱為ARP雙向欺騙。如圖1-4所示，如果有惡意攻擊者（Host B）想探聽Host A和Host C之間的通信，它可以分別給這兩臺(tái)主機(jī)發(fā)送偽造的ARP應(yīng)答報(bào)文，使Host A和Host C用MAC_B更新自身ARP映射表中與對(duì)方IP地址相應(yīng)的表項(xiàng)。此后，Host A 和Host C之間看似“直接”的通信，實(shí)際上都是通過黑客所在的主機(jī)間接進(jìn)行的，即Host B擔(dān)當(dāng)了“中間人”的角色，可以對(duì)信息進(jìn)行了竊取和篡改。

ARP“中間人”攻擊示意圖

通俗地理解：王五想偷聽張三和李四間的悄悄話，于是修改了張三和李四電話簿中的號(hào)碼，他們之間的通話都先中轉(zhuǎn)到王五這里了。

四、常有人掉線，網(wǎng)絡(luò)還很慢（ARP報(bào)文泛洪攻擊）

ARP病毒現(xiàn)象：經(jīng)常有人反饋上不了網(wǎng)，或網(wǎng)速很慢，查看ARP表項(xiàng)也都正確，但在網(wǎng)絡(luò)中抓報(bào)文分析，發(fā)現(xiàn)大量ARP請(qǐng)求報(bào)文。（正常情況時(shí)，網(wǎng)絡(luò)中ARP報(bào)文所占比例是很小的）

原因：惡意用戶利用工具構(gòu)造大量ARP報(bào)文發(fā)往交換機(jī)、路由器或某臺(tái)PC機(jī)的某個(gè)端口，導(dǎo)致CPU忙于處理ARP協(xié)議，負(fù)擔(dān)過重，造成設(shè)備其他功能不正常甚至癱瘓。

通俗地理解：李四為保障電話薄正確，會(huì)定時(shí)檢查和刷新電話簿，王五就高頻率地發(fā)送信息修改李四的電話簿，導(dǎo)致李四也只能不斷刷新電話簿，而無暇再去推進(jìn)其他工作了。

以上就是小編給大家分享的ARP病毒的四種基本攻擊類型，實(shí)際中ARP病毒還可變種為更多的攻擊方式。例如，有的ARP病毒就專門在網(wǎng)吧中盜竊別人的QQ、網(wǎng)絡(luò)游戲賬號(hào)，使用的就是改進(jìn)的仿冒網(wǎng)關(guān)攻擊。但萬變不離其宗，只要能夠防御四種基本攻擊方式，ARP病毒就無計(jì)可施了。