arp病毒ARP病毒是什么原理?

谁知道ARP病毒是什么?

近期有某种arp病毒在校园网里传播，感染该病毒后，会影响整个网段（宿舍区整单元、办公区整个楼层）计算机的正常上网，出现同一网段的大面积断网断线。

请广大用户升级杀毒软件病毒库到最新版本，没有安装杀毒软件的用户，请下载下面的专杀工具进行查杀。

　　 注意：当附近所有人的计算机都不能正常上网，出现qq掉线等情况时，您的电脑却安然无恙，数据通信正常，这说明您的机器已经中了arp病毒，需要及时杀毒，否则，与您相邻的计算机将无法上网，您的硬盘上的数据也有被窃取的危险 未中毒而只是被攻击的电脑，防护办法如下：在 /gdtz/download/AntiArpSniffer3.5.zip下载AntiArp3.5.0在本机安装运行，在“网关地址”中输入本机网关地址（具体查看网关地址的方法请看附图），然后点击“获取网关MAC地址”按钮，再点击“自动防护”即可。

附件：查看本机网关地址的方法 windows2000和 xp的机器，点击电脑左下角的“开始”，选择“运行”，然后输入：cmd 点击确定，在出现的dos窗口中输入：ipconfig /all然后回车，在出现的项目中找到Default Gateway 对应的地址即是。

什么是ＡＲＰ病毒啊

ARP欺骗病毒，要检测很简单，打开一个网页(查看源代码)，如果上面有（新增的）类似于<iframe src="http://XXXXXXXX.htm" height=0 width=0 /iframe>就中了ARP欺骗了，当然不是网页挂马，只是病毒在网页打开前修改了缓存中的网页内容

arp病毒是什么

1、清空ARP缓存：大家可能都曾经有过使用ARP的指令法解决过ARP欺骗问题，该方法是针对ARP欺骗原理进行解决的。

一般来说ARP欺骗都是通过发送虚假的MAC地址与IP地址的对应ARP数据包来迷惑网络设备，用虚假的或错误的MAC地址与IP地址对应关系取代正确的对应关系。

若是一些初级的ARP欺骗，可以通过ARP的指令来清空本机的ARP缓存对应关系，让网络设备从网络中重新获得正确的对应关系，具体解决过程如下：第一步：通过点击桌面上任务栏的“开始”->“运行”，然后输入cmd后回车，进入cmd(黑色背景)命令行模式；第二步：在命令行模式下输入arp -a命令来查看当前本机储存在本地系统ARP缓存中IP和MAC对应关系的信息；第三步：使用arp -d命令，将储存在本机系统中的ARP缓存信息清空，这样错误的ARP缓存信息就被删除了，本机将重新从网络中获得正确的ARP信息，达到局域网机器间互访和正常上网的目的。

如果是遇到使用ARP欺骗工具来进行攻击的情况，使用上述的方法完全可以解决。

但如果是感染ARP欺骗病毒，病毒每隔一段时间自动发送ARP欺骗数据包，这时使用清空ARP缓存的方法将无能为力了。

下面将接收另外一种，可以解决感染ARP欺骗病毒的方法。

2、指定ARP对应关系：其实该方法就是强制指定ARP对应关系。

由于绝大部分ARP欺骗病毒都是针对网关MAC地址进行攻击的，使本机上ARP缓存中存储的网关设备的信息出现紊乱，这样当机器要上网发送数据包给网关时就会因为地址错误而失败，造成计算机无法上网。

第一步：我们假设网关地址的MAC信息为00-14-78-a7-77-5c，对应的IP地址为192.168.2.1。

指定ARP对应关系就是指这些地址。

在感染了病毒的机器上，点击桌面->任务栏的“开始”->“运行”，输入cmd后回车，进入cmd命令行模式；第二步：使用arp -s命令来添加一条ARP地址对应关系， 例如arp -s 192.168.2.1 00-14-78-a7-77-5c命令。

这样就将网关地址的IP与正确的MAC地址绑定好了，本机网络连接将恢复正常了；第三步：因为每次重新启动计算机的时候，ARP缓存信息都会被全部清除。

所以我们应该把这个ARP静态地址添加指令写到一个批处理文件（例如：bat）中，然后将这个文件放到系统的启动项中。

当程序随系统的启动而加载的话，就可以免除因为ARP静态映射信息丢失的困扰了。

arp病毒？

ARP的攻击主要有以下几种方式 一.简单的欺骗攻击 这是比较常见的攻击,通过发送伪造的ARP包来欺骗路由和目标主机, 让目标主机认为这是一个合法的主机.便完成了欺骗.这种欺骗多发生在同一网段内, 因为路由不会把本网段的包向外转发,当然实现不同网段的攻击也有方法, 便要通过ICMP协议来告诉路由器重新选择路由. 二.交换环境的嗅探 在最初的小型局域网中我们使用HUB来进行互连,这是一种广播的方式, 每个包都会经过网内的每台主机,通过使用软件,就可以嗅谈到整个局域网的数据. 现在的网络多是交换环境,网络内数据的传输被锁定的特定目标.既已确定的目标通信主机. 在ARP欺骗的基础之上,可以把自己的主机伪造成一个中间转发站来监听两台主机之间的通信. 三.MAC Flooding 这是一个比较危险的攻击,可以溢出交换机的ARP表,使整个网络不能正常通信 四.基于ARP的DOS 这是新出现的一种攻击方式,D.O.S又称拒绝服务攻击, 当大量的连接请求被发送到一台主机时,由于主机的处理能力有限, 不能为正常用户提供服务,便出现拒绝服务.这个过程中如果使用ARP来隐藏自己, 在被攻击主机的日志上就不会出现真实的IP.攻击的同时,也不会影响到本机. 防护方法: 1.IP+MAC访问控制. 单纯依靠IP或MAC来建立信任关系是不安全,理想的安全关系建立在IP+MAC的基础上.这也是我们校园网上网必须绑定IP和MAC的原因之一. 2.静态ARP缓存表. 每台主机都有一个临时存放IP-MAC的对应表ARP攻击就通过更改这个缓存来达到欺骗的目的,使用静态的ARP来绑定正确的MAC是一个有效的方法.在命令行下使用arp -a可以查看当前的ARP缓存表.以下是本机的ARP表 C:Documents and qing>arp -a Interface: 210.31.197.81 on Interface 0x1000003 Address Physical Address Type 210.31.197.94 00-03-6b-7f-ed-02 dynamic 其中"dynamic" 代表动态缓存,即收到一个相关ARP包就会修改这项.如果是个非法的含有不正确的网关的ARP包,这个表就会自动更改.这样我们就不能找到正确的网关MAC,就不能正常和其他主机通信.静态表的建立用ARP -S IP MAC. 执行"arp -s 210.31.197.94 00-03-6b-7f-ed-02"后,我们再次查看ARP缓存表. C:Documents and qing>arp -a Interface: 210.31.197.81 on Interface 0x1000003 Address Physical Address Type 210.31.197.94 00-03-6b-7f-ed-02static 此时"TYPE"项变成了"static",静态类型.这个状态下,是不会在接受到ARP包时改变本地缓存的.从而有效的防止ARP攻击.静态的ARP条目在每次重启后都要消失需要重新设置. 3.ARP 高速缓存超时设置 在ARP高速缓存中的表项一般都要设置超时值,缩短这个这个超时值可以有效的防止ARP表的溢出. 4.主动查询 在某个正常的时刻,做一个IP和MAC对应的数据库,以后定期检查当前的IP和MAC对应关系是否正常.定期检测交换机的流量列表,查看丢包率. 总结:ARP本省不能造成多大的危害,一旦被结合利用,其危险性就不可估量了.由于ARP本身的问题.使得防范ARP的攻击很棘手,经常查看当前的网络状态,监控流量对一个网管员来说是个很好的习惯。

ARP病毒是什么原理?

ARP欺骗的原理 网络执法官中利用的ARP欺骗使被攻击的电脑无法上网，其原理就是使该电脑无法找到网关的MAC地址。

那么ARP欺骗到底是怎么回事呢？知其然，知其所以然是我们《黑客X档案》的优良传统，下面我们就谈谈这个问题。

首先给大家说说什么是ARP,ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。

从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。

ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。

ARP原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。

如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址Ia--物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。

网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。

其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。

接着使用这个MAC地址发送数据（由网卡附加MAC地址）。

因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。

ARP协议并不只在发送了ARP请求才接收ARP应答。

当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。

因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充C伪造来的，即IP地址为C的IP，而MAC地址是伪造的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。

由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。

所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通C！这就是一个简单的ARP欺骗。

网络执法官利用的就是这个原理！知道了它的原理，再突破它的防线就容易多了。