arp病毒arp病毒是怎么回事?具体点是什么呢？？？？

什么是arp病毒,知道的告诉我

这种病毒自身可以伪造一些ARP回应包。

这些包的源IP地址一般是重要设备的IP地址，而那个源MAC地址可能是自己的MAC，也可能是一个无用的MAC地址。

而目的IP地址和目的MAC地址都是广播地址，这样的话，这个新的ARP条目就会发送到网络中的任何一个设备中。

然后，这些设备就会更新自己的ARP缓存，这样一来呢，就达到欺骗的效果了。

以后我们的机器在往重要的设备上发送数据的时候，就会先检查自己的ARP缓存啊，确实存在这么一个ARP条目，殊不知已经是被掉包的了。

所以呢，我们发送的数据就不会按照我们原来的意愿，到达真正的目的地。

ARP病毒是什么病毒？谢谢！！

局域网中，经常有机子感染arp病毒导致网络故障，没有办法只好先将中毒机子断开网络，再格式化重装系统，一般能解决问题，但如果将机子里需要的资料、软件等备份后在重装后复制回机子里，又出现了arp病毒，我下载了“arp专杀工具（TSC）”进行杀毒，报告中看到发现一个病毒并清除了，但再次运行该专杀工具，有提示发现一个病毒并清除，每次运行都是这样，这说明病毒并没有被清除，果然此机再上网又会影响网络，这个病毒真把人头都搞昏了，到底该怎么查杀？老是格式化所有驱动器重装系统也不是办法啊！请求高手指点，先谢谢了！（不要复制的arp攻击原理什么的，这个我知道）。

提问者： thinker1963 以下网是怎么杀毒的/question/7400838.html?fr=qrl3 谢谢

什么是ARP病毒，它的危害是什么？

ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。

在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。

在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。

但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。

所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。

ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

所以说从某种意义上讲ARP协议是工作在更低于IP协议的协议层。

这也是为什么ARP欺骗更能够让人在神不知鬼不觉的情况下出现网络故障，他的危害更加隐蔽。

首先我们可以肯定一点的就是发送ARP欺骗包是通过一个恶毒的程序自动发送的，正常的TCP/IP网络是不会有这样的错误包发送的，而人工发送又比较麻烦。

也就是说当黑客没有运行这个恶毒程序的话，网络上通信应该是一切正常的，保留在各个连接网络计算机上的ARP缓存表也应该是正确的，只有程序启动开始发送错误ARP信息以及ARP欺骗包时才会让某些计算机访问网络出现问题。

接下来我们来阐述下ARP欺骗的原理。

第一步：假设这样一个网络，一个Hub或交换机连接了3台机器，依次是计算机A，B，C。

A的地址为：IP：192.168.1.1 MAC: AA-AA-AA-AA-AA-AA B的地址为：IP：192.168.1.2 MAC: BB-BB-BB-BB-BB-BB C的地址为：IP：192.168.1.3 MAC: CC-CC-CC-CC-CC-CC 第二步：正常情况下在A计算机上运行ARP -A查询ARP缓存表应该出现如下信息。

Interface: 192.168.1.1 on Interface 0x1000003 Address Physical Address Type 192.168.1.3 CC-CC-CC-CC-CC-CC dynamic 第三步：在计算机B上运行ARP欺骗程序，来发送ARP欺骗包。

B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。

当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A可不知道被伪造了）。

而且A不知道其实是从B发送过来的，A这里只有192.168.10.3（C的IP地址）和无效的DD-DD-DD-DD-DD-DD mac地址。

第四步：欺骗完毕我们在A计算机上运行ARP -A来查询ARP缓存信息。

你会发现原来正确的信息现在已经出现了错误。

Interface: 192.168.1.1 on Interface 0x1000003 Address Physical Address Type 192.168.1.3 DD-DD-DD-DD-DD-DD dynamic 从上面的介绍我们可以清楚的明白原来网络中传输数据包最后都是要根据MAC地址信息的，也就是说虽然我们日常通讯都是通过IP地址，但是最后还是需要通过ARP协议进行地址转换，将IP地址变为MAC地址。

而上面例子中在计算机A上的关于计算机C的MAC地址已经错误了，所以即使以后从A计算机访问C计算机这个192.168.1.3这个地址也会被ARP协议错误的解析成MAC地址为DD-DD-DD-DD-DD-DD的。

问题也会随着ARP欺骗包针对网关而变本加厉，当局域网中一台机器，反复向其他机器，特别是向网关，发送这样无效假冒的ARP应答信息包时，严重的网络堵塞就会开始。

由于网关MAC地址错误，所以从网络中计算机发来的数据无法正常发到网关，自然无法正常上网。

这就造成了无法访问外网的问题，另外由于很多时候网关还控制着我们的局域网LAN上网，所以这时我们的LAN访问也就出现问题了。

前面也提到了ARP欺骗可以造成内部网络的混乱，让某些被欺骗的计算机无法正常访问内外网，让网关无法和客户端正常通信。

实际上他的危害还不仅仅如此，一般来说IP地址的冲突我们可以通过多种方法和手段来避免，而ARP协议工作在更低层，隐蔽性更高。

系统并不会判断ARP缓存的正确与否，无法像IP地址冲突那样给出提示。

而且很多黑客工具例如网络剪刀手等，可以随时发送ARP欺骗数据包和ARP恢复数据包，这样就可以实现在一台普通计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机的上网与否，甚至还可以直接对网关进行攻击，让所有连接网络的计算机都无法正常上网。

这点在以前是不可能的，因为普通计算机没有管理权限来控制网关，而现在却成为可能，所以说ARP欺骗的危害是巨大的，而且非常难对付，非法用户和恶意用户可以随时发送ARP欺骗和恢复数据包，这样就增加了网络管理员查找真凶的难度。

那么难道就没有办法来阻止ARP欺骗问题的发生吗？下篇文章笔者将就这些内容进行讲解，让我们真真正正的和ARP欺骗说再见。

ARP病毒

arp现在已经有很多变种了，一种类型是木马，一另一种是后门程序！！！ 以下是参考资料----看你中的是哪种 病毒名称 Trojan/PSW.GamePass.arp 病毒中文名 “网游大盗”变种arp 病毒类型 木马 危险级别 ★ 影响平台 Win 9X/ME/NT/2000/XP/2003 感染对象 描述 Trojan/PSW.GamePass.arp“网游大盗”变种arp是一个木马程序，盗取盛大公司网络游戏的帐号信息。

解决方案 1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，该引擎对目前互联网盛行的病毒、木马、恶意软件（流氓软件）、广告软件等进行智能分级高速查杀，防止恶性病毒攻击用户计算机。

2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。

3、“江民密保”可有效保护网上银行、网络游戏、支付平台、网上证券交易等账号、密码，彻底斩断“网银大盗”、“证券大盗”、“传奇窃贼”、“天堂杀手”等专门盗号的木马黑手，全面保护用户机密信息。

4、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。

免费在线查毒地址： /chadu.asp. ==================================================== 病毒名称 Backdoor/Agobot.arp 病毒中文名 “高波”变种arp 病毒类型 后门 危险级别 ★★ 影响平台 Win 9X/ME/NT/2000/XP/2003 感染对象 描述 Backdoor/Agobot.arp“高波”变种arp是一个利用Kazaa共享及mIRC传播的后门。

该后门不仅传播给已经感染后门的用户计算机，而且利用密码字典破解弱密码进行网络共享传播。

“高波”变种arp运行后，自我复制到系统目录下。

修改注册表，实现开机自启。

在Kazaa上创建共享目录，利用某些常用软件的名称自我复制到Kazaa共享目录下，欺骗他人下载。

连接指定的IRC服务器，侦听黑客指令，利用用户操作系统漏洞进行传播，终止某些杀毒软件的进程，对指定目标执行DoS攻击等。

在已开启的窗口中搜索与网上银行、在线支付相关的字符串，一经发现便开始记录键击，盗取用户帐号密码，并禁止用户通过合法帐号进行在线交易。

利用密码字典破解弱密码共享，自我复制到共享目录下，进行网络共享传播。

释放另一病毒，隐藏自我，防止被查杀。

另外，“高波”变种arp还可以自升级。

解决方案 1、请及时升级江民KV2006杀毒软件，开启BOOTSCAN功能及各项监控，防止冲击波、震荡波等恶性病毒攻击用户计算机。

江民KV2006杀毒软件在Windows启动前能彻底清除以上恶性病毒，全面保护用户计算机。

2、江民kv网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。

3、开启江民杀毒软件KV2006“系统漏洞检查”功能，全面扫描操作系统漏洞，及时更新Windows操作系统，安装相应补丁程序，以避免病毒利用微软漏洞攻击计算机，造成损失。

4、用户应养成及时下载最新系统安全漏洞补丁的安全习惯，从根源上杜绝黑客利用系统漏洞攻击用户计算机的病毒。

同时，升级杀毒软件、开启病毒实时监控应成为每日防范病毒的必修课。

5、在打开通过局域网共享及共享软件下载的文件或软件程序之前，建议先进行病毒查杀，以免导致中毒。

6、设置网络共享帐号及密码时，尽量不要使用常见字符串，如guest、administrator等。

密码最好超过八位，尽量复杂化。

7、新版江民黑客防火墙能彻底防范网银大盗、证券大盗等病毒通过记录、监听键盘消息盗取用户网上银行帐号和密码，全面保护用户机密信息。

8、针对病毒利用修改注册表实现开机自启这一特点，江民杀毒软件KV2006“注册表自动修复”功能可以在第一时间清除病毒文件，对病毒破坏的系统注册表进行智能恢复。

9、请定期做好重要资料的备份，以免造成重大损失。

10、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。

免费在线查毒地址： /chadu.asp. ========================================= 病毒名称 Trojan/Agent.arp 病毒中文名 “代理木马”变种arp 病毒类型 木马 危险级别 ★★ 影响平台 Win 9X/ME/NT/2000/XP/2003 感染对象 描述 Trojan/Agent.arp“代理木马”变种arp是一个盗取用户机密信息的木马程序。

“代理木马”变种arp运行后，自我复制到系统目录下，文件名随机生成。

修改注册表，实现开机自启。

从指定站点下载其它木马，侦听黑客指令，盗取用户机密信息。

解决方案 1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、流氓软件（恶意软件）等攻击用户计算机。

2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。

3、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。

4、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。

免费在线查毒地址： /chadu.asp.

arp病毒是怎么回事?具体点是什么呢？？？？

ARP病毒也叫ARP地址欺骗类病毒，属于木马类病毒，在发作时会向全网发伪造的ARP数据包，通常会造成网络掉线，内网部分电脑不能上网，或者所有电脑均不能上网，无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象，严重干扰网线的正常运行，其危害甚至比一些蠕虫病毒还要严重，ARP地址欺骗技术已经成为病毒发展的一个新趋势。

ARP病毒很容易复发，很多朋友在清除病毒后，过一段时间又会反复出现，给日常上网带来了很在的困扰。

它之所以会反复发作，主要是由于目前网页木马都是利用微软的MS06-014和 MS07-017这两个漏洞进入系统里面的，如果没有打好这2个补丁，就很容易再次攻击，同时将MAC-IP双向绑定也可以达到免疫ARP病毒的效果。

只在做好以下六个安全措施，就可以有效防范这一类病毒： a.使用可防御ARP攻击的三层交换机，绑定端口-MAC-IP，限制ARP流量，及时发现并自动阻断ARP攻击端口，合理划分VLAN，彻底阻止盗用IP、MAC地址，杜绝ARP的攻击。

b.对于经常爆发病毒的网络，进行访问控制，限制用户对网络的访问。

此类ARP攻击程序一般都是从下载到用户终端，如果能够加强用户上网的访问控制，就能极大的减少该问题的发生。

c.在发生ARP攻击时，及时找到病毒攻击源头，并收集病毒信息，可以使用趋势科技的SIC2.0，同时收集可疑的病毒样本文件，一起提交到趋势科技的TrendLabs进行分析，TrendLabs将以最快的速度提供病毒码文件，从而可以进行ARP病毒的防御。

1、做好IP-MAC地址的绑定工作（即将IP地址与硬件识别地址进行绑定），在交换机和客户端都进行绑定，这是可以使局域网免受ARP病毒侵扰的好办法； 2、全网所有的电脑都打上上面所说的2个补丁，可以免疫绝大多数网页木马，防止在浏览网页的时候感染病毒。

MS06-014中文版系统宁靖下载地址： /china//security/bulletin/MS06-014.mspx MS07-017中文版系统补丁下载地址： /china//security/bulletin/MS07-017.mspx 3、禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入计算机。

禁用Windows系统的自动播放功能的方法是：在运行中输入gpedit.msc，打开组策略，定位到：计算机配置－管理模板－系统－关闭自动播放－已启用－所有驱动器，然后确定即可。

（注：如果你的计算机是WindowsXP Home版，那么可以用TweakUI这个软件来办到这件事 4、在网络正常时保存好全网的IP-MAC地址对照表，这样在查找ARP中毒电脑时就会很方便了。

5、部署网络流量检测设备，时刻监视全网的ARP广播包，查看其MAC是否正确。

6、部署具有全网监控功能的杀毒软件，如KV网络版，定期升级病毒，定期全网杀毒。