ARP欺骗类病毒该如何防御摘要：在计算机技术和网络技术日渐发展的当今时代，在数据处理生产运营中普遍使用网络技术。保护网络环境安全，对于企业的发展具有深远影响。特别是对ARP欺骗类病毒高度重视，避免由于ARP欺骗类病毒的影响而造成企业受损。通过对如何防御ARP欺骗类病毒进行研究分析，希望能够为相关人员提供一定的理论借鉴。关键词：ARP欺骗类病毒防御中图分类号：TP393文献标识码：A文章编号：1003-9082（2016）06-0006-01前言：ARP全称为AddressResolutionProtocol，地址解析协议。ARP病毒并不是某一种病毒的名称，而是对利用ARP协议的漏洞进行传播的一类病毒的总称。ARP欺骗主要指的是，利用ARP协议中存在的漏洞，将伪造过的虚假ARP报文发送到目标主机设备，进而实现截取目标主机数据、或者监听主机数据的攻击方式。ARP欺骗具有一定的随机性、以及隐蔽性等特点，ARP欺骗工具广泛的存在于网络环境中，进而致使ARP欺骗更加普遍。现阶段，很多木马病毒利用ARP欺骗，广泛传播于网络中，严重影响网络的安全运行。特别是在企业内部局域网络中，ARP欺骗更是屡次出现，如果某台计算机感染ARP欺骗类病毒程序，将会发送伪造过的ARP相应报文，严重影响网络环境的稳定。一、ARP的主要攻击类型攻击类型主要包括以下两种：冒充主机欺骗网关和冒充网关欺骗主机[1]。1.冒充主机欺骗网关可以将源MAC地址设置为MAC_C，将源IP地址设置为IP_A，攻击主机C发出一个报文。从而所有向主机A发送的报文，都会由攻击主机C所接收，而且中断了网络同真实主机A的直接通信关系。如果攻击主机C持续地根据自身的MAC地址，与其他主机IP地址作为源地址进行ARP包的发送，那么除了攻击主机C，网关将无法直接通信网段内的所有主机[2]。在此种背景下，交换机无法记录任何的报警日志，主要是交换机认为多个IP地址对应一个MAC地址正常可行，对其他利用IP对应的MAC交付报文不会造成任何影响。如果将网关ARP缓存中的MAC地址进行更改，使之换成原本就不存在的地址，则网关所发送出来的网络数据帧将会全部丢失，致使上层急于处理此种异常情况，而无法对外来请求进行解决，最终使得网关不提供任何服务。2.冒充网关欺骗主机首先，在主动攻击中，主机A接收到来自攻击者C的ARP应答数据包，然后使主机A和网关B的IP地址明确所对应的MAC地址，也就是CC-CC-CC-CC-CC-CC，致使主机A对自身的ARP列表进行修复，然后将网关B的IP地址进行修改，将原有的MAC地址修改成攻击者C的MAC地址；其次，攻击者C在向主机A发送ARP数据包的同时，也向网关B发送ARP应答数据包，也告知网关B主机A的IP地址所对应的MAC地址，也就是CC-CC-CC-CC-CC-CC，致使网关B将自身的ARP列表进行修改，然后将A的IP地址进行修改，将原有的MAC地址修改成攻击者C的MAC地址；最终致使主机A与网关B之间的通信，变成主机A与攻击者C之间的通信，以及攻击者C与网关B之间的通信，主机A和B之间无法直接通信[3]。在被动攻击中，主机A或者网关B发送出ARP请求数据包时，攻击者C在一段时间之后，发送应答数据包，保证自身的应答包能够在正确的应答包之后达到，避免出现自己修改的相应主机的ARP列表，被正确的应答包再次修改。因此，主机A向网关B所发送的报文，都会向攻击主机C发送，进而导致主机A出现断网的情况。如果攻击主机C先是收到来自主机A的报文，然后在向网关B转发，则主机A可以利用攻击主机C继续上网，但是，主机A的网络质量，将会由攻击主机C来控制，一般具有时断时续的表现。二、ARP欺骗类病毒入侵后的表象当局域网中的某台电脑找到ARP欺骗类病毒控制的时候，其他用户若通过原来的路由器连接上网，将变成通过病毒主机连接网络，而切换过程用户将出现一次断线现象。当切换到病毒主机上网后，若用户登录某个服务器，病毒主机则会伪装成经常断线，诱使用户频繁登录，从而利于病毒主机盗取账户信息。当ARP欺骗类病毒运行时，会产生很多数据包，大量数据包造成局域网拥堵，使用户感觉网速变慢，而当病毒停止时，用户将恢复到原有路由器上网，但切换过程用户会再次断线。这种ARP欺骗类病毒在入侵后不仅影响他人上网，还会对病毒主机与子网机器的安全造成影响，很可能窃取用户...