病毒、木马Arp攻击行为的原理分析及解决思路

核心提示： 某些病毒就是利用这个原理，向受害者发送源硬件地址为随机产生貌似来自网关的ARP应答包，病毒、木马Arp攻击行为的原理分析及解决思路(3)，于是在受害者缓存里，网关的IP是正确的，只能看到机器不端弹出冲突信息，系统很快慢下来，可对应的硬件地址却是错误的或者是中毒机器，该计算机向外发送的数据

某些病毒就是利用这个原理，向受害者发送源硬件地址为随机产生貌似来自网关的ARP应答包，于是在受害者缓存里，网关的IP是正确的，可对应的硬件地址却是错误的或者是中毒机器。该计算机向外发送的数据包总是发送到了错误的网关硬件地址上或是中毒机器。

而如果病毒想要截获某台机器上网的所有通信而不被察觉，只要同时再向网关发送冒充此机器的相应的数据包即可实现。

2． 频繁出现地址冲突的现象

主机A在连接网络（或更改IP地址）的时候就会向网络发送ARP包广播自己的IP地址。如果网络中存在相同IP地址的主机B，那么B就会通过ARP来reply该地址，当A接收到这个reply后，A就会跳出IP地址冲突的警告，当然B也会有警告。因此用如果病毒发出的是ARP的Request包就会使用户一直遭受IP地址冲突警告的困扰。

下面就以上分析做一个模拟病毒进行ARP攻击的行为的实验，了解此类病毒是如何产生危害的。

实验描述：此实验模仿ARP攻击的一种，机器不断提示地址冲突，运行变慢，无法上网的情况，其他情况可自行参考模拟

分析：　　　　 不同病毒在中毒机器上运行，发送的ARP包是有一定的周期的，受影响的系统产生的开销不一。先模拟中毒机B以较大的发送频率发送到A机器上（未中毒），如系统内核处理会不断处理接到的ARP包，这时盗用者机器上会不断提示IP冲突, 则A机器上的系统开销将大大增加,很容易无法响应用户操作。而这一切由于ARP处于网络协议的底层，对一般防火墙等高层软件是透明的，盗用者无从察觉，只能看到机器不端弹出冲突信息，系统很快慢下来，最终没有任何响应。

实验内容：

1．　　　　　　　　　 首先 让我们先了解一下ARP协议的数据结构：