病毒、木马Arp攻击行为的原理分析及解决思路

核心提示： unsignedchararp_tha[6];//目标的硬件地址 unsignedlongarp_tpa;//目标的协议地址 }ARPHDR,*PARPHDR;下面，假设中毒机器的硬件地址是AA-AA-AA-AA-AA-AA,IP地址是192.168.1.5，病毒、木马Arp攻击行为的原

　　　　　　　 unsignedchararp_tha[6];//目标的硬件地址

　　　　　　 　unsignedlongarp_tpa;//目标的协议地址

　　　　　　　 }ARPHDR,*PARPHDR;

下面，假设中毒机器的硬件地址是AA-AA-AA-AA-AA-AA,IP地址是192.168.1.5，受影响机器B的硬件地址是BB-BB-BB-BB-BB-BB，IP地址是192.168.1.51.为了便于说明，我们在B机器上用Sniffer Pro工具先获得发送目标为192.168.1.51的 ARP数据包，

由于A中病毒不断发送ARP请求包，我们很容易获得。如图：

图片看不清楚？请点击这里查看原图（大图）。

现在我们结合图中上半部分的协议解析来分析下半部分的代码的意义，

共有四行每行都标了号

00行，ff ff ff ff ff ff 广播地址，每个同网段用户都能收到。

　　　　 aa aa aa aa aa aa 发送方的硬件地址

　　　　 08 06 指使用ARP协议

10行，00 01 10M 以太网

　　　　 08 00 使用IP协议