病毒、木马Arp攻击行为的原理分析及解决思路

核心提示： 06 硬件地址使用6字节表示 04 协议（IP）地址使用4字节表示 00 01 ARP请求包 aa aa aa aa aa aa 发送方硬件地址 c0 a8 01 32发送方IP地址20行，00 00 00 00 00 00 目标硬件地址 c0 a8 01 33 目标IP地址其他数据与本

　　　　 06　　　 硬件地址使用6字节表示

　　　　 04　　　 协议（IP）地址使用4字节表示

　　　　 00 01 ARP请求包

　　　　 aa aa aa aa aa aa 发送方硬件地址

　　　　 c0 a8 01 32发送方IP地址

20行，00 00 00 00 00 00 目标硬件地址

　　　　 c0 a8 01 33 目标IP地址

其他数据与本文无关，暂不讨论。

仔细看一下不难发现，IP为192.168.1.5的A的IP地址被”篡改”了，A网络中宣布自己假冒是192.168.1.50。

使得与192.168.1.50通信的数据发到了192.168.1.5上，而真正的192.168.1.50则运行缓慢甚至无法上网。

2. 下面利用获取的数据包，通过SnifferPro的构造并发送数据包的功能对它进行简单的修改，我们可以模拟一种病毒攻击方式：　

对照前边捕获的数据包我们看到改动处有（红线标注）：

图片看不清楚？请点击这里查看原图（大图）。