黑金ARP病毒原理

ARP欺骗攻击历史极为悠久，可以说与以太网技术同时诞生。ARP不安全的协议机制给了攻击者实施恶意欺骗攻击的机会，黑客可以通过发送虚假ARP数据将被攻击用户本地的ARP缓存内容恶意涂改，从而扰乱局域网正常的通讯秩序产生一系列通讯故障。

早期的ARP欺骗攻击，多用来干扰用户正常通讯（如某些网管类软件利用ARP攻击来限制指定计算机网速甚至可以完全切断指定计算机网络通信）或是被黑客用来欺骗全网通信，企图Sniffer嗅探网络数据包，伺机窃取有价值的信息。

而近年来的黑金ARP病毒欺骗攻击其目的则和以往的单纯ARP欺骗病毒完全不同，明显表露出其木马化的本质。以黑金ARP病毒Backdoor．Win32．ARP．g为例，该病毒的特别之处就是在原有ARP欺骗基础上，捆绑正常的网络分析软件WinPcap，试图欺骗传统杀毒软件，利用WinPcap提供的网络分析功能，劫持网络内所有HTTP通讯，并且强行在HTTP数据包中插入带有病毒程序的网页链接，使得局域网内任意一个用户在访问正常网页时，都会自动下载木马病毒。也就是说，只要局域网内有一台计算机感染了该木马，局域网内所有的计算机就都有可能被感染上木马病毒。可见，黑金ARP对局域网危害极大，正可谓是一机中毒，全网“遇难”。理论上如果网内只有一台计算机中了黑金ARP，那么局域网虽受ARP欺骗影响，但仍尚可维持通讯。但是实际上前述的假设在现实中是不成立的，因为只要有一台计算机中毒，局域网内很快就会变为多台计算机同时中毒，而多台计算机同时发起ARP欺骗的直接后果就是网络内计算机互相欺骗，局域网全网通讯瘫痪。

清除黑金ARP病毒，首先要做的就是要彻底清除其毒源，换句话说如果将病毒源连根拔起清除彻底，局域网自然而然就会恢复正常。B公司的网管也明白这个道理，也尝试安装过国内著名杀毒软件力图解决这个问题，但是收效甚微，扫描时一个病毒也没有报出来。

其实事情是很简单的，所有的黑金ARP病毒都必然具备的一个行为特点就是乱发ARP欺骗数据包，因此采用行为分析技术的主动防御软件对其会有很好地清除能力。主动防御软件根据行为分析一旦发现有程序试图乱发ARP欺骗数据包，立即将其查杀即可。

【相关文章】

• 专题：ARP攻击防范与解决方案