文章大纲：

• 1、ARP攻击是什么意思？
• 2、黑客为什么要进行ARP攻击？
• 3、ARP局域网攻击是什么意思？
• 4、如何解决ARP攻击并且反击

ARP攻击是什么意思？

ARP攻击，是针对以太网地址解析协议(ARP)的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包，且可让 *** 上特定计算机或所有计算机无法正常连接。

ARP攻击仅能在以太网(局域网如:机房、内网、公司 *** 等)进行。

无法对外网(互联网、非本区域内的局域网)进行攻击。

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在 *** 中产生大量的ARP通信量使 *** 阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成 *** 中断或中间人攻击。

ARP攻击主要是存在于局域网 *** 中，局域网中若有一台计算机感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在 *** 内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则A广播一个ARP请求报文(携带主机A的IP地址Ia--物理地址Pa)，请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此，本地高速缓存的这个ARP表是本地 *** 流通的基础，而且这个缓存是动态的。

ARP欺骗木马的中毒现象表现为:使用局域网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象(无法ping通网关)，重启机器或在MS-DOS窗口下运行命令arp

-d后，又可恢复上网。

ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个 *** 的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取 *** 密码、盗取各种 *** 游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。

基于ARP协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的ARP数据包，数据包内包含有与当前设备重复的Mac地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的 *** 通信。一般情况下，受到ARP攻击的计算机会出现两种现象:

1.不断弹出“本机的0-255段硬件地址与 *** 中的0-255段地址冲突”的对话框。

2.计算机不能正常上网，出现 *** 中断的症状。

因为这种攻击是利用ARP请求报文进行“欺骗”的，所以防火墙会误以为是正常的请求数据包，不予拦截。因此普通的防火墙很难抵挡这种攻击。

黑客为什么要进行ARP攻击？

ARP欺骗木马的中毒现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp -d后，又可恢复上网。

ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个 *** 的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取 *** 密码、盗取各种 *** 游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。

ARP局域网攻击是什么意思？

目前信息 *** 问题频出，掉线、网速慢、内网服务器访问缓慢等，统计数据表明， *** 问题80%是内网攻击引起的，其中ARP攻击导致的各种 *** 问题，业已成为最头疼的问题，ARP也一跃成为 *** 圈里最耳熟能详的名词之一。 首先澄清一点，ARP不是病毒，而是一种“协议性攻击行为”，只所以称之为病毒，是因为目前ARP攻击工具的传播方式与发作现象已经愈来愈接近病毒。ARP（地址解释协议）是 *** 通信协议中的不可缺少的关键协议，它是负责将IP地址转换为对应MAC地址的协议。ARP的存在给了好事者可趁之机，但如果缺少了ARP协议， *** 设备之间将无法进行通讯，这是为什么对ARP投鼠忌器的主要原因。

ARP病毒可分为两种，一种是ARP欺骗，一种是ARP攻击。ARP欺骗更先是黑客们偷盗 *** 账号使用的，后来被广泛用于类似网路岗、 *** 执法官之类的 *** 管理工具，被骗主机会将数据发送给伪装的主机，从而达到截获数据的目的。而ARP攻击纯粹是以破坏 *** 通讯为主要目的，发送虚假的ARP请求包或应答包，使得 *** 内所有主机都失去了有序的组织和联系，所以ARP攻击成为 *** 活动中相互打击一种重要方式。

ARP病毒的传播，必须有“肉鸡”，就是容易被感染的宿主机，通过得到宿主机的控制权来发送ARP欺骗、虚假的ARP请求包和应答包。由于没有明显的特征字以及ARP在 *** 通讯中的重要地位，防毒墙和防火墙应对ARP病毒也束手无策。所以从源头上堵住问题数据的流出，同时放行合法的ARP数据包，才是彻底摆脱ARP困扰的终极解决方案。 这是由于以太网协议存在漏洞造成的，也就是为什么ARP防火墙、360、IP-MAC绑定出现这么久之后，ARP攻击还是一直无法防治的原因，ARP防火墙、360防不了ARP攻击！ 目前唯一能够彻底解决ARP攻击的终极解决方案---免疫墙技术。能够将普通 *** 升级为免疫 *** ，从 *** 底层、每个终端上进行防控监测，不仅能防止本机不受攻击，还能拦截本机对外的 *** 攻击。安装在PC机上的免疫墙终端能够完成对MAC-IP的看守式绑定，彻底根除ARP病毒影响，即使本机中毒（删除本机的静态绑定列表），也不能对自身和 *** 造成影响。加固 *** 基础安全，填补以太网协议漏洞，能够彻底有效的解决内网攻击问题。并且免疫墙的技术范围要拓展到 *** 的最末端，深入到协议的更底层、盘查到外网的出入口、总览到内网的最全貌，就是希望通过 *** 本身对 *** 病毒全面抵御，同时完善对业务的管理，使 *** 可控、可管、可防、可观。

如何解决ARP攻击并且反击

彻底分析ARP病毒 查杀防范ARP全攻略

前段时间在全国范围内大规模爆发arp病毒及其各种变种。如果局域网中发现许多台电脑中毒，电脑中毒后会向同网段内所有计算机发ARP欺骗包，由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞，用户会感觉上网速度越来越慢，掉线;甚至无法上网，同时造成整个局域网的不稳定，这种现象就是我们常见的ARP病毒。

ARP病毒入侵

首先让我们看看这种 *** 病毒在 *** 中如何实现 ARP欺骗.看看这样一个例子：一个入侵者想非法进入某台主机，他知道这台主机的防火墙只对192.168.0.111(假设)这个ip开放23口 (telnet),而他必须要使用telnet来进入这台主机，所以他要这么做以下几步：

1、他先研究192.168.0.111这台主机，发现这台windowsxp的机器使用一个oob就可以让他死掉。

2、于是，他发送一个洪水包给192.168.0.111的139端口，于是，该机器接到数据包而死。

3、这时，主机发到192.168.0.111的ip包将无法得到响应，系统开始更新自己的arp对应表。将192.168.0.111的项目除去。

4、这段时间里，入侵者把自己的ip改成192.168.0.111。

5、他再发一个ping(icmp 0)给主机，要求主机更新主机的arp转换表。

6、主机找到该ip，然后在arp表中加入新的ip--mac对应关系。

7、防火墙失效了，入侵的ip变成合法的mac地址，可以telnet了。

ARP病毒原理：arp是一种将ip转化成以ip对应的网卡的物理地址的一种协议，或者说ARP协议是一种将ip地址转化成MAC地址的一种协议。它靠维持在内存中保存的一张表来使ip得以在 *** 上被目标机器应答。

为什么要将ip转化成mac呢?简单的说，这是因为在tcp *** 环境下，一个ip包走到哪里，要怎么走是靠路由表定义。但是，当ip包到达该 *** 后，哪台机器响应这个ip包却是靠该ip包中所包含的mac地址来识别。也就是说，只有机器的mac地址和该ip包中的mac地址相同的机器才会应答这个ip 包。因为在 *** 中，每一台主机都会有发送ip包的时候。所以，在每台主机的内存中，都有一个 arp-- mac 的转换表。通常是动态的转换表(注意在路由中，该arp表可以被设置成静态)。也就是说，该对应表会被主机在需要的时候刷新。这是由于以太网在子网层上的传输是靠48位的mac地址而决定的。

目前局域网主要流行有两种方式：DHCP(动态主机配置)固定的ip地址

DHCP(动态主机配置)

使 *** 管理员能够集中管理和自动分配 IP *** 地址的通信协议。在 IP *** 中，每个连接 Internet 的设备都需要分配唯一的 IP 地址。DHCP 使 *** 管理员能从中心结点监控和分配 IP 地址。当某台计算机移到 *** 中的其它位置时，能自动收到新的 IP 地址。DHCP 使用了租约的概念，或称为计算机 IP 地址的有效期。租用时间是不定的，主要取决于用户在某地联接 Internet 需要多久， DHCP 能够在一个计算机比可用 IP 地址多的环境中动态地重新配置 *** 。

如果这种 *** 感染了这种病毒，可想而知，因为所有的计算机没有固定的ip地址，计算机的重启，重新获取了新的ip地址。只有通过Tracert和固定ip冲突来查找病毒计算机。

我们假设在这样局域网中增加一台机器，操作系统均为WINDOWSXP，该计算机的IP地址和网卡硬件地址分别为192.168.10.100和00- 00-0D-50-EE-B1。该局域网内网网关为192.168.10.1;外网网关为222.*.*.1.当 *** 出现断流时, 通过Tracert 你可以观察出路由变化情况,正常的之一跳为 192.168.10.1, 不正常为该病毒计算机.虽然判断出哪个固定ip地址的计算机在出问题,由于固定ip地址随意行,不好判断是那台计算机; 利用IP冲突方式来判断(一个局域网中不可以同时有两个相同的ip,否则就会发生冲突，结果必然是其