什么是ARP和ARP病毒
ARP协议是“AddressResolutionProtocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。然而怎么获取呢?需通过地址解析协议获得。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
ARP协议本身并不是病毒,但很多木马程序、病毒都利用了该协议,就成为让人憎恨的ARP病毒。在一般的网络中,路由器和PC均带有ARP缓存,因此这两类设备最容易受到ARP攻击。如同路由器受到ARP攻击时数据包不能到达PC一样,上网PC受到ARP攻击时,数据包也不会发送到路由器上,而是发送到一个错误的地方,当然也就无法通过路由器上网了。
ARP欺骗攻击的症状
1、计算机网络连接正常,有时候PC无法访问外网,重新启动路由器又好了,过一会又不行了;
2、用户私密信息(如网银、QQ、网游等帐号)被窃取;
3、局域网内的ARP广播包巨增,使用ARP查询时发现不正常的MAC地址,或错误的MAC地址,还有一个MAC对应多个IP的情况;局域网内出现网络拥塞,甚至一些网络设备当主机。
ARP欺骗攻击的原理
ARP欺骗攻击的一般有以下两个特点:
第一,以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配;