ARP病毒攻擊都有哪些典型的癥狀？下面小編就給大家講解下局域網(wǎng)ARP病毒癥狀和ARP攻擊的原理，讓大家在排查局域網(wǎng)故障的時候，區(qū)分自己的故障屬于哪種類型的，千萬不要誤認為是ARP病毒就不好了。

ARP病毒攻擊癥狀

1、上網(wǎng)速度慢，或者網(wǎng)絡內(nèi)共享文件很慢

表現(xiàn)癥狀：利用網(wǎng)絡抓包工具，抓到局域網(wǎng)中有大量ARP報文。

2、全網(wǎng)同樣配置下，唯獨某臺電腦無法上網(wǎng)

表現(xiàn)癥狀：掉線后，重啟電腦或者禁用網(wǎng)卡再啟用就恢復正常，但一會又掉線

3、大面積同時掉線，或時通時斷(即通常說的“卡”)

表現(xiàn)癥狀：某一片區(qū)域，某臺網(wǎng)絡設備下掛的所有PC出現(xiàn)上網(wǎng)不正常。

4、電腦挨個掉線，或時通時斷(即通常說的“卡”)

表現(xiàn)癥狀：正在使用某一類應用程序的PC依次掉線。

注意：若你所在的局域網(wǎng)，網(wǎng)絡出現(xiàn)上述現(xiàn)象，估計是網(wǎng)絡中了ARP病毒。

什么是ARP病毒攻擊？

ARP英文全稱：Address Resolution Protocol，地址解析協(xié)議。網(wǎng)絡設備之間是通過ARP協(xié)議查找到彼此的IP地址和MAC地址對應關系，從而實現(xiàn)局域網(wǎng)內(nèi)設備間的正常通信。

下圖所示：IP地址和MAC地址對應表（簡稱ARP表），就是該PC機通過ARP協(xié)議生成的。當該PC機要和網(wǎng)關10.165.16.1通信時，就在這個表中找到網(wǎng)關的MAC地址，從而正確將報文發(fā)送出去。

ARP病毒是什么呢？

ARP病毒攻擊的核心也就是破壞網(wǎng)絡設備的ARP表內(nèi)容，使得設備無法查到IP對應的正確MAC地址，導致報文發(fā)送錯誤，網(wǎng)絡通信癱瘓。通俗地理解，我們可把IP地址看成人名，MAC地址看成電話號碼，那么ARP就是電話簿。如果電話簿上某人的電話號碼錯了，我們也就無法聯(lián)系上他。

由于ARP病毒不同于其它病毒，它的攻擊是基于基礎網(wǎng)絡協(xié)議的天然缺陷，所以ARP病毒攻擊的防御不同于常見病毒，單靠傳統(tǒng)殺毒軟件和防火墻往往是頭疼醫(yī)頭、腳疼醫(yī)腳難以根除。而且，ARP病毒不僅攻擊PC機，還可攻擊路由器、核心交換機、接入交換機等各種網(wǎng)絡設備，傳播和危害范圍很廣。所以，僅靠單一設備、單一解決方案防御ARP病毒是不夠的。

ARP病毒攻擊都可能帶來哪些危害？

一、所有PC機無法和網(wǎng)關通信（仿冒網(wǎng)關攻擊）

ARP病毒現(xiàn)象：全網(wǎng)同樣配置下，唯獨某臺電腦無法上網(wǎng)。重啟PC機后恢復正常，但過一段時間網(wǎng)絡又瞬間癱瘓。查看每臺PC機的ARP表，發(fā)現(xiàn)網(wǎng)關的MAC地址錯誤。如下圖所示：該PC機的ARP表中網(wǎng)關10.165.16.1的MAC地址已被修改另外一臺PC機的地址，顯然該PC機無法再同網(wǎng)關通信了，無法上網(wǎng)了。

原因：攻擊者偽造ARP報文，發(fā)送源IP地址為網(wǎng)關IP地址，源MAC地址為偽造的MAC地址的ARP報文給被攻擊的主機，使這些主機更新自身ARP表中網(wǎng)關IP地址與MAC地址的對應關系。這樣一來，主機訪問網(wǎng)關的流量，被重定向到一個錯誤的MAC地址，導致該用戶無法正常訪問外網(wǎng)。這樣，如果某臺PC機的ARP表被攻擊者修改，它就無法正常上網(wǎng)了。

而且，攻擊者還可能使用第三方PC機的MAC作為偽造MAC。這樣即使在被攻擊者PC機上查到了偽造MAC地址，也很難定位哪臺PC是真正的攻擊者。

“ARP病毒仿冒網(wǎng)關”攻擊示意圖

通俗地理解：老總和三個員工（張三、李四、王五），每個人的電話簿都記錄了其他人的號碼。王五這次沒升經(jīng)理，心里不平衡，修改所有人電話簿中老總的電話號碼，張三、李四等都無法向老總匯報工作。甚至，王五把張三電話簿中老總的號碼修改為李四的，讓張三還誤認為是李四干的。造成公司內(nèi)疑神疑鬼，員工不合，極大地影響了工作氛圍。

二、所有PC機無法和網(wǎng)關通信（欺騙網(wǎng)關攻擊）

ARP病毒現(xiàn)象：網(wǎng)絡中PC逐臺掉線，甚至全網(wǎng)內(nèi)PC都無法上網(wǎng)。查看路由器ARP表項，發(fā)現(xiàn)很多錯誤地址。重啟路由器后恢復正常，但過一段時間PC又開始掉線，導致很多用戶懷疑是路由器故障。正如下圖所示，網(wǎng)關路由器的ARP表中各臺PC機的MAC地址已不正確，這些PC機無法再同網(wǎng)關通信，無法上網(wǎng)。

原因：攻擊者偽造ARP報文，發(fā)送源IP地址為同網(wǎng)段內(nèi)某一合法用戶的IP地址，源MAC地址為偽造的MAC地址的ARP報文給網(wǎng)關；使網(wǎng)關更新自身ARP表中原合法用戶的IP地址與MAC地址的對應關系。這樣一來，網(wǎng)關發(fā)給該用戶的所有數(shù)據(jù)全部重定向到一個錯誤的MAC地址，導致該用戶無法正常訪問外網(wǎng)。

“ARP病毒欺騙網(wǎng)關”攻擊示意圖

通俗地理解：老總本來想帶張三一起去國外考察，王五嫉妒張三，于是他修改了老總電話簿中張三的號碼。老總聯(lián)系不上張三，好機會就這樣丟失了。甚至，王五修改了老總電話簿的全部號碼，老總就一個員工也找不到了，公司業(yè)務一片混亂。

三、竊聽通信隱私（“中間人”攻擊）

ARP病毒現(xiàn)象：某臺PC上網(wǎng)突然掉線，一會又恢復了，但恢復后一直上網(wǎng)很慢。查看該PC機的ARP表，網(wǎng)關MAC地址已被修改，而且網(wǎng)關上該PC機的MAC也是偽造的。該PC機和網(wǎng)關之間的所有流量都中轉到另外一臺機子上了。同樣，也會表現(xiàn)為局域網(wǎng)內(nèi)PC機之間共享文件等正常通信非常慢。

原因： ARP “中間人”攻擊，又稱為ARP雙向欺騙。如圖1-4所示，如果有惡意攻擊者（Host B）想探聽Host A和Host C之間的通信，它可以分別給這兩臺主機發(fā)送偽造的ARP應答報文，使Host A和Host C用MAC_B更新自身ARP映射表中與對方IP地址相應的表項。此后，Host A 和Host C之間看似“直接”的通信，實際上都是通過黑客所在的主機間接進行的，即Host B擔當了“中間人”的角色，可以對信息進行了竊取和篡改。

ARP“中間人”攻擊示意圖

通俗地理解：王五想偷聽張三和李四間的悄悄話，于是修改了張三和李四電話簿中的號碼，他們之間的通話都先中轉到王五這里了。

四、常有人掉線，網(wǎng)絡還很慢（ARP報文泛洪攻擊）

ARP病毒現(xiàn)象：經(jīng)常有人反饋上不了網(wǎng)，或網(wǎng)速很慢，查看ARP表項也都正確，但在網(wǎng)絡中抓報文分析，發(fā)現(xiàn)大量ARP請求報文。（正常情況時，網(wǎng)絡中ARP報文所占比例是很小的）

原因：惡意用戶利用工具構造大量ARP報文發(fā)往交換機、路由器或某臺PC機的某個端口，導致CPU忙于處理ARP協(xié)議，負擔過重，造成設備其他功能不正常甚至癱瘓。

通俗地理解：李四為保障電話薄正確，會定時檢查和刷新電話簿，王五就高頻率地發(fā)送信息修改李四的電話簿，導致李四也只能不斷刷新電話簿，而無暇再去推進其他工作了。

以上就是小編給大家分享的ARP病毒的四種基本攻擊類型，實際中ARP病毒還可變種為更多的攻擊方式。例如，有的ARP病毒就專門在網(wǎng)吧中盜竊別人的QQ、網(wǎng)絡游戲賬號，使用的就是改進的仿冒網(wǎng)關攻擊。但萬變不離其宗，只要能夠防御四種基本攻擊方式，ARP病毒就無計可施了。