什么是ARP (Address Resolution Protocol)

　　ARP是“Address Resolution Protocol”（地址解析协议）的缩写，基本功能是通过目标设备的IP位址，查询目标设备的MAC位址，以保证通信的顺利进行。

　　当192.168.1.3要送网络包给192.168.1.8，但不知MAC地址？
　　于是192.168.1.3在局域网发出广播包询问“192.168.1.8的MAC地址是多少？”
　　其他主机不回应，只有192.168.1.8回应“192.168.1.8的MAC地址是00-aa-01-12-c3-19”

　　什么是ARP病毒

　　ARP协议本身并不是病毒，只是很多木马程序、病毒都采用了该协议，这些木马病毒也经常出现在游戏的外挂中。

　　在一般的网络中，路由器和PC均带有ARP缓存，因此这两类设备最容易受到ARP攻击。如同路由器受到ARP攻击时数据包不能到达电脑一样，上网电脑受到ARP攻击时，数据包也不会发送到路由器上，而是发送到一个错误的地方，当然也就无法通过路由器上网了。

　　ARP病毒发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP病毒停止发作时，用户会恢复从路由器上网，切换过程中用户会再断一次线。此时网吧管理员对每台机器使用“arp - a”命令来检查ARP表发现路由器的IP和MAC被修改，这就是ARP病毒攻击的典型症状。

　　ARP病毒变种历程

　　ARP病毒变种主要经历了以下变种历程：

　　目前的ARP病毒已经与DDOS攻击相容合，采用了flood方式攻击其他IP地址，并可以在局域网内互相感染，严重时可造成整个网络瘫痪。 ARP变种病毒的特性破坏本机上的ARP表；中毒机器改变成代理路由；改变路由的网关MAC地址和internat网关的MAC地址一样。在网吧，利用ARP病毒可以轻松盗取QQ号码、游戏帐户以及各种虚拟财富，造成了全网吧的瞬断、死机。 在企业，ARP病毒能盗取机密的商业信息，破坏企业内部的正常网络秩序，危害网络安全。 由此可以看出ARP病毒在短期内一定无法消失，甚至会在很长时间内存在。

　　ARP病毒防御方式

　　目前针对ARP病毒防御，主流的防御方式有两种：

通过路由器网关发送一定频率的广播包，告知每台客户正确的网关地址。
　　一旦ARP病毒发包的频率高于网关的发送频率，该防御失效。
　　采用双向绑定的方法解决并且防止ARP欺骗。
　　 在PC上绑定路由器的IP和MAC地址。编写一个批处理文件varp.bat内容如下：
　　 @echo off
　　 Arp –d
　　 Arp –s 内网网关IP地址 内网网关MAC地址
　　 将这个批处理软件拖到“windows开始―程序―启动”中，每次PC机启动自动加载该批处理文件。
　　 一旦ARP变种病毒采用foold攻击，到达一定强度后，该防御失效。
　　 在路由器上绑定用户主机的IP和MAC地址。

　　 当然，还要一些厂商提供了相关的软件以协助防御ARP病毒。然而随着ARP病毒的变种日新月异，靠杀毒软件和已往的防御方式根本不能解决问题，新的变种病毒已采用flood方式来进行攻击欺骗，来达到非法的目的。而还有更多的未知变种病毒正在危害我们的网络。

　　 现在网吧急需要一种新的ARP防御方式来更好的解决ARP病毒泛滥的问题，并且要充分考虑到方式选择上的综合成本：是需要增加硬件投入还是需要改动网络架构？是增加了工作量还是带来了更多的安全隐患或不稳定因数？

　　 任何的实用的技术都要考虑到实际的综合成本，且不可选择“杀敌一万，自损三千”的一时之计。特别在网吧行业，在控制整体预算的情况下，减少网管工作量的前提下，尽量避免引入其他风险，以简单有效的手段解决问题。

·IT产品报价大全