ARP欺騙攻擊歷史極為悠久，可以說與以太網(wǎng)技術(shù)同時(shí)誕生，

黑金ARP病毒原理

。ARP不安全的協(xié)議機(jī)制給了攻擊者實(shí)施惡意欺騙攻擊的機(jī)會(huì)， 可以通過發(fā)送虛假ARP數(shù)據(jù)將被攻擊用戶本地的ARP緩存內(nèi)容惡意涂改，從而擾亂局域網(wǎng)正常的通訊秩序產(chǎn)生一系列通訊故障。

    早期的ARP欺騙攻擊，多用來干擾用戶正常通訊(如某些網(wǎng)管類軟件利用ARP攻擊來限制指定計(jì)算機(jī)網(wǎng)速甚至可以完全切斷指定計(jì)算機(jī)網(wǎng)絡(luò)通信)或是被 用來欺騙全網(wǎng)通信，企圖Sniffer嗅探網(wǎng)絡(luò)數(shù)據(jù)包，伺機(jī)竊取有價(jià)值的信息。

    而近年來的黑金ARP病毒欺騙攻擊其目的則和以往的單純ARP欺騙病毒完全不同，明顯表露出其木馬化的本質(zhì)。以黑金ARP病毒Backdoor.Win32.ARP.g為例，該病毒的特別之處就是在原有ARP欺騙基礎(chǔ)上，捆綁正常的網(wǎng)絡(luò)分析軟件WinPcap，試圖欺騙傳統(tǒng)殺毒軟件，利用WinPcap提供的網(wǎng)絡(luò)分析功能，劫持網(wǎng)絡(luò)內(nèi)所有HTTP通訊，并且強(qiáng)行在HTTP數(shù)據(jù)包中插入帶有病毒程序的網(wǎng)頁(yè)鏈接，使得局域網(wǎng)內(nèi)任意一個(gè)用戶在訪問正常網(wǎng)頁(yè)時(shí)，都會(huì)自動(dòng)下載木馬病毒，

電腦資料

《黑金ARP病毒原理》(http://www.szmdbiao.com)。也就是說，只要局域網(wǎng)內(nèi)有一臺(tái)計(jì)算機(jī)感染了該木馬，局域網(wǎng)內(nèi)所有的計(jì)算機(jī)就都有可能被感染上木馬病毒�？梢�，黑金ARP對(duì)局域網(wǎng)危害極大，正可謂是一機(jī)中毒，全網(wǎng)“遇難”。理論上如果網(wǎng)內(nèi)只有一臺(tái)計(jì)算機(jī)中了黑金ARP，那么局域網(wǎng)雖受ARP欺騙影響，但仍尚可維持通訊。但是實(shí)際上前述的假設(shè)在現(xiàn)實(shí)中是不成立的，因?yàn)橹灰�有一臺(tái)計(jì)算機(jī)中毒，局域網(wǎng)內(nèi)很快就會(huì)變?yōu)槎嗯_(tái)計(jì)算機(jī)同時(shí)中毒，而多臺(tái)計(jì)算機(jī)同時(shí)發(fā)起ARP欺騙的直接后果就是網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)互相欺騙，局域網(wǎng)全網(wǎng)通訊癱瘓。

    清除黑金ARP病毒，首先要做的就是要徹底清除其毒源，換句話說如果將病毒源連根拔起清除徹底，局域網(wǎng)自然而然就會(huì)恢復(fù)正常。B公司的網(wǎng)管也明白這個(gè)道理，也嘗試安裝過國(guó)內(nèi)著名殺毒軟件力圖解決這個(gè)問題，但是收效甚微，掃描時(shí)一個(gè)病毒也沒有報(bào)出來。

    其實(shí)事情是很簡(jiǎn)單的，所有的黑金ARP病毒都必然具備的一個(gè)行為特點(diǎn)就是亂發(fā)ARP欺騙數(shù)據(jù)包，因此采用行為分析技術(shù)的主動(dòng)防御軟件對(duì)其會(huì)有很好地清除能力。主動(dòng)防御軟件根據(jù)行為分析一旦發(fā)現(xiàn)有程序試圖亂發(fā)ARP欺騙數(shù)據(jù)包，立即將其查殺即可。