针对ARP协议的病毒攻击的简单分析

    前段时间,公司里的VPN-Server突然出现掉线的情况,导致广域网VPNClient无法连接。重新启动服务器，正常几分钟之后掉线情况又出现；郁闷~
    使用其他拥有上网的主机ping DNS，都能够ping通，说明光纤线路正常。
     在VPN-Server上运行arp命令查看IP-MAC映射解析表，网关的MAC值为：00-d0-70-03-a1-41；在开外一台拥有上网权限的主机A上使用相同命令，发现网关的MAC值为：00-16-e6-5d-65-3f，又在正常的主机B、主机C上查看网关MAC都等同于主机A；说明是VPN-Server的ARP映射表有问题。
     在VPN-Server上将arp映射表清空，并将正确的网关IP-MAC映射值用手工方式绑定，运行arp -a查看：网关的IP-MAC正常，Type为static。
用管理工具查询到MAC地址为00-d0-70-03-a1-41的主机D，将其网线拔除进行杀毒操作。网络恢复正常。

    原来主机D上中了ARP欺骗病毒，导致主机D将自己的MAC地址与网关的IP地址伪造出虚假的ARP响应包，并向整个网络广播；默认情况下每台主机的ARP高速缓存放的IP-MAC表都是动态改变的，且其在WINDOWS平台上的存活周期为50~60s,每台主机要与网关通信的时候都是先查看其ARP中是否存在IP-MAC，若存在，直接将网关的MAC地址放入以太网帧首部的目标地址中发送以太网数据报；若不存在，网络中发送一个ARP请求，等待相应主机将ARP响应发回，并添加到ARP高速缓存中。主机D频繁发送的ARP错误响应包使VPN-Server更改了自己的ARP高速缓存：将错误的IP-MAC 信息写入。这样，VPN-Server对网关发送的数据包全部错误发向了主机D，也就是说被主机D拦截，很多盗取密码的木马程序就是采用了ARP欺骗这种机制实现的。向ARP这种运行在链路层的重要协议是有必要了解掌握的，毕竟很多传输曾的高档协议都是依赖于网络层IP网际协议，而IP数据要想在链路层传导，必须得靠ARP、RARP这两个地址解析协议。