以下的文章主要向大家講述的是黑金ARP病毒原理，大家都知道ARP欺騙攻擊可以說有一段時(shí)間了，可以說與以太網(wǎng)技術(shù)是在同一時(shí)期誕生的。ARP不安全的協(xié)議機(jī)制給了攻擊者實(shí)施惡意欺騙攻擊的機(jī)會(huì)。

黑客可以通過發(fā)送虛假ARP數(shù)據(jù)將被攻擊用戶本地的ARP緩存內(nèi)容惡意涂改，從而擾亂局域網(wǎng)正常的通訊秩序產(chǎn)生一系列通訊故障。

ARP欺騙攻擊歷史極為悠久，可以說與以太網(wǎng)技術(shù)同時(shí)誕生。ARP不安全的協(xié)議機(jī)制給了攻擊者實(shí)施惡意欺騙攻擊的機(jī)會(huì)，黑客可以通過發(fā)送虛假ARP數(shù)據(jù)將被攻擊用戶本地的ARP緩存內(nèi)容惡意涂改，從而擾亂局域網(wǎng)正常的通訊秩序產(chǎn)生一系列通訊故障。

早期的ARP欺騙攻擊，多用來干擾用戶正常通訊(如某些網(wǎng)管類軟件利用ARP攻擊來限制指定計(jì)算機(jī)網(wǎng)速甚至可以完全切斷指定計(jì)算機(jī)網(wǎng)絡(luò)通信)或是被黑客用來欺騙全網(wǎng)通信，企圖Sniffer嗅探網(wǎng)絡(luò)數(shù)據(jù)包，伺機(jī)竊取有價(jià)值的信息。

而近年來的黑金ARP病毒欺騙攻擊其目的則和以往的單純ARP欺騙病毒完全不同，明顯表露出其木馬化的本質(zhì)。以黑金ARP病毒Backdoor.Win32.ARP.g為例，該病毒的特別之處就是在原有ARP欺騙基礎(chǔ)上，捆綁正常的網(wǎng)絡(luò)分析軟件WinPcap，試圖欺騙傳統(tǒng)殺毒軟件，利用WinPcap提供的網(wǎng)絡(luò)分析功能，劫持網(wǎng)絡(luò)內(nèi)所有HTTP通訊，并且強(qiáng)行在HTTP數(shù)據(jù)包中插入帶有病毒程序的網(wǎng)頁鏈接，使得局域網(wǎng)內(nèi)任意一個(gè)用戶在訪問正常網(wǎng)頁時(shí)，都會(huì)自動(dòng)下載木馬病毒。

也就是說，只要局域網(wǎng)內(nèi)有一臺計(jì)算機(jī)感染了該木馬，局域網(wǎng)內(nèi)所有的計(jì)算機(jī)就都有可能被感染上木馬病毒。可見，黑金ARP對局域網(wǎng)危害極大，正可謂是一機(jī)中毒，全網(wǎng)“遇難”。理論上如果網(wǎng)內(nèi)只有一臺計(jì)算機(jī)中了黑金ARP，那么局域網(wǎng)雖受ARP欺騙影響，但仍尚可維持通訊。

但是實(shí)際上前述的假設(shè)在現(xiàn)實(shí)中是不成立的，因?yàn)橹灰幸慌_計(jì)算機(jī)中毒，局域網(wǎng)內(nèi)很快就會(huì)變?yōu)槎嗯_計(jì)算機(jī)同時(shí)中毒，而多臺計(jì)算機(jī)同時(shí)發(fā)起ARP欺騙的直接后果就是網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)互相欺騙，局域網(wǎng)全網(wǎng)通訊癱瘓。

清除黑金ARP病毒，首先要做的就是要徹底清除其毒源，換句話說如果將病毒源連根拔起清除徹底，局域網(wǎng)自然而然就會(huì)恢復(fù)正常。B公司的網(wǎng)管也明白這個(gè)道理，也嘗試安裝過國內(nèi)著名殺毒軟件力圖解決這個(gè)問題，但是收效甚微，掃描時(shí)一個(gè)病毒也沒有報(bào)出來。

其實(shí)事情是很簡單的，所有的黑金ARP病毒都必然具備的一個(gè)行為特點(diǎn)就是亂發(fā)ARP欺騙數(shù)據(jù)包，因此采用行為分析技術(shù)的主動(dòng)防御軟件對其會(huì)有很好地清除能力。主動(dòng)防御軟件根據(jù)行為分析一旦發(fā)現(xiàn)有程序試圖亂發(fā)ARP欺騙數(shù)據(jù)包，立即將其查殺即可。

上述的相關(guān)內(nèi)容就是對黑金ARP病毒原理的描述，希望會(huì)給你帶來一些幫助在此方面。

【編輯推薦】

1. 安全技巧：關(guān)于ARP病毒造成斷網(wǎng)的處理方法
2. ARP病毒的本機(jī)檢測方法和工具
3. 資深網(wǎng)管淺談ARP病毒的防治思路
4. ARP病毒手工查殺方法
5. 局域網(wǎng)ARP欺騙防護(hù)和ARP病毒的清除