ARP病毒攻擊都有哪些典型的癥狀？下面小編就給大家講解下局域網ARP病毒癥狀和ARP攻擊的原理，讓大家在排查局域網故障的時候，區分自己的故障屬于哪種類型的，千萬不要誤認為是ARP病毒就不好了。

ARP病毒攻擊癥狀

1、上網速度慢，或者網絡內共享文件很慢

表現癥狀：利用網絡抓包工具，抓到局域網中有大量ARP報文。

2、全網同樣配置下，唯獨某臺電腦無法上網

表現癥狀：掉線后，重啟電腦或者禁用網卡再啟用就恢復正常，但一會又掉線

3、大面積同時掉線，或時通時斷(即通常說的“卡”)

表現癥狀：某一片區域，某臺網絡設備下掛的所有PC出現上網不正常。

4、電腦挨個掉線，或時通時斷(即通常說的“卡”)

表現癥狀：正在使用某一類應用程序的PC依次掉線。

注意：若你所在的局域網，網絡出現上述現象，估計是網絡中了ARP病毒。

什么是ARP病毒攻擊？

ARP英文全稱：Address Resolution Protocol，地址解析協議。網絡設備之間是通過ARP協議查找到彼此的IP地址和MAC地址對應關系，從而實現局域網內設備間的正常通信。

下圖所示：IP地址和MAC地址對應表（簡稱ARP表），就是該PC機通過ARP協議生成的。當該PC機要和網關10.165.16.1通信時，就在這個表中找到網關的MAC地址，從而正確將報文發送出去。

ARP病毒是什么呢？

ARP病毒攻擊的核心也就是破壞網絡設備的ARP表內容，使得設備無法查到IP對應的正確MAC地址，導致報文發送錯誤，網絡通信癱瘓。通俗地理解，我們可把IP地址看成人名，MAC地址看成電話號碼，那么ARP就是電話簿。如果電話簿上某人的電話號碼錯了，我們也就無法聯系上他。

由于ARP病毒不同于其它病毒，它的攻擊是基于基礎網絡協議的天然缺陷，所以ARP病毒攻擊的防御不同于常見病毒，單靠傳統殺毒軟件和防火墻往往是頭疼醫頭、腳疼醫腳難以根除。而且，ARP病毒不僅攻擊PC機，還可攻擊路由器、核心交換機、接入交換機等各種網絡設備，傳播和危害范圍很廣。所以，僅靠單一設備、單一解決方案防御ARP病毒是不夠的。

ARP病毒攻擊都可能帶來哪些危害？

一、所有PC機無法和網關通信（仿冒網關攻擊）

ARP病毒現象：全網同樣配置下，唯獨某臺電腦無法上網。重啟PC機后恢復正常，但過一段時間網絡又瞬間癱瘓。查看每臺PC機的ARP表，發現網關的MAC地址錯誤。如下圖所示：該PC機的ARP表中網關10.165.16.1的MAC地址已被修改另外一臺PC機的地址，顯然該PC機無法再同網關通信了，無法上網了。

原因：攻擊者偽造ARP報文，發送源IP地址為網關IP地址，源MAC地址為偽造的MAC地址的ARP報文給被攻擊的主機，使這些主機更新自身ARP表中網關IP地址與MAC地址的對應關系。這樣一來，主機訪問網關的流量，被重定向到一個錯誤的MAC地址，導致該用戶無法正常訪問外網。這樣，如果某臺PC機的ARP表被攻擊者修改，它就無法正常上網了。

而且，攻擊者還可能使用第三方PC機的MAC作為偽造MAC。這樣即使在被攻擊者PC機上查到了偽造MAC地址，也很難定位哪臺PC是真正的攻擊者。

“ARP病毒仿冒網關”攻擊示意圖

通俗地理解：老總和三個員工（張三、李四、王五），每個人的電話簿都記錄了其他人的號碼。王五這次沒升經理，心里不平衡，修改所有人電話簿中老總的電話號碼，張三、李四等都無法向老總匯報工作。甚至，王五把張三電話簿中老總的號碼修改為李四的，讓張三還誤認為是李四干的。造成公司內疑神疑鬼，員工不合，極大地影響了工作氛圍。

二、所有PC機無法和網關通信（欺騙網關攻擊）

ARP病毒現象：網絡中PC逐臺掉線，甚至全網內PC都無法上網。查看路由器ARP表項，發現很多錯誤地址。重啟路由器后恢復正常，但過一段時間PC又開始掉線，導致很多用戶懷疑是路由器故障。正如下圖所示，網關路由器的ARP表中各臺PC機的MAC地址已不正確，這些PC機無法再同網關通信，無法上網。

原因：攻擊者偽造ARP報文，發送源IP地址為同網段內某一合法用戶的IP地址，源MAC地址為偽造的MAC地址的ARP報文給網關；使網關更新自身ARP表中原合法用戶的IP地址與MAC地址的對應關系。這樣一來，網關發給該用戶的所有數據全部重定向到一個錯誤的MAC地址，導致該用戶無法正常訪問外網。

“ARP病毒欺騙網關”攻擊示意圖

通俗地理解：老總本來想帶張三一起去國外考察，王五嫉妒張三，于是他修改了老總電話簿中張三的號碼。老總聯系不上張三，好機會就這樣丟失了。甚至，王五修改了老總電話簿的全部號碼，老總就一個員工也找不到了，公司業務一片混亂。

三、竊聽通信隱私（“中間人”攻擊）

ARP病毒現象：某臺PC上網突然掉線，一會又恢復了，但恢復后一直上網很慢。查看該PC機的ARP表，網關MAC地址已被修改，而且網關上該PC機的MAC也是偽造的。該PC機和網關之間的所有流量都中轉到另外一臺機子上了。同樣，也會表現為局域網內PC機之間共享文件等正常通信非常慢。

原因： ARP “中間人”攻擊，又稱為ARP雙向欺騙。如圖1-4所示，如果有惡意攻擊者（Host B）想探聽Host A和Host C之間的通信，它可以分別給這兩臺主機發送偽造的ARP應答報文，使Host A和Host C用MAC_B更新自身ARP映射表中與對方IP地址相應的表項。此后，Host A 和Host C之間看似“直接”的通信，實際上都是通過黑客所在的主機間接進行的，即Host B擔當了“中間人”的角色，可以對信息進行了竊取和篡改。

ARP“中間人”攻擊示意圖

通俗地理解：王五想偷聽張三和李四間的悄悄話，于是修改了張三和李四電話簿中的號碼，他們之間的通話都先中轉到王五這里了。

四、常有人掉線，網絡還很慢（ARP報文泛洪攻擊）

ARP病毒現象：經常有人反饋上不了網，或網速很慢，查看ARP表項也都正確，但在網絡中抓報文分析，發現大量ARP請求報文。（正常情況時，網絡中ARP報文所占比例是很小的）

原因：惡意用戶利用工具構造大量ARP報文發往交換機、路由器或某臺PC機的某個端口，導致CPU忙于處理ARP協議，負擔過重，造成設備其他功能不正常甚至癱瘓。

通俗地理解：李四為保障電話薄正確，會定時檢查和刷新電話簿，王五就高頻率地發送信息修改李四的電話簿，導致李四也只能不斷刷新電話簿，而無暇再去推進其他工作了。

以上就是小編給大家分享的ARP病毒的四種基本攻擊類型，實際中ARP病毒還可變種為更多的攻擊方式。例如，有的ARP病毒就專門在網吧中盜竊別人的QQ、網絡游戲賬號，使用的就是改進的仿冒網關攻擊。但萬變不離其宗，只要能夠防御四種基本攻擊方式，ARP病毒就無計可施了。