arp病毒查杀_arp杀毒软件那个好_360清除arp病毒(4)

现在S电脑已经知道目的电脑D的MAC地址了。它可以将要发送的数据包上贴上目的地址MAC_D。发送出去了。同时它还会动态更新自身的ARP缓存表。将192.168.0.4－MAC_D这一条记录添加进去。这样。等S电脑下次再给D电脑发送数据的时候。就不用大声询问发送ARP广播包了。这就是正常情况下的数据包发送过程。这样的机制看上去很完美。似乎整个局域网也天下太平。相安无事。但是。上述数据发送机制有一个致命的缺陷。

即它是建立在对局域网中电脑全部信任的基础上的。也就是说它的假设前提是：无论局域网中那台电脑。其发送的ARP数据包都是正确的。那么这样就很危险了！因为局域网中并非所有的电脑都安分守己。往往有非法者的存在。比如在上述数据发送中。当S电脑向全网询问“我想知道IP地址为192.168.0.4的主机的硬件地址是多少？”后。D电脑也回应了自己的正确MAC地址。但是当此时。一向沉默寡言的A电脑也回话了：“我的IP地址是192.168.0.4。

我的硬件地址是MAC_A” 。注意。此时它竟然冒充自己是D电脑的IP地址。而MAC地址竟然写成自己的！由于A电脑不停地发送这样的应答数据包。本来S电脑的ARP缓存表中已经保存了正确的记录：192.168.0.4－MAC_D。arp病毒查杀但是由于A电脑的不停应答。这时S电脑并不知道A电脑发送的数据包是伪造的。导致S电脑又重新动态更新自身的ARP缓存表。这回记录成：192.168.0.4－MAC_A。很显然。这是一个错误的记录。

这样就导致以后凡是S电脑要发送给D电脑。也就是IP地址为192.168.0.4这台主机的数据。都将会发送给MAC地址为MAC_A的主机。这样。在光天化日之下。A电脑竟然劫持了由S电脑发送给D电脑的数据！这就是ARP欺骗的过程。如果A这台电脑再做的“过分”一些。它不冒充D电脑。而是冒充网关。那后果会怎么样呢？我们大家都知道。如果一个局域网中的电脑要连接外网。也收发的数据都就是登陆互联网的时候。都要经过局域网中的网关转发一下。

所有要先经过网关。再由网关发向互联网。在局域网中。网关的IP地址一般为192.168.0.1。如果A这台电脑向全网不停的发送ARP欺骗广播。大声说：“我的IP地址是192.168.0.1。我的硬件地址是MAC_A”这时局域网中的其它电脑并没有察觉到什么。因为局域信的前提条件是信任任何电脑发送的ARP广播包。这样局域网中的其它电脑都会更新自身的ARP缓存表。记录下192.168.0.1－MAC_A这样的记录。

这样。当它们发送给网关。也就是IP地址为192.168.0.1这台电脑的数据。结果都会发送到MAC_A这台电脑中！这样。A电脑就将会整个局域网发送给互联网的数据包！实际上。这种病毒早就出现过。这就是ARP地址欺骗类病毒。一些传奇木马具有这样的特性。该木马一般通过传奇外挂。网页木马等方式使局域网中的某台电脑中毒。这样中毒电脑便可嗅探到整个局域网发送的所有数据包。该木马破解了《传奇》游戏的数据包加密算法。

通过截获局域网中的数据包。分析数据包中的用户隐私信息。盗取用户的游戏帐号和密码。在解析这些封包之后。再将它们发送到真正的网关。这样的病毒有一个令网吧游戏玩家闻之色变的名字：“传奇网吧杀手”由于现在的网络游戏数据包在发送过程中。均已采用了强悍的加密算法。因此这类ARP病毒在解密数据包的时候遇到了很大的难度。现在又新出现了一种ARP病毒。与以前的一样的是。该类ARP病毒也是向全网发送伪造的ARP欺骗广播。

自身伪装成网关。但区别是。它着重的不是对网络游戏数据包的解密。而是对于HTTP请求访问的修改。HTTP是应用层的协议。主要是用于WEB网页访问。还是以上面的局域网环境举例。如果局域网中一台电脑S要请求某个网站页面。如想请求easynet.5d6dcom这个网页。这台电脑会先向网关发送HTTP请求。说：“我想登陆easynet.5d6dcom网页。请你将这个网页下载下来。并发送给我。”这样。网关就会将easynet.5d6dcom页面下载下来。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-40046-4.html