上網(wǎng)速度慢，或者網(wǎng)絡(luò)內(nèi)共享文件很慢
―――表現(xiàn)為利用網(wǎng)絡(luò)抓包工具，抓到局域網(wǎng)中有大量ARP報(bào)文。
全網(wǎng)同樣配置下，唯獨(dú)某臺電腦無法上網(wǎng)
―――表現(xiàn)為掉線后，重啟電腦或者禁用網(wǎng)卡再啟用就恢復(fù)正常，但一會又掉線
大面積同時掉線，或時通時斷(即通常說的“卡”)
―――表現(xiàn)為某一片區(qū)域，某臺網(wǎng)絡(luò)設(shè)備下掛的所有PC出現(xiàn)上網(wǎng)不正常。
電腦挨個掉線，或時通時斷(即通常說的“卡”)
―――表現(xiàn)為正在使用某一類應(yīng)用程序的PC依次掉線。

總結(jié)：如果網(wǎng)絡(luò)出現(xiàn)上述現(xiàn)象，多半網(wǎng)絡(luò)就是中了ARP病毒。

什么是ARP病毒攻擊？

ARP病毒是什么呢？ARP全名叫Address Resolution Protocol，地址解析協(xié)議。網(wǎng)絡(luò)設(shè)備之間是通過ARP協(xié)議查找到彼此的IP地址和MAC地址對應(yīng)關(guān)系，從而實(shí)現(xiàn)局域網(wǎng)內(nèi)設(shè)備間的正常通信。

下圖所示的IP地址和MAC地址對應(yīng)表（簡稱ARP表），就是該P(yáng)C機(jī)通過ARP協(xié)議生成的。當(dāng)該P(yáng)C機(jī)要和網(wǎng)關(guān)10.165.16.1通信時，就在這個表中找到網(wǎng)關(guān)的MAC地址，從而正確將報(bào)文發(fā)送出去。

ARP病毒攻擊的核心也就是破壞網(wǎng)絡(luò)設(shè)備的ARP表內(nèi)容，使得設(shè)備無法查到IP對應(yīng)的正確MAC地址，導(dǎo)致報(bào)文發(fā)送錯誤，網(wǎng)絡(luò)通信癱瘓。通俗地理解，我們可把IP地址看成人名，MAC地址看成電話號碼，那么ARP就是電話簿。如果電話簿上某人的電話號碼錯了，我們也就無法聯(lián)系上他。
由于ARP病毒不同于其它病毒，它的攻擊是基于基礎(chǔ)網(wǎng)絡(luò)協(xié)議的天然缺陷，所以ARP病毒攻擊的防御不同于常見病毒，單靠傳統(tǒng)殺毒軟件和防火墻往往是頭疼醫(yī)頭、腳疼醫(yī)腳難以根除。而且，ARP病毒不僅攻擊PC機(jī)，還可攻擊路由器、核心交換機(jī)、接入交換機(jī)等各種網(wǎng)絡(luò)設(shè)備，傳播和危害范圍很廣。所以，僅靠單一設(shè)備、單一解決方案防御ARP病毒是不夠的。

ARP病毒攻擊都可能帶來哪些危害？

一、所有PC機(jī)無法和網(wǎng)關(guān)通信----仿冒網(wǎng)關(guān)攻擊

現(xiàn)象：全網(wǎng)同樣配置下，唯獨(dú)某臺電腦無法上網(wǎng)。重啟PC機(jī)后恢復(fù)正常，但過一段時間網(wǎng)絡(luò)又瞬間癱瘓。查看每臺PC機(jī)的ARP表，發(fā)現(xiàn)網(wǎng)關(guān)的MAC地址錯誤。正如下圖所示，該P(yáng)C機(jī)的ARP表中網(wǎng)關(guān)10.165.16.1的MAC地址已被修改另外一臺PC機(jī)的地址，顯然該P(yáng)C機(jī)無法再同網(wǎng)關(guān)通信了，無法上網(wǎng)了。

原因：攻擊者偽造ARP報(bào)文，發(fā)送源IP地址為網(wǎng)關(guān)IP地址，源MAC地址為偽造的MAC地址的ARP報(bào)文給被攻擊的主機(jī)，使這些主機(jī)更新自身ARP表中網(wǎng)關(guān)IP地址與MAC地址的對應(yīng)關(guān)系。這樣一來，主機(jī)訪問網(wǎng)關(guān)的流量，被重定向到一個錯誤的MAC地址，導(dǎo)致該用戶無法正常訪問外網(wǎng)。這樣，如果某臺PC機(jī)的ARP表被攻擊者修改，它就無法正常上網(wǎng)了。
而且，攻擊者還可能使用第三方PC機(jī)的MAC作為偽造MAC。這樣即使在被攻擊者PC機(jī)上查到了偽造MAC地址，也很難定位哪臺PC是真正的攻擊者。

“仿冒網(wǎng)關(guān)”攻擊示意圖

通俗地理解：老總和三個員工（張三、李四、王五），每個人的電話簿都記錄了其他人的號碼。王五這次沒升經(jīng)理，心里不平衡，修改所有人電話簿中老總的電話號碼，張三、李四等都無法向老總匯報(bào)工作。甚至，王五把張三電話簿中老總的號碼修改為李四的，讓張三還誤認(rèn)為是李四干的。造成公司內(nèi)疑神疑鬼，員工不合，極大地影響了工作氛圍。

二、所有PC機(jī)無法和網(wǎng)關(guān)通信----欺騙網(wǎng)關(guān)攻擊

現(xiàn)象：網(wǎng)絡(luò)中PC逐臺掉線，甚至全網(wǎng)內(nèi)PC都無法上網(wǎng)。查看路由器ARP表項(xiàng)，發(fā)現(xiàn)很多錯誤地址。重啟路由器后恢復(fù)正常，但過一段時間PC又開始掉線，導(dǎo)致很多用戶懷疑是路由器故障。正如下圖所示，網(wǎng)關(guān)路由器的ARP表中各臺PC機(jī)的MAC地址已不正確，這些PC機(jī)無法再同網(wǎng)關(guān)通信，無法上網(wǎng)。

原因：攻擊者偽造ARP報(bào)文，發(fā)送源IP地址為同網(wǎng)段內(nèi)某一合法用戶的IP地址，源MAC地址為偽造的MAC地址的ARP報(bào)文給網(wǎng)關(guān)；使網(wǎng)關(guān)更新自身ARP表中原合法用戶的IP地址與MAC地址的對應(yīng)關(guān)系。這樣一來，網(wǎng)關(guān)發(fā)給該用戶的所有數(shù)據(jù)全部重定向到一個錯誤的MAC地址，導(dǎo)致該用戶無法正常訪問外網(wǎng)。

“欺騙網(wǎng)關(guān)”攻擊示意圖

通俗地理解：老總本來想帶張三一起去國外考察，王五嫉妒張三，于是他修改了老總電話簿中張三的號碼。老總聯(lián)系不上張三，好機(jī)會就這樣丟失了。甚至，王五修改了老總電話簿的全部號碼，老總就一個員工也找不到了，公司業(yè)務(wù)一片混亂。

三、竊聽通信隱私----“中間人”攻擊

現(xiàn)象：某臺PC上網(wǎng)突然掉線，一會又恢復(fù)了，但恢復(fù)后一直上網(wǎng)很慢。查看該P(yáng)C機(jī)的ARP表，網(wǎng)關(guān)MAC地址已被修改，而且網(wǎng)關(guān)上該P(yáng)C機(jī)的MAC也是偽造的。該P(yáng)C機(jī)和網(wǎng)關(guān)之間的所有流量都中轉(zhuǎn)到另外一臺機(jī)子上了。同樣，也會表現(xiàn)為局域網(wǎng)內(nèi)PC機(jī)之間共享文件等正常通信非常慢。
原因： ARP “中間人”攻擊，又稱為ARP雙向欺騙。如圖1-4所示，如果有惡意攻擊者（Host B）想探聽Host A和Host C之間的通信，它可以分別給這兩臺主機(jī)發(fā)送偽造的ARP應(yīng)答報(bào)文，使Host A和Host C用MAC_B更新自身ARP映射表中與對方IP地址相應(yīng)的表項(xiàng)。此后，Host A 和Host C之間看似“直接”的通信，實(shí)際上都是通過黑客所在的主機(jī)間接進(jìn)行的，即Host B擔(dān)當(dāng)了“中間人”的角色，可以對信息進(jìn)行了竊取和篡改。

ARP“中間人”攻擊示意圖

通俗地理解：王五想偷聽張三和李四間的悄悄話，于是修改了張三和李四電話簿中的號碼，他們之間的通話都先中轉(zhuǎn)到王五這里了。

四、常有人掉線，網(wǎng)絡(luò)還很慢----ARP報(bào)文泛洪攻擊

現(xiàn)象：經(jīng)常有人反饋上不了網(wǎng)，或網(wǎng)速很慢，查看ARP表項(xiàng)也都正確，但在網(wǎng)絡(luò)中抓報(bào)文分析，發(fā)現(xiàn)大量ARP請求報(bào)文。（正常情況時，網(wǎng)絡(luò)中ARP報(bào)文所占比例是很小的）
原因：惡意用戶利用工具構(gòu)造大量ARP報(bào)文發(fā)往交換機(jī)、路由器或某臺PC機(jī)的某個端口，導(dǎo)致CPU忙于處理ARP協(xié)議，負(fù)擔(dān)過重，造成設(shè)備其他功能不正常甚至癱瘓。
通俗地理解：李四為保障電話薄正確，會定時檢查和刷新電話簿，王五就高頻率地發(fā)送信息修改李四的電話簿，導(dǎo)致李四也只能不斷刷新電話簿，而無暇再去推進(jìn)其他工作了。

以上是ARP病毒的四種基本攻擊類型，實(shí)際中ARP病毒還可變種為更多的攻擊方式。例如，有的ARP病毒就專門在網(wǎng)吧中盜竊別人的QQ、網(wǎng)絡(luò)游戲賬號，使用的就是改進(jìn)的仿冒網(wǎng)關(guān)攻擊。但萬變不離其宗，只要能夠防御四種基本攻擊方式，ARP病毒就無計(jì)可施了。