ARP病毒

    最近笔者在网络维护中连续碰到几次ARP病毒，看来最近ARP病毒有蔓延的趋势。今天咱们就来讨论一下ARP病毒。

    
    首先，我们必须来说说计算机的通信过程，这样有助于大家更好的理解ARP病毒的原理。
    
    一般计算机通信前必须知道对方的IP地址和MAC地址，所以高层的应用到最底层时都要通过地址的通信来维持。举个例子，主机A要访问主机B的HTTP服务时,首先主机A要知道主机B的IP地址，IP地址通过域名解析（也是一次通信过程）获得。得到IP地址后主机A还要知道主机B的MAC地址，（重要）此时主机A会查看自己的ARP缓存中是否有主机B的MAC地址，如果没有则主机A会向网络上发一个广播包，向网络上的主机询问是否有主机B的MAC地址，若主机B与主机A在同一个网络上则，主机B受到这个广播包后会给主机A回一个应答包，将自己的MAC地址告诉主机A，而网络上的其他机器也会受到主机A发的请求包，虽然自己不是主机B不能给告诉主机A主机B的MAC地址，但从包中可以获得主机A的ip地址和mac地址，并用此来更新自己的ARP缓存。如果主机B不再A的网络上则，路由器会将自己的MAC当成主机B的MAC告诉主机A，则主机A将发给主机B的数据包发给路由器，则路由器通过同样的原理将数据包发给下一个路由器，直到主机B。

    以上是主机A和主机B的大概的通信过程，不知道大家注意到上面一个细节没有，每台机器都有ARP缓存，并通过发送和接收广播包来不断更新。

    ARP病毒就是利用这一点，通过向网络上的机器发送错误的数据包，这样使得机器上的ARP缓存都是错误的记录。从而导致计算机上不了网或者不能和其他机器联网。时断时连，是应为ARP缓存更新频率很快，这样有时也可以获得正确的地址。

     通过以上说明，如果中了ARP病毒，可以将路由器的IP地址和MAC地址在本地做一个静态的绑定，静态的arp记录优先权高于动态（广播获得）。但是一重启机器就没了，所以还得写一个脚本让它开机在绑定一次。具体怎么写，大家自己想办法喽！

    希望笔者的见解对大家有所帮助！

    我先简单介绍一下ARP病毒的原理。ARP病毒会修改数据包中包头IP地址和MAC地址，中了病毒的机器会不断向网络上广播，广播包的原IP地址和原MAC地址不是正确的对应的地址。