2007年ARP病毒广为人知,其实在更早的时候,ARP攻击行为已经令企业网管头疼不已。比较常见的是部分“传奇盗号木马”,当局域网中某台计算机中了这个木马,会向局域网发送大量ARP数据包,该木马对局域网的影响超出了盗号造成的破坏,表现为网络通信时断时通,网速变慢。07年的ARP欺骗,已经不再局限于此,通过劫持网络会话,可以在正常计算机上网时,插入特定恶意代码,强令未中毒的正常计算机浏览指定网站或下载病毒木马。
更为严重的是,这种攻击行为已经扩散到从客户端到内容源服务器之间的所有环节。攻击者利用黑客技术入侵广域网路由,导致某地区所有计算机访问网站时下载木马或强行弹出广告。攻击者还会攻击内容源服务器所在的局域网,当黑客成功入侵内容源服务器所在网段的某台主机后,再利用ARP欺骗劫持会话,造成所有访问该内容源的客户机下载病毒木马或者弹出广告。(图6)
图 6
ARP攻击利用的是网络传输协议的漏洞,只有修改网络协议才能从根本上解决这一问题,目前情况下只能做到缓解,其中很多工作要靠网管员来解决。普通用户能做的,是利用现有工具尽可能保护自身不被攻击,或者自己不要感染了ARP病毒去攻击其它计算机。金山ARP防火墙提供了简单的解决方案,可在一定程度上应对ARP攻击的挑战。(图7)
图 7
