[转帖]ARP欺骗病毒的最新状况

锅子

以往的ARP病毒使用ARP欺骗的目的绝大多数都是为了窃取用户的敏感信息，但是我们最近监测到ARP欺骗在病毒中又得到了新的应用，那就是作为传播网页木马病毒的传播手段，当一台主机感染带有这种ARP欺骗功能的病毒后，会在局域网内发动ARP欺骗，它会监听局域网内所有主机的数据包，一旦发现其它主机有访问WEB网页的行为后，就会通过修改相应的数据封包在你访问的网页代码里加入包含有木马程序的网页链接。从而导致局域网内其它主机不管访问什么网站都会被导引到含有木马病毒的网站上去的。当您访问任何网站您的杀毒软件都在报该网页有毒的话，很可能您的局域网内就存在这种攻击。

其他相关
ARP在注册表中的项：
1、关于arp缓存表项的生存期(有效时间)
在默认情况下，Windows" onclick="tagshow(event)" class="t_tag">Windows Server 2003家族和Windows" onclick="tagshow(event)" class="t_tag">Windows XP中，ARP缓存中的表项仅存储2分钟。如果一个ARP缓存表项在2分钟内被用到，则其期限再延长2分钟，直到最大生命期限10分钟为止超过10分钟的最大期限后，ARP缓存表项将被移出，并且通过另外一个ARP请求——ARP回应交换来获得新的对应关系。ARP缓存表项的存放时间可以通过改变ArpCacheLife和ArpCacheMinReferencedLife的注册表值来重新设置。.

ArpCacheLife
Location:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters7
Data  Type:  REG_DWORD
Valid  range:  0-0xFFFFFFFF
Default  value:  120
Present  by  default:  No

ArpCacheLife设置了未被使用的ARP缓存表项可以被保持的时间。如果注册表中没有ArpCacheLife项，!则ArpCacheLife的默认值是120秒(2分钟)。 
ArpCacheMinReferencedLife

Location:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Data  Type:  REG_DWORD
Valid  range:  0-0xFFFFFFFF
Default  value:  600
Present  by  default:  No


ArpCacheMinReferencedLife设置被重复使用的表项可以在ARP缓存中存放的时间。
ArpCacheMinReferencedLife的默认值是600秒(10分钟)。
在注册表中ArpCacheMinReferencedLife和ArpCacheLife的值的使用方法如下：
如果ArpCacheLife比ArpCacheMinReferencedLife的值大或与之相等，则被使用和未被使用的ARP
缓存表项可存储的时间都是ArpCacheLife。如果ArpCacheLife比ArpCacheMinReferencedLife的值小，则未被使用的ARP缓存表项在ArpCacheLife秒的时间后就过期了，被使用的表项的生存期为ArpCacheMinReferencedLife秒。

2、无偿ARP和重复的IP地址检测
ARP可以被用来检测重复的IP地址，这是通过传送一种叫做无偿ARP的ARP请求来完成的。无偿ARP就是一个发往自己IP地址的ARP请求。在无偿ARP中，SPA(发送者协议地址)和TPA(目标协议地址)被设置成同一个IP地址。如果节点发送一个发往自己IP地址的ARP请求，就不应收到任何一个ARP回应帧，这样节点就可以
判断没有其他节点使用跟它相同的IP地址。如果节点发送一个发往自己IP地址的ARP请求，结果收
到ARP回应，这样此节点就可以判断有另外一个节点使用同样的IP地址。注册表中对ArpRetryCount
的设置控制了无偿ARP的发送数量。

ArpRetryCount.
Location:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Data  Type:  REG_DWORD
Valid  range:  0-3:
Default  value:  3
Present  by  default:  No


ArpRetryCount设置了当初始化某个IP地址时，发送的无偿ARP的次数。如果发送了ArpRetryCount个无偿ARP后，都没有收到ARP回应，IP就假定此IP地址在此网络段中是唯一的。 
提示：无偿ARP试图检测在同一个网络段中的IP地址重复。由于路由器并不转发ARP帧，无偿ARP
并不能检测在不同网络段之间的IP地址冲突。个人感觉这种无偿ARP是不是能够用在开发检测ARP
病毒的机制上？

一杯清茶等你

 

[em10][em10]

bu cuo