作者: 发布时间:2007-08-02 11:15:49 来源: 八条线收集整理 |
| |
近期国内很多单位和学校的局域网爆发一种新的“ARP欺骗”木马病毒,由于ARP病毒发作时发出大量的数据包,导致网络运行不稳定,频繁断线、 IE 浏览器频繁出错以及一些常用软件出现故障等问题,极大地影响了单位和校园网用户的正常使用。各联网学校管理员教师要认真对着本通知排查病毒,并及时安装和升级杀毒软件。
一、故障现象及原因分析
情况一、arp病毒修改了正常的网关,将网关修改为病毒发做的计算机,从而导致全员掉线。此种情况危害最大。
此时可用”arp -a”来看一下默认网关所对应的MAC地址是不是被伪装。要想得到真正网关MAC地址,可先执行arp –d 清除路由表,之后再用arp –a 来获取真实的网关Mac地址。
情况二、当局域网内某台主机感染了ARP病毒时,会向本局域网内(指某一网段,比如:192.168.1.1这一段)所有主机发送ARP欺骗攻击,让原本流向网络中心的流量改道流向病毒主机,并通过病毒主机代理上网。
由于病毒发作时发出大量数据包会将网络拥塞,大家会感觉上网速度越来越慢。中毒者同样如此,受其自身处理能力的限制,感觉运行速度很慢时,可能会采取重新启动或其他措施。此时病毒短时间停止工作,大家会感到网络恢复正常。如此反复,就造成网络时断时续。
情况三、局域网内有某些用户使用了ARP欺骗程序(如:传奇木马、QQ盗号软件等)发送ARP欺骗数据包,致使被攻击的电脑出现突然不能上网,过一段时间又能上网,反复掉线的现象。
二、故障诊断
如果用户发现以上疑似情况,可以通过如下操作进行诊断:
点击"开始"按钮->选择"运行"->输入"arp -d"->点击"确定"按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。
注:"arp -d"命令用于清除并重建本机arp表。"arp -d"命令并不能抵御ARP欺骗,执行后仍有可能再次遭受ARP攻击。
三、故障处理
1、中毒者:使用趋势科技ARP病毒专杀工具查杀病毒
在附件中下载ARP病毒专杀工具,下载后解压缩,运行包内TSC.exe文件,不要关让它一直运行完,最后查看report文档便知是否中毒。
2、被害者:使用AntiArp软件抵御ARP攻击。
在附件中下载AntiArp软件,下载后解压缩运行AntiArp。输入本网段的网关ip地址,点击"获取网关MAC地址",检查网关IP地址和MAC地址无误后,点击"自动保护"。
若不知道网关IP地址,可通过以下操作获取:点击"开始"按钮->选择"运行"->输入"cmd"点击"确定"->输入"ipconfig"按回车,"Default Gateway"后的IP地址就是网关地址。
如果已经有arp病毒发做,并伪装了默认网关会在AntiArp软件提示框内出现病毒主机的MAC地址,此时需选择真正的网关MAC地址,再进行保护。
3、被害者:
也可采用以下自己创建批处理命令的办法,来绑定网关。
批处理内容如下:
@echo off
Arp -d
arp -s 192.168.1.1 00-40-10-12-bd-00
@echo on
其中 192.168.1.1 为本网段的网关,00-40-10-12-bd-00为网关对应的MAC地址。
建批处理的办法,可在DOS提示符下用copy con filename.bat建立,此命令的保存是ctrl+z,建立成功后需双击运行该文件来绑定网关和MAC地址,此种办法每次重启机后都需要再次执行,用户可将此命令放到自动批处理中,这样系统可自动装载。
到目前为止,ARP病毒还没有好的、彻底的杀除办法,大家请按通知办法做好防治工作。
|
|
|
| ※ 相关信息 |
| 无相关信息 |
|
|
最新文章
