|
近期网络中ARP病毒流行,我校校园网内也发现多台电脑中毒(尤其是学生宿舍楼),对同一局域网内的其他用户造成了较大的影响。此病毒为木马病毒附带的一种欺骗病毒,这些计算机病毒一般都是利用ARP协议的漏洞进行危害活动。被攻击的电脑现象 被欺骗电脑的典型症状是刚开机能上网,几分钟之后断网,过一会又能上网,或者重启一遍电脑就可以上网,一会又不好了,如此不断重复,造成校园网的不稳定,影响正常使用。重启机器或在MSDOS窗口下运行命令ARP -d后,又可恢复上网一段时间。 ARP病毒原理 电脑中毒后会向同网段内所有计算机发ARP欺骗包,从而致使同一网段地址内的其它机器误将其作为网关,导致网络内其它电脑因网关物理地址被更改而无法上网,这就是为什么掉线时内网是互通的,计算机却不能上网的原因。 ARP病毒手动处理方法 步骤一. 在能上网时,进入MS-DOS窗口,输入命令:arp –a,查看网关IP对应的正确MAC地址,将其记录下来。 步骤二. 如果已经有网关的正确MAC地址,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令:arp –s 网关IP 网关MAC 例如:假设计算机所处网段的网关为218.197.192.254,本机地址为218.197.192.1在计算机上运行arp –a后输出如下: C:\Documents and Settings>arp -a Interface: 218.197.192.1 --- 0x2 Internet Address Physical Address Type 218.197.192.254 00-01-02-03-04-05 dynamic 其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址,类型是动态(dynamic)的,因此是可被改变。 被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC,如果大家希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找做准备。 手工绑定的命令为:arp –s 218.197.192.254 00-01-02-03-04-05 这时,类型变为静态(static),就不会再受攻击影响了。 但是,需要说明的是,手工绑定在计算机关机重开机后就会失效,需要再绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,令其杀毒,方可解决。 ARP病毒专杀,防御工具下载 Anti ARP Sniffer的下载地址ftp://ftp.gznet.edu.cn/pub2/AntiVirus/AntiArpSniffer3.zip 使用说明: 防御ARP欺骗: 1、开启Anti ARP Sniffer 3,输入网关IP地址,点击[枚取MAC]如你网关填写正确将会显示出网关的MAC地址。 2、点击 [自动保护] 即可保护当前网卡与网关的通信不会被第三方监听。 追踪ARP攻击者: 当局域网内有人试图与本机进行ARP欺骗,其数据会被Anti ARP Sniffer记录。请在欺骗数据详细记录表中选择需要追踪的行,然后点击[追捕欺骗机] ,追捕过程中需要几分钟时间,如果该ARP地址是真实的,也快就能追捕到攻击者。 (追捕ARP攻击者时需要停止自动保护) 解决的最基本的办法还是: 1、用户要提高网络安全意识,不要轻易下载、使用盗版和存在安全隐患的软件;或浏 览一些缺乏可信度的网站(网页);不要随便打开不明来历的电子邮件,尤其是邮件附 件;不要随便共享文件和文件夹,以免个人计算机受到木马病毒的侵入。 2、用户要及时下载和更新操作系统的补丁程序,安装正版的杀毒软件,增强个人计算 机防御计算机病毒的能力。 更重要的是:务必请被中毒者积极配合!主动断网下线,离线杀毒,或重装操作系统,安装ARP防火墙等防病毒软件,确认无误后再联网。 |
|
|
