《ARP欺骗病毒程序检查及其清除方法》由会员分享,可在线阅读,更多相关《ARP欺骗病毒程序检查及其清除方法(3页珍藏版)》请在金锄头文库上搜索。
1、文档供参考,可复制、编制,期待您的好评与关注! ARP欺骗病毒程序检查及其清除方法 最近以来部分用户受到一类名为ARP欺骗病毒程序的攻击,该病毒有许多变种,多半以木马形式潜伏在电脑系统内部,而且易扩散,难清除。病毒发作时其症状表现为计算机网络连接正常,却无法打开网页,而且同一局域网内其他电脑也会出现网络连接速度变慢甚至断开,也就是“网络掉线了”,严重的影响了各用户的上网和正常工作。 目前各运营商、校园网、网吧等以及各杀毒软件厂家、微软公司对此很重视,也提出各类解决方案。 为了清除校园网内病毒,保证用户网络的正常运行,现将有关事项公布如下: 一、病毒原理 : 当局域网内某台主机感染了该病毒时,会
2、欺骗本局域网内所有主机,让所有上网的流量必须经过病毒主机。其他用户原来直接通过交换机上网现在转由通过病毒主机上网,切换过程中本局域网的用户会断一次线。由于该病毒发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当该病毒停止发作时,用户会恢复成正常上网状态,切换过程中用户电脑会再断一次线。病毒不断发作,就造成网络的时断时续。中毒者会对同一小区或局域网内其他的未中毒用户造成这种破坏性影响。PPPOE认证方式用户对自己电脑影响更为明显。最典型的特征: 打开网页有时要多刷新几次才能打开,网络游戏极易掉线。如果运行cmd并输入ping 10.1.20.1
3、 -t 会发现很有规律性每隔几十个包会丢26个包(timeout包)。二、病毒的破坏作用 : 病毒发作时除了会导致其他电脑出现时断时续外,还会窃取用户密码(如 QQ 、网络游戏、网上银行以及其它脆弱系统帐号等),这是木马的惯用伎俩。 此病毒的最初目的就是为了盗传奇游戏帐号。三、检查并防范病毒的方法: 方法一: 在多特网下载http:/ 。再填写网关MAC地址00-19-DB-41-9E-92,点击确定即可。 (可使用ipconfig命令查看Default Gateway 。或者双击右下方的网络本地连接图标,点击“支持”)方法二: 在“开始” - “运行” - “cmd”。输入并执行以下命令:i
4、pconfig 记录网关 IP 地址,即“ Default Gateway ”对应的值,例如“10.1.20.1”。再输入并执行以下命令:先输入arp -d并回车后再输入:arp a 在“ Internet Address ”下找到上步记录的网关 IP 地址,记录其对应的物理地址,即“ Physical Address ”值,例如“00-19-DB-41-9E-92”。1、在网络正常时这就是网关的正确物理地址;2、在网络受“ ARP 欺骗”木马影响而不正常。如有规律的丢包时,它就是木马所在计算机的网卡物理地址。 本方法只能在一定程度上减轻中木马的计算机对本机的影响。用上边介绍的方法确定正确的网
5、关 IP 地址和网关物理地址,然后在 “命令提示符”窗口中输入并执行以下命令绑定网关:arp s 网关IP 网关物理地址 (如 arp -s 10.1.20.1 00-19-DB-41-9E-92) 。四临时处理对策: 步骤一. 在能上网时,进入MS-DOS窗口,输入命令:arp a 查看网关IP对应的正确MAC地址,将其记录下来。注:如果已经不能上网,则先运行一次命令arp d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp a。 步骤二. 如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确M
6、AC绑定,可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令: arp s 网关IP 网关MAC例如:假设计算机所处网段的网关为10.1.20.1,本机地址为10.1.20.88在计算机上运行arp a后输出如下:C:Documents and Settingsarp -aInternet Address Physical Address Type10.1.20.1 -00-19-DB-41-9E-92 dynamic其中00-19-DB-41-9E-92就是网关10.1.20.1 对应的MAC地址,类型是动态(dynamic)的,因此是可被改变。被攻击后,再用该命令查看,
7、就会发现该MAC已经被替换成攻击机器的MAC,如果大家希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找做准备。手工绑定的命令为:arp s 10.1.20.1 -00-19-DB-41-9E-92绑定完,可再用arp a查看arp缓存,C:Documents and Settingsarp -aInternet Address Physical Address Type10.1.20.1 -00-19-DB-41-9E-912static这时,类型变为静态(static),就不会再受攻击影响了。但是,需要说明的是,手工绑定在计算机关机重开机后就会失效,需要再绑定。所以
8、,要彻底根除攻击,只有找出网段内被病毒感染的计算机,令其杀毒,方可解决。五、清除病毒 在找到感染病毒的电脑后,需要立即断开网络,以免影响其他电脑使用。然后重新启动到DOS模式下,用杀毒软件进行全面杀毒。一般情况下,感染该类病毒的电脑一般都没有采用病毒防火墙、网络防火墙之类软件进行防护,甚至连操作系统的安全更新补丁程序也没有安装过,这类电脑往往中了不止一个类型的病毒,有些病毒采用系统服务或系统驱动的技术潜伏于电脑中,用杀毒软件也不能有效清除,在遇到这种情况时,只有重新安装操作系统才能解决。六、安全建议:1、经常给系统安装补丁程序,通过Windows Update安装好系统补丁程序(关键更新、安全
9、更新和Service Pack)。 2、给计算机帐户设置足够复杂的强密码,也可以禁用/删除一些不使用的帐户。 3、安装并经常更新杀毒软件(病毒库)。 4、不要随便点击打开QQ、MSN等聊天工具上发来的链接信息,不要随便打开或运行陌生、可疑文件和程序,如邮件中的陌生附件,外挂程序等。 5、要增强网络安全意识,培养良好的使用习惯。不要轻易下载、使用不了解和存在安全隐患的软件;或浏览一些缺乏可信度的网站(网页),以免个人计算机受到木马病毒的侵入给总院局域网的安全带来隐患。大家所有的访问记录都是存有日志的,绝对的匿名是不可能实现的, 无论是在真实的生活中还是在网络上。 6、网络安全靠大家。我校局域网是我校的公共服务设施,保障网络安全不仅是网络技术人员的工作,更是每位网络用户应尽的义务。只有依靠大家群策群力、群防群治,网络才能长治久安。七.推荐软件下载1.瑞星08体验版http:/ Arp防火墙下载http:/ 4:金山 Arp防火墙下载http:/ 5、安装360安全卫士并开通ARP防火墙http:/ /
