ARP病毒问题的处理
有关ARP病毒问题的处理说明:<br><br>故障现象 :机器以前可正常上网的,突然出现可认证,不能上网的现象(无法ping通网关),重启机器或在MSDOS窗口下运行命令ARP -d后,又可恢复上网一段时间。<br><br>故障原因:这是APR病毒欺骗攻击造成的。<br> <br>引起问题的原因一般是由传奇外挂携带的ARP木马攻击。当在局域网内使用上述外挂时,外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上,向局域网内大量发送ARP包,从而致使同一网段地址内的其它机器误将其作为网关,这就是为什么掉线时内网是互通的,计算机却不能上网的原因。<br><br>临时处理对策:<br> 步骤一. 在能上网时,进入MS-DOS窗口,输入命令:arp –a 查看网关IP对应的正确MAC地址,将其记录下来。<br>注:如果已经不能上网,则先运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp –a。<br><br>步骤二. 如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令: arp –s 网关IP 网关MAC<br><br>例如:假设计算机所处网段的网关为218.197.192.254,本机地址为218.197.192.1在计算机上运行arp –a后输出如下:<br><br>C:Documents and Settings>arp -a<br>Interface: 218.197.192.1 --- 0x2<br>Internet Address Physical Address Type<br>218.197.192.254 00-01-02-03-04-05 dynamic<br><br>其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址,类型是动态(dynamic)的,因此是可被改变。<br>被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC,如果大家希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找做准备。<br><br>手工绑定的命令为:<br>arp –s 218.197.192.254 00-01-02-03-04-05<br><br>绑定完,可再用arp –a查看arp缓存,<br>C:Documents and Settings>arp -a<br>Interface: 218.197.192.1 --- 0x2<br>Internet Address Physical Address Type<br>218.197.192.254 00-01-02-03-04-05 static<br><br>这时,类型变为静态(static),就不会再受攻击影响了。但是,需要说明的是,手工绑定在计算机关机重开机后就会失效,需要再绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,令其杀毒,方可解决。找出病毒计算机的方法:<br><br>如果已有病毒计算机的MAC地址,可使用NBTSCAN软件找出网段内与该MAC地址对应的IP,即病毒计算机的IP地址,然后可报告校网络中心对其进行查封。<br><br>NBTSCAN的使用方法:<br>下载nbtscan.rar到硬盘后解压,然后将cygwin1.dll和nbtscan.exe两文件拷贝到c:windowssystem32(或system)下,进入MSDOS窗口就可以输入命令:<br><br>nbtscan -r 218.197.192.0/24 (假设本机所处的网段是218.197.192,掩码是255.255.255.0;实际使用该命令时,应将斜体字部分改为正确的网段) 。<br><br>注:使用nbtscan时,有时因为有些计算机安装防火墙软件,nbtscan的输出不全,但在计算机的arp缓存中却能有所反应,所以使用nbtscan时,还可同时查看arp缓存,就能得到比较完全的网段内计算机IP与MAC的对应关系。<br><br>补充一下:<br>Anti ARP Sniffer 使用说明<br><br>一、功能说明:<br><br>使用Anti ARP Sniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包。<br><br>二、使用说明:<br><br>1、ARP欺骗:<br><br>填入网关IP地址,点击[获取网关mac地址]将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。<br><br>注意:如出现ARP欺骗提示,这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包,如果您想追踪攻击来源请记住攻击者的MAC地址,利用MAC地址扫描器可以找出IP 对应的MAC地址。<br><br>2、IP地址冲突<br><br>首先点击“恢复默认”然后点击“防护地址冲突”。 <br><br>如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包,才会出现IP冲突的警告,利用Anti ARP Sniffer可以防止此类攻击。<br><br>首先您需要知道冲突的MAC地址,Windows会记录这些错误。查看具体方法如下:<br><br>右击[我的电脑]-->[管理]-->点击[事件查看器]-->点击[系统]-->查看来源为[TcpIP]--->双击事件可以看到显示地址发生冲突,并记录了该MAC地址,请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-),输入完成之后点击[防护地址冲突],为了使MAC地址生效请禁用本地网卡然后再启用网卡,在CMD命令行中输入Ipconfig /all,查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符,如果更改失败请与我联系。如果成功将不再会显示地址冲突<br><br>注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。<br> <br><br>Windows 2000/XP测试通过! <br><br>欣向arp解决方案<br><br>病毒“网吧传奇杀手”播报及解决方案 <br><br>“网吧传奇杀手”这种病毒使用ARP 攻击方式,对内网的PC进行攻击,使内网PC机的ARP表混乱,导致内网某些PC机无法上网。目前路由器无法抵挡这种病毒的攻击,因为他们的攻击方式是攻击内网的PC机,只有请用户从内网的PC机下手防范。 <br><br>这种病毒的显现为内网的部分PC机不能上网,或者所有人不能上网,最重要的特点是不可以上网的PC机的ARP表会乱掉,当我们发现内网某台PC无法上网时,进入到DOS窗体,然后输入命令ARP -A可以看到同一个MAC地址对应多个IP就是有问题了,具体介绍如下。 <br><br>近期部分网吧反映频繁断线并且网速较慢,经过调查咨询后确认:这种情况是由于一种名为“网吧传奇杀手Trojan.PSW.LMir.qh ” 的病毒爆发引起的。该病毒**了《传奇2》的加密解密算法,通过截取局域网中的数据包,然后分析《传奇》游戏通讯协议的方法截获用户的信息。运行这个病毒,就可以获得整个局域网中传奇玩家的详细信息,盗取用户帐号信息。 <br><br>现象: <br><br>网吧短时间内断线(全断或部分断),在很短的时间内会自动恢复.这是因为MAC地址冲突引起的,当病机的MAC映射到主机或者路由器之类的NAT设备,那么全网断线,如果只映射到网内其他机器,则只有这部分机器出问题.多发于传奇游戏特别是**务外挂等方面. <br><br>解决办法: <br><br>1、由于此类病毒采用arp攻击。因此在病毒发作时,网络管理员可任找一台机器,开启DOS窗口并输入“arp -a” 命令, 会发现很多不同IP地址有着相同的MAC地址表: <br><br>2、Interface: 192.168.0.1 on Interface 0x1000004 <br>Internet Address Physical Address Type <br>192.168.0.61 00-e0-4c-8c-9a-47 dynamic <br>192.168.0.70 00-e0-4c-8c-9a-47 dynamic <br>192.168.0.99 00-e0-4c-8c-81-cc dynamic <br>192.168.0.102 00-e0-4c-8c-9a-47 dynamic <br>192.168.0.103 00-e0-4c-8c-9a-47 dynamic <br>192.168.0.104 00-e0-4c-8c-9a-47 dynamic <br><br>可以断定MAC地址为00-e0-4c-8c-9a-47的机器感染了病毒。然后网络管理员在DOS窗口中输入“ipconfig /all” 命令,察看每台机器的MAC地址: <br><br>Connection-specific DNS Suffix . : <br>Description . . . . . . . . . . . : Intel(R) PRO <br>Physical Address. . . . . . . . . : 0-e0-4c-8c-9a-47 <br>DHCP Enabled. . . . . . . . . . . : No <br>IP Address. . . . . . . . . . . . : 10.186.30.158 <br>Subnet Mask . . . . . . . . . . . : 255.255.255.0 <br>Default Gateway . . . . . . . . . : 10.186.30.1 <br>DNS Servers . . . . . . . . . . . : 61.147.37.1 <br><br>通过以上步骤定位到染毒的机器,予以隔离处理。 <br><br>2、网吧管理员检查局域网病毒,安装杀毒软件(金山毒霸/瑞星,必须要更新病毒代码),对机器进行病毒扫描。 <br><br>3、没有完全解决方案出现之前,请停止传奇**服务及客户端游戏。 <br><br>4、采用工具软件(或者arp -s 方法)在服务器上将MAC地址和IP绑定,或者使用能将MAC地址和IP地址进行绑定的交换机来避免此类情况发生。 <br><br>5、补充说明:这是全国性的问题,该病毒从3月初开始在全国大面积爆发。 <br><br>安全建议: <br><br>1、给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service Pack) <br><br>2、给系统管理员帐户设置足够复杂的强密码,最好能是12位以上,字母+数字+符号的组合;也可以禁用/删除一些不使用的帐户 <br><br>3、经常更新杀毒软件(病毒库),设置允许的可设置为每天定时自动更新。安装并使用网络防火墙软件,网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁,不妨通过使用网络防火墙等其它方法来做到一定的防护 <br><br>4、关闭一些不需要的服务,条件允许的可关闭一些没有必要的共享,也包括C$、D$等管理共享。完全单机的用户也可直接关闭Server服务 <br><br>5、不要随便点击打开QQ、MSN等聊天工具上发来的链接信息,不要随便打开或运行陌生、可疑文件和程序,如邮件中的陌生附件,外挂程序等。 <br><br>欣向用户解决方案: <br><br>1. 在PC上做MAC-IP绑定,将网关IP地址与MAC地址设为静态。 <br><br>2. 登陆路由器配置界面,在系统状态->联机状态 中查看路由器的LAN口MAC地址。(例如:LAN口IP:192.168.1.254 MAC:00-0f-7a-01-02-03) <br><br>3. 编写注册表文件: <br>1)打开记事本,编写内容如下: <br><br>Windows Registry Editor Version 5.00 <br><br>[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce] <br><br>"mac"="arp -s 192.168.1.254 00-0f-7a-01-02-03" <br><br>2)选择文件另存为mac.reg。 <br><br>3)将该文件COPY到每台PC,如果是网吧可以通过(万象或者美屏等)管理软件发送注册表文件到每台PC。 <br><br>4)在每台PC机运行该注册表文件,将文件内容导入注册表,并推出还原卡保存设置。 <br><br>注:以上方案在WIN 2000和WIN XP上经过反复验证,工作正常。<a href=[[[SQ]]][[[http://bbs.wendaedu.com/viewthread.php?tid=1260]]]></a> arp欺骗目前尚无更好的解决方法,感谢楼主的帖子,真的是份很急需而实用的帖子。希望这样的好帖子以后可以多一些。:!7<a href=[[[SQ]]][[[http://bbs.wendaedu.com/viewthread.php?tid=1260%26position=1]]]></a> :!10<a href=[[[SQ]]][[[http://bbs.wendaedu.com/viewthread.php?tid=1260%26position=2]]]></a> 局域网一大患,采取ARP双向绑定,再装个防火墙,暂时的办法。。。页:
[1]