有关ARP病毒问题的处理说明:
故障现象 :机器以前可正常上网的,突然出现可认证,不能上网的现象(无法ping通网关),重启机器或在MSDOS窗口下运行命令ARP -d后,又可恢复上网一段时间。
故障原因:这是APR病毒欺骗攻击造成的。
引起问题的原因一般是由传奇外挂携带的ARP木马攻击。当在局域网内使用上述外挂时,外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上,向局域网内大量发送ARP包,从而致使同一网段地址内的其它机器误将其作为网关,这就是为什么掉线时内网是互通的,计算机却不能上网的原因。
临时处理对策:
步骤一. 在能上网时,进入MS-DOS窗口,输入命令:arp –a 查看网关IP对应的正确MAC地址,将其记录下来。
注:如果已经不能上网,则先运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp –a。
步骤二. 如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令: arp –s 网关IP 网关MAC
例如:假设计算机所处网段的网关为218.197.192.254,本机地址为218.197.192.1在计算机上运行arp –a后输出如下:
C:Documents and Settings>arp -a
Interface: 218.197.192.1 --- 0x2
Internet Address Physical Address Type
218.197.192.254 00-01-02-03-04-05 dynamic
其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址,类型是动态(dynamic)的,因此是可被改变。
被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC,如果大家希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找做准备。
手工绑定的命令为:
arp –s 218.197.192.254 00-01-02-03-04-05
绑定完,可再用arp –a查看arp缓存,
C:Documents and Settings>arp -a
Interface: 218.197.192.1 --- 0x2
Internet Address Physical Address Type
218.197.192.254 00-01-02-03-04-05 static
这时,类型变为静态(static),就不会再受攻击影响了。但是,需要说明的是,手工绑定在计算机关机重开机后就会失效,需要再绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,令其杀毒,方可解决。找出病毒计算机的方法:
如果已有病毒计算机的MAC地址,可使用NBTSCAN软件找出网段内与该MAC地址对应的IP,即病毒计算机的IP地址,然后可报告校网络中心对其进行查封。
NBTSCAN的使用方法:
下载nbtscan.rar到硬盘后解压,然后将cygwin1.dll和nbtscan.exe两文件拷贝到c:windowssystem32(或system)下,进入MSDOS窗口就可以输入命令:
nbtscan -r 218.197.192.0/24 (假设本机所处的网段是218.197.192,掩码是255.255.255.0;实际使用该命令时,应将斜体字部分改为正确的网段) 。
注:使用nbtscan时,有时因为有些计算机安装防火墙软件,nbtscan的输出不全,但在计算机的arp缓存中却能有所反应,所以使用nbtscan时,还可同时查看arp缓存,就能得到比较完全的网段内计算机IP与MAC的对应关系。
补充一下:
Anti ARP Sniffer 使用说明
一、功能说明:
使用Anti ARP Sniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包。
二、使用说明:
1、ARP欺骗:
填入网关IP地址,点击[获取网关mac地址]将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。
注意:如出现ARP欺骗提示,这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包,如果您想追踪攻击来源请记住攻击者的MAC地址,利用MAC地址扫描器可以找出IP 对应的MAC地址。
2、IP地址冲突
首先点击“恢复默认”然后点击“防护地址冲突”。
如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包,才会出现IP冲突的警告,利用Anti ARP Sniffer可以防止此类攻击。
首先您需要知道冲突的MAC地址,Windows会记录这些错误。查看具体方法如下:
右击[我的电脑]-->[管理]-->点击[事件查看器]-->点击[系统]-->查看来源为[TcpIP]--->双击事件可以看到显示地址发生冲突,并记录了该MAC地址,请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-),输入完成之后点击[防护地址冲突],为了使MAC地址生效请禁用本地网卡然后再启用网卡,在CMD命令行中输入Ipconfig /all,查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符,如果更改失败请与我联系。如果成功将不再会显示地址冲突
注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。
Windows 2000/XP测试通过!
欣向arp解决方案
病毒“网吧传奇杀手”播报及解决方案
“网吧传奇杀手”这种病毒使用ARP 攻击方式,对内网的PC进行攻击,使内网PC机的ARP表混乱,导致内网某些PC机无法上网。目前路由器无法抵挡这种病毒的攻击,因为他们的攻击方式是攻击内网的PC机,只有请用户从内网的PC机下手防范。
这种病毒的显现为内网的部分PC机不能上网,或者所有人不能上网,最重要的特点是不可以上网的PC机的ARP表会乱掉,当我们发现内网某台PC无法上网时,进入到DOS窗体,然后输入命令ARP -A可以看到同一个MAC地址对应多个IP就是有问题了,具体介绍如下。
近期部分网吧反映频繁断线并且网速较慢,经过调查咨询后确认:这种情况是由于一种名为“网吧传奇杀手Trojan.PSW.LMir.qh ” 的病毒爆发引起的。该病毒**了《传奇2》的加密解密算法,通过截取局域网中的数据包,然后分析《传奇》游戏通讯协议的方法截获用户的信息。运行这个病毒,就可以获得整个局域网中传奇玩家的详细信息,盗取用户帐号信息。
现象:
网吧短时间内断线(全断或部分断),在很短的时间内会自动恢复.这是因为MAC地址冲突引起的,当病机的MAC映射到主机或者路由器之类的NAT设备,那么全网断线,如果只映射到网内其他机器,则只有这部分机器出问题.多发于传奇游戏特别是**务外挂等方面.
解决办法:
1、由于此类病毒采用arp攻击。因此在病毒发作时,网络管理员可任找一台机器,开启DOS窗口并输入“arp -a” 命令, 会发现很多不同IP地址有着相同的MAC地址表:
2、Interface: 192.168.0.1 on Interface 0x1000004
Internet Address Physical Address Type
192.168.0.61 00-e0-4c-8c-9a-47 dynamic
192.168.0.70 00-e0-4c-8c-9a-47 dynamic
192.168.0.99 00-e0-4c-8c-81-cc dynamic
192.168.0.102 00-e0-4c-8c-9a-47 dynamic
192.168.0.103 00-e0-4c-8c-9a-47 dynamic
192.168.0.104 00-e0-4c-8c-9a-47 dynamic
可以断定MAC地址为00-e0-4c-8c-9a-47的机器感染了病毒。然后网络管理员在DOS窗口中输入“ipconfig /all” 命令,察看每台机器的MAC地址:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO
Physical Address. . . . . . . . . : 0-e0-4c-8c-9a-47
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 10.186.30.158
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 10.186.30.1
DNS Servers . . . . . . . . . . . : 61.147.37.1
通过以上步骤定位到染毒的机器,予以隔离处理。
2、网吧管理员检查局域网病毒,安装杀毒软件(金山毒霸/瑞星,必须要更新病毒代码),对机器进行病毒扫描。
3、没有完全解决方案出现之前,请停止传奇**服务及客户端游戏。
4、采用工具软件(或者arp -s 方法)在服务器上将MAC地址和IP绑定,或者使用能将MAC地址和IP地址进行绑定的交换机来避免此类情况发生。
5、补充说明:这是全国性的问题,该病毒从3月初开始在全国大面积爆发。
安全建议:
1、给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service Pack)
2、给系统管理员帐户设置足够复杂的强密码,最好能是12位以上,字母+数字+符号的组合;也可以禁用/删除一些不使用的帐户
3、经常更新杀毒软件(病毒库),设置允许的可设置为每天定时自动更新。安装并使用网络防火墙软件,网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁,不妨通过使用网络防火墙等其它方法来做到一定的防护
4、关闭一些不需要的服务,条件允许的可关闭一些没有必要的共享,也包括C$、D$等管理共享。完全单机的用户也可直接关闭Server服务
5、不要随便点击打开QQ、MSN等聊天工具上发来的链接信息,不要随便打开或运行陌生、可疑文件和程序,如邮件中的陌生附件,外挂程序等。
欣向用户解决方案:
1. 在PC上做MAC-IP绑定,将网关IP地址与MAC地址设为静态。
2. 登陆路由器配置界面,在系统状态->联机状态 中查看路由器的LAN口MAC地址。(例如:LAN口IP:192.168.1.254 MAC:00-0f-7a-01-02-03)
3. 编写注册表文件:
1)打开记事本,编写内容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce]
"mac"="arp -s 192.168.1.254 00-0f-7a-01-02-03"
2)选择文件另存为mac.reg。
3)将该文件COPY到每台PC,如果是网吧可以通过(万象或者美屏等)管理软件发送注册表文件到每台PC。
4)在每台PC机运行该注册表文件,将文件内容导入注册表,并推出还原卡保存设置。
注:以上方案在WIN 2000和WIN XP上经过反复验证,工作正常。
