ARP病毒 主要原因是在區域網中有人使用了ARP欺騙的木馬程式,比如一些盜號的軟體。 傳奇外掛攜帶的ARP木馬攻擊,當局域網內使用外掛時,外掛攜帶的病毒會將該機器的MAC地址對映到閘道器的IP地址上,向區域網內大量傳送ARP包,致同一網段地址內的其它機器誤將其作為閘道器,掉線時內網是互通的,計算機卻不能上網。方法是在能上網時,進入MS-DOS視窗,輸入命令:arp –a檢視閘道器IP對應的正確MAC地址,將其記錄,如果已不能上網,則先執行一次命令arp –d將arp快取中的內容刪空,計算機可暫時恢復上網,一旦能上網就立即將網路斷掉,禁用網絡卡或拔掉網線,再執行arp –a。 如已有閘道器的正確MAC地址,在不能上網時,手工將閘道器IP和正確MAC繫結,可確保計算機不再被攻擊影響。可在MS-DOS視窗下執行以下命令:arp –s 閘道器IP 閘道器MAC。如被攻擊,用該命令檢視,會發現該MAC已經被替換成攻擊機器的MAC,將該MAC記錄,以備查詢。找出病毒計算機:如果已有病毒計算機的MAC地址,可使用NBTSCAN軟體找出網段內與該MAC地址對應的IP,即病毒計算機的IP地址。 故障現象 當局域網內有某臺電腦運行了此類ARP欺騙的木馬的時候,其他使用者原來直接透過路由器上網現在轉由透過病毒主機上網,切換的時候使用者會斷一次線。 切換到病毒主機上網後,如果使用者已經登陸了傳奇伺服器,那麼病毒主機就會經常偽造斷線的假像,那麼使用者就得重新登入傳奇伺服器,這樣病毒主機就可以盜號了。 由於ARP欺騙的木馬發作的時候會發出大量的資料包導致區域網通訊擁塞,使用者會感覺上網速度越來越慢。當木馬程式停止執行時,使用者會恢復從路由器上網,切換中使用者會再斷一次線。 該機一開機上網就不斷髮Arp欺騙報文,即以假冒的網絡卡物理地址向同一子網的其它機器傳送Arp報文,甚至假冒該子網閘道器物理地址矇騙其它機器,使網內其它機器改經該病毒主機上網,這個由真閘道器向假閘道器切換的過程中其它機器會斷一次網。倘若該病毒機器突然關機或離線,則其它機器又要重新搜尋真閘道器,於是又會斷一次網。所以會造成某一子網只要有一臺或一臺以上這樣的病毒機器,就會使其他人上網斷斷續續,嚴重時將使整個網路癱瘓。這種病毒(木馬)除了影響他人上網外,也以竊取病毒機器和同一子網內其它機器上的使用者帳號和密碼(如QQ和網路遊戲等的帳號和密碼)為目的,而且它發的是Arp報文,具有一定的隱秘性,如果佔系統資源不是很大,又無防病毒軟體監控,一般使用者不易察覺。這種病毒開學初主要發生在學生宿舍,據最近調查,現在已經在向辦公區域和教工住宅區域蔓延,而且呈越演越烈之勢。 經抽樣測試,學校提供的賽門鐵克防病毒軟體企業版10.0能有效查殺已知的Arp欺騙病毒(木馬)病毒。惡意軟體由於國際上未有明確界定,目前暫無一款防病毒軟體能提供100%杜絕其發作的解決方案,需要藉助某些輔助工具進行清理。 解決思路 不要把你的網路安全信任關係建立在IP基礎上或MAC基礎上。 設定靜態的MAC-->IP對應表,不要讓主機重新整理你設定好的轉換表。 除非必要,否則停止ARP使用,把ARP做為永久條目儲存在對應表中。 使用ARP伺服器。確保這臺ARP伺服器不被黑。 使用“proxy“代理IP傳輸。 使用硬體遮蔽主機。 定期用響應的IP包中獲得一個rarp請求,檢查ARP響應的真實性。 定期輪詢,檢查主機上的ARP快取。 使用防火牆連續監控網路。 解決方案 一般出現區域網 網咖使用者一般可以用ROS路由進行繫結,在主機上安裝上ARP防火牆服務端,客戶機安裝客戶端,雙相繫結比較安全。 軟體百度搜索下 推薦軟體: 市面上有眾多的ARP防火牆 推薦使用360 建議採用雙向繫結解決和防止ARP欺騙。在電腦上繫結路由器的IP和MAC地址 首先,獲得路由器的內網的MAC地址(例如HiPER閘道器地址 的MAC地址為0022aa0022aa區域網埠MAC地址>)。 編寫一個批處理檔案 t內容如下: @echo off arp -d arp -s 00-22-aa-00-22-aa 將閘道器IP和MAC更改為您自己的閘道器IP和MAC即可,讓這個檔案開機執行(拖到“開始-程式-啟動”)。
ARP病毒 主要原因是在區域網中有人使用了ARP欺騙的木馬程式,比如一些盜號的軟體。 傳奇外掛攜帶的ARP木馬攻擊,當局域網內使用外掛時,外掛攜帶的病毒會將該機器的MAC地址對映到閘道器的IP地址上,向區域網內大量傳送ARP包,致同一網段地址內的其它機器誤將其作為閘道器,掉線時內網是互通的,計算機卻不能上網。方法是在能上網時,進入MS-DOS視窗,輸入命令:arp –a檢視閘道器IP對應的正確MAC地址,將其記錄,如果已不能上網,則先執行一次命令arp –d將arp快取中的內容刪空,計算機可暫時恢復上網,一旦能上網就立即將網路斷掉,禁用網絡卡或拔掉網線,再執行arp –a。 如已有閘道器的正確MAC地址,在不能上網時,手工將閘道器IP和正確MAC繫結,可確保計算機不再被攻擊影響。可在MS-DOS視窗下執行以下命令:arp –s 閘道器IP 閘道器MAC。如被攻擊,用該命令檢視,會發現該MAC已經被替換成攻擊機器的MAC,將該MAC記錄,以備查詢。找出病毒計算機:如果已有病毒計算機的MAC地址,可使用NBTSCAN軟體找出網段內與該MAC地址對應的IP,即病毒計算機的IP地址。 故障現象 當局域網內有某臺電腦運行了此類ARP欺騙的木馬的時候,其他使用者原來直接透過路由器上網現在轉由透過病毒主機上網,切換的時候使用者會斷一次線。 切換到病毒主機上網後,如果使用者已經登陸了傳奇伺服器,那麼病毒主機就會經常偽造斷線的假像,那麼使用者就得重新登入傳奇伺服器,這樣病毒主機就可以盜號了。 由於ARP欺騙的木馬發作的時候會發出大量的資料包導致區域網通訊擁塞,使用者會感覺上網速度越來越慢。當木馬程式停止執行時,使用者會恢復從路由器上網,切換中使用者會再斷一次線。 該機一開機上網就不斷髮Arp欺騙報文,即以假冒的網絡卡物理地址向同一子網的其它機器傳送Arp報文,甚至假冒該子網閘道器物理地址矇騙其它機器,使網內其它機器改經該病毒主機上網,這個由真閘道器向假閘道器切換的過程中其它機器會斷一次網。倘若該病毒機器突然關機或離線,則其它機器又要重新搜尋真閘道器,於是又會斷一次網。所以會造成某一子網只要有一臺或一臺以上這樣的病毒機器,就會使其他人上網斷斷續續,嚴重時將使整個網路癱瘓。這種病毒(木馬)除了影響他人上網外,也以竊取病毒機器和同一子網內其它機器上的使用者帳號和密碼(如QQ和網路遊戲等的帳號和密碼)為目的,而且它發的是Arp報文,具有一定的隱秘性,如果佔系統資源不是很大,又無防病毒軟體監控,一般使用者不易察覺。這種病毒開學初主要發生在學生宿舍,據最近調查,現在已經在向辦公區域和教工住宅區域蔓延,而且呈越演越烈之勢。 經抽樣測試,學校提供的賽門鐵克防病毒軟體企業版10.0能有效查殺已知的Arp欺騙病毒(木馬)病毒。惡意軟體由於國際上未有明確界定,目前暫無一款防病毒軟體能提供100%杜絕其發作的解決方案,需要藉助某些輔助工具進行清理。 解決思路 不要把你的網路安全信任關係建立在IP基礎上或MAC基礎上。 設定靜態的MAC-->IP對應表,不要讓主機重新整理你設定好的轉換表。 除非必要,否則停止ARP使用,把ARP做為永久條目儲存在對應表中。 使用ARP伺服器。確保這臺ARP伺服器不被黑。 使用“proxy“代理IP傳輸。 使用硬體遮蔽主機。 定期用響應的IP包中獲得一個rarp請求,檢查ARP響應的真實性。 定期輪詢,檢查主機上的ARP快取。 使用防火牆連續監控網路。 解決方案 一般出現區域網 網咖使用者一般可以用ROS路由進行繫結,在主機上安裝上ARP防火牆服務端,客戶機安裝客戶端,雙相繫結比較安全。 軟體百度搜索下 推薦軟體: 市面上有眾多的ARP防火牆 推薦使用360 建議採用雙向繫結解決和防止ARP欺騙。在電腦上繫結路由器的IP和MAC地址 首先,獲得路由器的內網的MAC地址(例如HiPER閘道器地址 的MAC地址為0022aa0022aa區域網埠MAC地址>)。 編寫一個批處理檔案 t內容如下: @echo off arp -d arp -s 00-22-aa-00-22-aa 將閘道器IP和MAC更改為您自己的閘道器IP和MAC即可,讓這個檔案開機執行(拖到“開始-程式-啟動”)。