如何防范ARP病毒

荒凉一梦 提交于 2019-11-27 12:48:32
 

近期网络中ARP病毒流行,我校校园网内也发现许多电脑中毒,对同一局域网内的其他用户造成了较大的影响。此病毒为木马病毒附带的一种欺骗病毒,这些计算机病毒一般都是利用ARP协议的漏洞进行危害活动。

被攻击的电脑现象

被欺骗电脑的典型症状是刚开机能上网,几分钟之后断网,过一会又能上网,或者重启一遍电脑就可以上网,一会又不好了,如此不断重复,造成校园网的不稳定,影响正常使用。重启机器或在MSDOS窗口下运行命令ARP -d后,又可恢复上网一段时间。

ARP病毒原理

电脑中毒后会向同网段内所有计算机发ARP欺骗包,从而致使同一网段地址内的其它机器误将其作为网关,导致网络内其它电脑因网关物理地址被更改而无法上网,这就是为什么掉线时内网是互通的,计算机却不能上网的原因。

ARP病毒手动处理方法

步骤一在网关地址栏内输入您的网关IP地址。获取网关地址的方法:打开一个DOS窗口,

输入命令ipconfig/all后回车,得到如图结果:

图中“Default Gateway”行显示的就是您的网关地址(注:各网段的网关地址是不一样的,切记:请不要照搬)。

步骤二. 如果已经有网关的正确MAC地址,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令:arp –s 网关IP 网关MAC

例如:假设计算机所处网段的网关为210.38.202.126,本机地址为210.38.202.1在计算机上运行arp a后输出如下:

C:Documents and Settings>arp -a

Interface: 210.38.202.1 --- 0x2

Internet Address Physical Address Type

210.38.202.126 00-d0-95-d8-3c-12 dynamic

其中00-d0-95-d8-3c-12就是网关210.38.202.126对应的MAC地址,类型是动态(dynamic)的,因此是可被改变。

被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC,如果大家希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找做准备。

手工绑定的命令为:arp s 210.38.202.126 00-d0-95-d8-3c-12

这时,类型变为静态(static),就不会再受攻击影响了。但是,需要说明的是,手工绑定在计算机关机重开机后就会失效,需要再绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,令其杀毒,方可解决。

ARP病毒专杀,防御工具下载

1 请用户下载AntiArpSniffer3.zip文件(右键下载、另存为)

2 解压安装后,运行程序AntiArpSniffer3,出现如下界面:

 

3、使用说明:

开启Anti ARP Sniffer 3,输入网关IP地址,点击[枚取MAC]如你网关填写正确将会显示出网关的MAC地址。

点击[自动保护],即可保护当前网卡与网关的通信不会被第三方监听。

追踪ARP攻击者,当局域网内有人试图与本机进行ARP欺骗,其数据会被Anti ARP Sniffer记录。请在欺骗数据详细记录表中选择需要追踪的行,然后点击[追捕欺骗机],追捕过程中需要几分钟时间,如果该ARP地址是真实的,也快就能追捕到攻击者。(追捕ARP攻击者时需要停止自动保护)

解决的最基本的办法还是:

1、用户要提高网络安全意识,不要轻易下载、使用盗版和存在安全隐患的软件;或浏览一些缺乏可信度的网站(网页);不要随便打开不明来历的电子邮件,尤其是邮件附件;不要随便共享文件和文件夹,以免个人计算机受到木马病毒的侵入。

2、用户要及时下载和更新操作系统的补丁程序,安装正版的杀毒软件,增强个人计算机防御计算机病毒的能力。

何防范ARP欺骗病毒攻击

2006-11-9      阅读562

近期,很多用户反映校园网速度比较慢,经过网络中心的排查,主要原因是用户
所在的网段存在感染
ARP欺骗病毒的主机,而没有感染该病毒的用户也未使用我们以
前通知大家使用的
ARP欺骗病毒防护软件,从而导致该病毒在网上扩散。在这里再次
提醒大家:由于目前无专杀
ARP欺骗病毒的有效软件,为了您和其他用户的利益,请
用户注意查杀
ARP病毒(多用几种防毒软件进行杀毒)。如有可能最好能够重新安装
系统,而没有感染此类病毒机器的用户请按照以下防护措施进行,防范步骤如下:

1. 请用户下载AntiArpSniffer3.zip文件(右键下载、另存为)

2.       解压AntiArpSniffer3.zip文件;

3.       安装AntiArpSniffer软件;

4.       运行程序AntiArpSniffer3,出现如下界面:

1 AntiArpSniffer3界面

5.       在网关地址栏内输入您的网关IP地址。获取网关地址的方法:打开一个DOS窗口,
输入命令
ipconfig/all后回车,得到如图2结果:

 

 2 ipconfig/all

图中“Default Gateway”行显示的就是您的网关地址(注:各网段的网关地址是
不一样的,切记:请不要照搬
)。

6.       在图1 AntiArpSniffer3运行界面上点击枚取MAC”按钮,这样就自动获取了
网关的
MAC地址。之后,点击自动保护按钮,AntiArpSniffer3就能自动的防护
ARP欺骗病毒的攻击。为了使AntiArpSniffer3在系统启动后能够自动运行,请确保
AntiArpSniffer3界面上右下角开机自动运行软件打勾。

7.      利用AntiArpSniffer3可以发现感染ARP欺骗病毒的主机的IP地址和MAC地址,
为了使整个校园网正常运转,也为了确保您的上网速度,如有可能,请您通知感染
此类病毒的主机的用户杀毒或重装系统,并将信息发送到邮箱:wlzx@sgu.edu.cn
网络中心将根据情况进行进一步的处理,谢谢您的合作!                       

 

关于防范ARP病毒的公告

发布人:网络中心||发布时间:2006-12-18

近期一些校园网用户出现正在上网的电脑主机频繁掉线或是断线,网速慢,或无法上网,症状常为本地联接打了感叹号,无法获取正常的IP地址。经调查,导致该故障的主要原因是ARP病毒,所以我们整理以下相关防治办法发给大家,请大家提高警惕,做好防范措施。


一、故障原因及现象
  具体表现为:电脑中毒后会向同网段内所有计算机发
ARP欺骗包,导致网络内其它电脑因网关物理地址被更改而无法上网,被欺骗电脑的典型症状是刚开机可以上网,几分钟之后断网,过一会又恢复,或者重启电脑后恢复,如此不断重复,造成校园网不稳定,影响正常使用。


 
二、故障诊断
  如果用户发现突然不能上网,可以通过如下操作进行诊断:
  点击“开始”按钮->选择“运行”->输入“arp -d->点击“确定”按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。
  “arp -d”命令能清除本机的arp表,arp表被清除后接着系统会自动重建新的arp表,“arp -d”命令并不能抵御ARP欺骗,执行“arp -d”命令后仍有可能再次遭受ARP攻击。

三、故障处理
  杀毒。
  (1)趋势、诺顿、卡巴斯基、瑞星等杀毒软件均可查杀此类病毒,注意:查杀病毒只能避免电脑主机成为ARP攻击方,并不能抵御ARP攻击。

 

2)专杀工具下载  
  下载附件中的“kill_arp.rar” 文件后解压缩,运行包内TSC.exe文件,不要关让它一直运行完,最后查看report文档便知是否中毒。 

.再次声明

1 .请用户的电脑一定要安装杀毒软件。网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。

2 . 经常更新杀毒软件(病毒库)和下载补丁。

3 . 不要随便点击打开 QQ MSN 等聊天工具上发来的链接信息,不要随便打开或运行陌生、可疑文件和程序,如邮件中的陌生附件。下载请到正规的网站。

 

 

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!