“ARP欺骗”病毒清除完全攻略.pdfVIP

江 汉 石 油 职 工 大 学 学报 2008年 11月 JournalofJianghanPetroleumUniversityofStaffandWorkers 第 21卷 第 6期 “ARP欺骗’’病毒清除完全攻略 谢 飞，梅建兵 (中国石化江汉石油管理局职工培训中心，湖北 潜江 433121) [摘 要] “ARP欺骗”木马病毒通过截获所在网络 内其他计算机的通信信息，可以造成网内其他计算机的通信故 障，特别是校园网内，会 出现网络大面积瘫痪的严重后果。加强网络安全和防范，有效杜绝 “ARP欺骗”泛滥，是网络 安全管理的一项重要工作。 [关键词] ARP；病毒；清除 [中图分类号] TP309．7 [文献标识码] A [文章编号] 1Oo9—3Olx(2O08)06—0085—04 近期，一种新型的“ARP欺骗”木马病毒正在校园网 可见，arp是一种将 ip转化成以ip对应的网卡的物 中扩散，严重影响了校园网的正常运行。感染此木马的 理地址的一种协议，或者说 ARP协议是一种将 ip地址 计算机试图通过 “ARP欺骗”手段截获所在网络内其他 转化成MAC地址的一种协议，它靠维持在内存 中保存 计算机的通信信息，并因此造成网内其他计算机的通信 的一张表来使 ip得以在网络上被 目标机器应答。通常 故障。 主机在发送一个 ip包之前，它要到该转换表中寻找和 ip ARP欺骗木马的中毒现象表现为：使用校园网时会 包对应的mac地址，如果没有找到，该主机就发送一个 突然掉线，过一段时间后又会恢复正常。比如客户端状 ARP广播包，于是，主机刷新 自己的ARP缓存。然后发 态频频变红，用户频繁断网，IE浏览器频繁出错，ip地址 出该 ip包。因此，在每台主机的内存中，都有一个 a 一 冲突以及一些常用软件出现故障等。如果登陆是通过身 mac的转换表。通常是动态的转换表(注意在路由中，该 份认证上网的，会突然出现认证通过，但不能上网的现象 (无法ping通网关)，重启机器或在MS--DOS窗 口下运 arp表可以被设置成静态)。也就是说，该对应表会被主 行命令 arp—d后，又可恢复上网。 机在需要的时候刷新。 ARP欺骗木马十分猖狂，危害也特别大，校园网曾 出现网络大面积瘫痪的严重后果。ARP欺骗木马只需 成功感染一台电脑，就可能导致整个局域网都无法上网， 严重的甚至可能带来整个网络的瘫痪。该木马发作时除 了会导致同一网内的其他用户上网出现时断时续的现 象外，还会窃取用户密码。如盗取 QQ、邮箱账号和密 码，盗窃网上银行账号等。作为木马的惯用伎俩 ，能给用 户造成了很大的不便和巨大的经济损失。 图 1 arp-~MAC转换表 ARP欺骗这种病毒的程序如PWsteaLlemir或其变 1 何为 “ 欺骗” 种，属于木马程序／蠕虫类病毒，Windows95／98／Me／ 说到 欺骗，就先介绍一下ARP。ARP，即Ad— Nr／2000／Ⅺ)／2003都能受到影响，从根本上来说 ，则是 dressResolutionProtocol，地址解析协议，是一个位于 通过伪造 地址和 MAC地址来达到 目的。从影响网 ]r(、P／IP协议栈 中的低层协议，负责将某个 地址解析 络连接通畅的方式来看，分为二种，一种是对路 由器 成对应