- 1、本文档共4页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
石油、天然气工业
江 汉 石 油 职 工 大 学 学报
2008年 11月 JournalofJianghanPetroleumUniversityofStaffandWorkers 第 21卷 第 6期
“ARP欺骗’’病毒清除完全攻略
谢 飞,梅建兵
(中国石化江汉石油管理局职工培训中心,湖北 潜江 433121)
[摘 要] “ARP欺骗”木马病毒通过截获所在网络 内其他计算机的通信信息,可以造成网内其他计算机的通信故
障,特别是校园网内,会 出现网络大面积瘫痪的严重后果。加强网络安全和防范,有效杜绝 “ARP欺骗”泛滥,是网络
安全管理的一项重要工作。
[关键词] ARP;病毒;清除
[中图分类号] TP309.7 [文献标识码] A [文章编号] 1Oo9—3Olx(2O08)06—0085—04
近期,一种新型的“ARP欺骗”木马病毒正在校园网 可见,arp是一种将 ip转化成以ip对应的网卡的物
中扩散,严重影响了校园网的正常运行。感染此木马的 理地址的一种协议,或者说 ARP协议是一种将 ip地址
计算机试图通过 “ARP欺骗”手段截获所在网络内其他 转化成MAC地址的一种协议,它靠维持在内存 中保存
计算机的通信信息,并因此造成网内其他计算机的通信 的一张表来使 ip得以在网络上被 目标机器应答。通常
故障。
主机在发送一个 ip包之前,它要到该转换表中寻找和 ip
ARP欺骗木马的中毒现象表现为:使用校园网时会
包对应的mac地址,如果没有找到,该主机就发送一个
突然掉线,过一段时间后又会恢复正常。比如客户端状
ARP广播包,于是,主机刷新 自己的ARP缓存。然后发
态频频变红,用户频繁断网,IE浏览器频繁出错,ip地址
出该 ip包。因此,在每台主机的内存中,都有一个 a 一
冲突以及一些常用软件出现故障等。如果登陆是通过身
mac的转换表。通常是动态的转换表(注意在路由中,该
份认证上网的,会突然出现认证通过,但不能上网的现象
(无法ping通网关),重启机器或在MS--DOS窗 口下运 arp表可以被设置成静态)。也就是说,该对应表会被主
行命令 arp—d后,又可恢复上网。 机在需要的时候刷新。
ARP欺骗木马十分猖狂,危害也特别大,校园网曾
出现网络大面积瘫痪的严重后果。ARP欺骗木马只需
成功感染一台电脑,就可能导致整个局域网都无法上网,
严重的甚至可能带来整个网络的瘫痪。该木马发作时除
了会导致同一网内的其他用户上网出现时断时续的现
象外,还会窃取用户密码。如盗取 QQ、邮箱账号和密
码,盗窃网上银行账号等。作为木马的惯用伎俩 ,能给用
户造成了很大的不便和巨大的经济损失。 图 1 arp-~MAC转换表
ARP欺骗这种病毒的程序如PWsteaLlemir或其变
1 何为 “ 欺骗”
种,属于木马程序/蠕虫类病毒,Windows95/98/Me/
说到 欺骗,就先介绍一下ARP。ARP,即Ad— Nr/2000/Ⅺ)/2003都能受到影响,从根本上来说 ,则是
dressResolutionProtocol,地址解析协议,是一个位于
通过伪造 地址和 MAC地址来达到 目的。从影响网
]r(、P/IP协议栈 中的低层协议,负责将某个 地址解析
络连接通畅的方式来看,分为二种,一种是对路 由器
成对应
文档评论(0)