網管员世界-ARP病毒的检测方法.docVIP

ARP 病毒的检测方法 ARP 病毒的检测方法 方法一，用户自查法 1. 同时按住键盘上的―Ctrl+ Alt+Del‖键，选择―任务管理器‖，单击―进程‖标签，查看其中是 否有一个名为―MIR0.dat‖进程。如果有，说明已经中毒。右键点击此进程后, 选择―结束进程‖ 命令。 2. 如果用户突然发现无法上网，可以通过如下方法验证是否感染此木马病毒： （1）单击―开始→运行‖，输入―cmd‖，再输入―arp-d‖，回车。 （2）重新尝试上网，若能短暂正常访问，则说明此次断网是受木马病毒影响。该病毒发作 后，在系统进程列表中会有―MIR0.dat‖这个进程存在，可通过直接结束进程的方法解决。 方法二，基层定位法 1. 因所有基层单位都是通过三层交换机设备接入城域网的，因此可以通过检查其三层交换 机设备上的ARP 表来进行定位。 如果发现有多个IP 地址对应同一个MAC 地址，则说明此MAC 地址对应的计算机很可能 中了ARP 木马病毒。可通过下连的二层交换机的转发表查到此MAC 地址对应的交换机端 口，从而定位出有问题的计算机，关闭此端口，通知终端用户查杀病毒结束后再开放端口。 2. 让基层单位网络管理员扫描本子网内的全部IP 地址，然后再查ARP 表。如果有一个IP 地址对应的MAC 地址与网关的 MAC 地址相同，那么这个 IP 地址和 MAC地址就是中毒 计算机的IP 地址和 MAC 地址。 方法三, 端口镜像抓包分析法 笔者所在的教育城域网通过NAT 转换的方式连接到互联网，所以在中心交换机上将内网口 进行了端口镜像，利用 Sniffer 进行抓包分析，凡大量发送 ARP 请求的均可能是此木马感 染者。 一经发现，立即关闭此端口，并通过交换端口确定上网用户，通知用户查杀病毒，直至确认 无毒后再开放端口。 处理方案 1. 静态ARP 绑定网关 步骤一： 在能正常上网时，进入MS-DOS 窗口，输入命令―arp-a‖，查看网关IP 对应的正确MAC 地 址，并将其记录下来。 如果已经不能上网，则先运行一次命令arp -d, 将arp 缓存中的内容清空，计算机可暂时恢 复上网（攻击如果不停止的话）。一旦能够上网，就立即将网络断掉（禁用网卡或拔掉网线）， 再运行―arp -a‖命令。 步骤二： 如果计算机已经有网关的正确 MAC 地址，在不能上网时，只需手工将网关 IP 和正确的 MAC 地址绑定，即可确保计算机不再遭到欺骗攻击。 要想手工绑定，可在MS-DOS 窗口下运行以下命令：arp － s 网关IP 网关MAC 假设计算机所处网段的网关为10.8.6.250，本机地址为10.8.6.9，在计算机上运行―arp － a‖ 后输出如下内容： ????C:Documents and Settingsarp -a ????Interface:10.8.6.9 -- 0x2 ????Internet Address Physical Address ????Type ????10.8.6.250 00-01-02- 03-04-05 dynamic 其中，00-01-02-03-04-05 就是网关10.8.6.250 对应的 MAC 地址，类型是动态dynamic，因 此是可被改变的。 被攻击后，再用该命令查看，就会发现该MAC 地址已经被替换成攻击机器的 MAC 地址。 如果希望找出攻击机器，彻底根除攻击，可以将该MAC 记录下来，为以后查找该攻击的机 器做准备。 手工绑定的命令为： ????arp－s 10.8.6.250 00-01 -02-03-04-05 绑定完，可以再用―arp -a‖查看arp 缓存： ?? ?? ?? ??? C:Documents and Settings arp -a Interface:10.8.6.9 -- 0x2 Internet Address Physical Address Type 10.8.6.250 00-01-02- 03-04-05 static 这时，类型变为静态（static），就不会再受攻击影响了。 需要说明的是，手工绑定在计算机关机重启后就会失效，需要再次重新绑定。所以，要彻底 根除攻击，只有找出网段内被 ARP 病毒感染的计算机，把病毒杀掉，才算是真正解决问题。 2. 制作批处理文件 在客户端做对网关的arp 绑定，具体操作步骤如下。 步骤一： 查找本网段的网关地址，比如192.168.1.1，以下以此网关为例。在正常上网时，单击―开始 →运行→ cmd →确定‖，输入：arp -a，点回车，查看网关对应的PhysicalAddress。 比如：网关192.168