ARP欺骗病毒程序检查和其清除方法.docVIP

ARP欺骗病毒程序检查及其清除方法 　　 ???? 最近以来部分用户受到一类名为ARP欺骗病毒程序的攻击，该病毒有许多变种，多半以木马形式潜伏在电脑系统内部，而且易扩散，难清除。病毒发作时其症状表现为计算机网络连接正常，却无法打开网页，而且同一局域网内其他电脑也会出现网络连接速度变慢甚至断开，也就是“网络掉线了”，严重的影响了各用户的上网和正常工作。??? 目前各运营商、校园网、网吧等以及各杀毒软件厂家、微软公司对此很重视，也提出各类解决方案。??? 为了清除校园网内病毒，保证用户网络的正常运行，现将有关事项公布如下： 一、病毒原理 ：??? 当局域网内某台主机感染了该病毒时，会欺骗本局域网内所有主机，让所有上网的流量必须经过病毒主机。其他用户原来直接通过交换机上网现在转由通过病毒主机上网，切换过程中本局域网的用户会断一次线。由于该病毒发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当该病毒停止发作时，用户会恢复成正常上网状态，切换过程中用户电脑会再断一次线。病毒不断发作，就造成网络的时断时续。中毒者会对同一小区或局域网内其他的未中毒用户造成这种破坏性影响。PPPOE认证方式用户对自己电脑影响更为明显。最典型的特征：???? 打开网页有时要多刷新几次才能打开，网络游戏极易掉线。如果运行cmd并输入ping -t 会发现很有规律性每隔几十个包会丢2－6个包（timeout包）。二、病毒的破坏作用 ：??? 病毒发作时除了会导致其他电脑出现时断时续外，还会窃取用户密码（如 QQ 、网络游戏、网上银行以及其它脆弱系统帐号等），这是木马的惯用伎俩。 此病毒的最初目的就是为了盗传奇游戏帐号。三、检查并防范病毒的方法： 方法一： ???? 在多特网下载/?hc下载ARP软件保护本地计算机正常运行。先下载到本地硬盘内，再安装运行（注意系统时间的调整）。填入电脑的实际网关IP地址 。再填写网关MAC地址00-19-DB-41-9E-92，点击确定即可。???? （可使用ipconfig命令查看Default Gateway 。或者双击右下方的网络本地连接图标，点击“支持”）方法二：??? 在“开始” - “运行” - “cmd”。输入并执行以下命令：ipconfig 记录网关 IP 地址，即“ Default Gateway ”对应的值，例如“”。再输入并执行以下命令：先输入arp -d并回车后再输入：arp –a 在“ Internet Address ”下找到上步记录的网关 IP 地址，记录其对应的物理地址，即“ Physical Address ”值，例如“00-19-DB-41-9E-92”。1、在网络正常时这就是网关的正确物理地址；2、在网络受“ ARP 欺骗”木马影响而不正常。如有规律的丢包时，它就是木马所在计算机的网卡物理地址。 本方法只能在一定程度上减轻中木马的计算机对本机的影响。用上边介绍的方法确定正确的网关 IP 地址和网关物理地址，然后在 “命令提示符”窗口中输入并执行以下命令绑定网关：arp –s 网关IP 网关物理地址 ((如 arp -s ?00-19-DB-41-9E-92) 。四．临时处理对策： ????? 步骤一. 在能上网时，进入MS-DOS窗口，输入命令：arp –a 查看网关IP对应的正确MAC地址，将其记录下来。注：如果已经不能上网，则先运行一次命令arp –d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话），一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp –a。???? 步骤二. 如果已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令： arp –s 网关IP 网关MAC例如：假设计算机所处网段的网关为，本机地址为8在计算机上运行arp –a后输出如下：C:\Documents and Settingsarp -aInternet Address Physical Address Type ---00-19-DB-41-9E-92? ?dynamic其中00-19-DB-41-9E-92就是网关 对应的MAC地址，类型是动态（dynamic）的，因此是可被改变。被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC，如果大家希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找做准备。手工绑定的命令为：arp –s ---00-19-DB-41-9E-92绑定完，可再用arp –a查看arp缓存，