企业局域网感染ARP病毒的处理方法.pdfVIP

科技情报开发与经济 SCI—TECH INFORMATION DEVELOPMENT＆ECONOMY 2007年 第1 7卷 第3 l斯 文章编号：1005—6033(2007)31一oooo一0l 收稿日期：2007—08—24 企业局域网感染ARP病毒的处理方法 舫 (晋城无烟煤矿业集团有限责任公司成庄矿，山西晋城，048021) 摘 要：介绍了ARP病毒的特征及受感染局域网的确定，探讨了局域网内ARP病毒的 查杀及预防。 关键词：局域网；ARP；木马病毒 中图分类号：TP393．08 文献标识码：A 一 段时间以来，ARP欺骗木马病毒感染我矿局域网内的部分计算机 感染ARP病毒的机器，然后杀毒或者进行其他处理。定位感染ARP病毒 并蔓延，感染此木马病毒的汁算机通过ARP欺骗的手段截获所在网段 的机器的方法比较多，但在我对我矿局域网进行日常维护的过程中，感 内其他计算机的通信信息，从而导致我矿局域网频繁出现网络中断，局 觉以下方法是比较快速、可行的。具体方法如下： 域网内其他计算机之间无法正常通信。ARP欺骗木马病毒只需成功感染 (1)在我矿现有的三层交换机上查看维护日志，如果发现有大量的 I台电脑，就能导致整个网段内其他计算机都无法正常上网，上网时出现 地址冲突的显示，基本可以确定有ARP攻击了。同时记录下出现量比较 时断时续的现象，严重的时候，导致我矿整个局域网的瘫痪，还会窃取用 大的MAC地址。 户密码，如网上银行账号等。其危害之大可见一斑。下面就针对这种病毒 (2)使用ARP命令定位感染病毒的机器。在“命令提示符”窗口，输 的检查、清除和防范方法进行介绍。 人命令：IPCONFIG／ALL回车，显示信息中的DEFAULT GATEWAY对应 的就是默认网关的IP地址，然后输入命令：ARP—A显示以下信息： 1 ARP病毒的特征与确认 lnternet Address Physical Address Type 192．168．50．1 00一e0一f 一48—82—7b dynamic 1．1局域网感染ARP欺骗木马病毒的症状 这里显示的与网关IP对应的就是网关的MAC地址。正常情况下，表 局域网被ARP欺骗木马病毒感染的症状为：计算机局域网网络连接 中显示的主机的MAC地址是不同的，如果有相同的MAC地址出现，就说 正常，访问内网正常，访问外网不稳定，出现时断时续的现象，或突然掉 明有感染ARP病毒的机器。记下相同MAC地址的机器的IP地址。使用 线，过一段时间后又会恢复正常；IE浏览器频繁出错，无法打开网页等。 MAC地址扫描器NBTSCAN，可以获得网段内指定范围内的所有计算机的 重启系统或执行ARP—D命令删除ARP缓存表后，可暂时恢复上网。 真实的IP地址、计算机名称和MAC地址，可通过这个表找到发起攻击的 1-2 引发症状的原因