ARP病毒预警及防治攻略.docVIP

ARP病毒预警及防治攻略 一、故障现象及原因分析 情况一、当局域网内某台主机感染了ARP病毒时，会向本局域网内（指某一网段，比如：-255这一段）所有主机发送ARP欺骗攻击谎称自己是这个网段的网关设备，让原本流向网关的流量改道流向病毒主机，造成局域网内其他主机（受害者）无法正常上网。 情况二、局域网内有某些用户使用了ARP欺骗程序（如：传奇木马、QQ盗号软件等）发送ARP欺骗数据包，致使被攻击的电脑出现突然不能上网，过一段时间又能上网，反复掉线的现象。 二、故障诊断 如果用户发现以上疑似情况，可以通过如下操作进行诊断： 1、点击“开始”按钮—选择“运行”—输入“arp –d”—点击“确定”按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。 2、同时按住键盘上的“ ctrl ”和“ alt ”键再按“ del ”键，选择“任务管理器”，点选“进程”标签。察看其中是否有一个名为“ vktserv.exe ”的进程。如果有，则说明已经中毒。 三、故障处理 1、中毒者： （1）在进程中如果有“vktserv”进程，右键点击此进程后选择“结束进程”，然后在c:\windows\system32路径找到vktserv.exe文件删除，在“控制面板”-“管理工具”-“服务”中，找到vktserv服务禁用，重起机器。 （2）建议使用趋势科技ARP专杀工具或其他杀毒软件清除病毒。 趋势ARP专杀工具的下载地址：/TSC_.rar 下载后解压缩，运行TSC.exe文件，不要关让它一直运行完毕。然后可查看report目录内的log文档了解病毒清除情况。 2、受害者： （1）如果已经不能上网，则先运行一次命令arp –d将arp缓存中的内容删空，计算机可暂时恢复上网， 注：arp -d命令用于清除并重建本机arp表。arp –d命令并不能抵御ARP欺骗，执行后仍有可能再次遭受ARP攻击。 （2）如果已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令： arp –s 网关IP 网关MAC,但系统重启后失效. （3）使用AntiArpSniffer软件抵御ARP攻击。 AntiArpSniffer的下载地址：/AntiARP4.0beta4.zip 下载后解压缩，运行AntiArp。输入本网段的网关ip地址后，点击“获取网关MAC地址”，检查网关IP地址和MAC地址无误后，点击“自动保护”。 若不知道网关IP地址，可通过以下操作获取：点击开始按钮—选择“运行”—输入cmd点击“确定”—输入ipconfig按回车，“本地连接”中“Default Gateway”后的IP地址就是网关IP地址。 AntiArp软件会在提示框内出现病毒主机的MAC地址。建议受害者积极向网络中心举报，以便网络中心采取针对性措施进行处理。 3、可正常上网的用户： 打ARP病毒免疫补丁,下载地址：/arp_buding.rar 目前尚未有方法可以使电脑免疫所有arp病毒，网络中心建议用户安装防病毒软件并更新到最新版本，可有效降低中毒的机率。 注意：目前的计算机防病毒软件只能避免自己电脑主机感染ARP病毒，但无法抵御同网段中其它已感染ARP病毒的计算机的攻击。 四、入网日常安全守则 1、校园网并不比互联网安全 校园网是互联网的组成部分。校园网内用户并非全部安全可靠，甚至依仗内网的速度优势，校园网更容易成为病毒传播的温床，也给攻击你的黑客带来便利。 2、请设置足够复杂的密码 脆弱的密码是给别人开设的方便之门。正在用电脑的也许不只是坐在显示器前的您。 3、请及时更新操作系统补丁、安装可靠的杀毒软件并及时更新病毒库； 补丁就是操作系统的疫苗，打一个就防一种威胁，打得越全越安全。 4、要增强网络安全意识，培养良好的使用习惯； 不要轻易下载和安装使用不了解的、来源不明的软件；安装软件前请用带最新病毒库的防病毒软件对软件安装包进行扫描；不要浏览一些缺乏可信度的网站（网页）；尽量不要安装网页上的ActiveX插件；以免个人计算机受到木马病毒的侵入，给校园网的安全带来隐患。目前网络上很多网站使用带有诱惑性的页面来诱使用户点击，用户一旦点击就会下载到木马或者病毒，请用户一定要注意防范。 5、网络安全靠大家 校园网是公共服务设施，保障网络安全不仅是网络中心的工作，更是每位网络用户应尽的义务。只有依靠大家群策群力、群防群治，网络才能长治久安。