arp欺骗类型病毒处理方法及流程.docxVIP

ARP欺骗类型病毒处理方法及流程 最近公司网络网络变满或者出现时断时续的情况经查明为多 为ARP欺骗病毒： 一、故障原因： ARP欺骗类型病毒感染方式较多，此病毒全称为的一种木 马，此类型病毒主要针对传奇，魔兽世界，QQ等程序。此木马存在多个变种，病 毒名称只是通称，并且每个变种导致的现象都不一样。为此，查询了此病毒的多个 变种的危害，发现其中一个变种会在局域网中进行ARP欺骗，其发作从而导致对 局域网的连通性（时断时续）照成重大影响。 二、病毒原理： 当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和 交换机，让所有上网的流量必须经过病毒主机。其他用户原来直接通过交换机上网 现在转由通过病毒主机上网，由交换机切换到病毒主机的时候用户会断一次线。由 于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及 其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停 止运行时，用户会恢复通过交换机上网（此时交换机MAC地址表正常），切换过程 中用户会再断一次线。该病毒发作时，仅影响同网段内机器的正常上网。 三、病毒发作方式： 通常情况下，A主机要连接internet,首先会发送一个广播包，广播包携带A 的IP和MAC地址，请求网关B （通过B的IP）应答自己的MAC地址，当网关 B识别到请求的IP为自己的时候，那么应答自己的MAC地址给A,然后进行数据 传输而此病毒的做法是： .取得网关的IP,并且将自己的IP冒充为网关的IP.接到客户端的广播请求后，冒充网关进行回应MAC地址，但是此MAC 地址为伪造 .客户端获得网关的MAC地址，试图进行通讯，但是此MAC为伪造，导 致通讯失败.客户端无法上网 四、处理措施： .首先找到ARP欺骗病毒发作的网络，在3层交换机上观察arp表，如果 能够发现很多ip被同一 mac占用，基本可以肯定就是这个mac。另外arp 传播能力并不强，基本上杀一个少一个，也可以在交换机上监听看看到底 哪个地址在不停的发arp的包，确定了这个地址就是病毒源。 .找到网络中感染ARP病毒的机器后，使用杀毒软件（升级最新病毒库） 或专杀工具查杀。 五、WIN2K对于此病毒解决方法： .此病毒文件名为KB5786825.LOG,将自己存放在WINNT目录下，看上去 类似windows安装补丁之后产生的LOG文件，事实上此病毒为dll文件, 只不过被修改了后缀，并采用注入到其他程序运行而到达隐蔽自己的目 的，并且在每次开机通过注册表键值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs 来加载自己，到达每次开机即 运行的目的 .目前防病毒软件的病毒定义码已经可以识别此病毒，但是由于是DLL文 件，所以可能无法清除，可以采用以下的手动清除方法.册 U除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 的内容，注意是删除内容，不 是删除此键值.重新启动计算机 .访问WINNT目录，手动删除KB5786825.LOG文件六、防范措施： .在防火墙上作策略，将查出ARP欺骗包丢弃掉。 .采用双向绑定的方法解决并且防止ARP欺骗。 .首先确定网络上平安网关的IP和MAC地址，然后可以在每台客户端机器 的ARP缓存表中将平安网关的IP和MAC绑定；也可以将平安网关的IP 和MAC地址绑定写成一个批处理文件，放在域中或客户端的自启动项中。 七、总结： 由于此次发现的病毒名称为一个病毒系列的通称，从病毒名称不能立刻查询到 病毒发作现象，所以只能推断属于此变种，此类病毒一般通过网络下载或者 EMAIL及IM软件附件传播，建议以后加强这方面的管理，同时及时升级防 病毒软件的版本。