尊敬的校园网用户:
近一段时间以来,由于ARP木马流行,我校部分网段也受其影响, 病毒发作时其症状表现为计算机网络连接正常,可以正确获取IP地址,却无法打开网页,部分用户频繁出现断线、掉网。
ARP欺骗木马只需成功感染一台电脑,就可能导致该网段所有用户上网不稳定,上网速度变慢,严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,给用户造成了很大的不便和巨大的经济损失。
此类ARP攻击虽危害巨大,但由于其主要攻击范围仅在本网段,而使网络中心难以监控,且此木马的手工查杀比较困难。
为了清除木马病毒,恢复网络的正常运行,请各位校园网用户做好如下工作:
2 .安装正版防/杀毒软件以及防火墙,并及时更新。
3 .操作系统和各种帐号的密码不要设置为空,应该尽量为6位以上。
4 .不要随便共享文件或文件夹,即使要使用共享,应先设置好权限,一般指定帐号或特定机器才能访问,另外不建议设置可写或可控制。
5 .不要随便打开不明来历的电子邮件,尤其时邮件附件。
6 .不要随便登陆不明网站,特别不要随意登陆需要自己银行帐号或手机及计算机系统帐号的不明网站。对进行网上交易要特别慎重!
7 .使用移动存储介质进行数据访问时,先对其进行病毒检查。
8 .做好系统和重要数据的备份,以便能够进行系统和数据灾难恢复。
ARP木马简易诊断处理办法一:
检查本机的“ ARP 欺骗”木马染毒进程,同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键,选择“任务管理器”,点选“进程”标签。察看其中是否有一个名为“ MIR0.dat ”的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。
ARP木马简易诊断处理办法二:
如发现相邻多台机器均不正常(能正确获取IP地址,但上网明显变慢或上不了网),先全部关闭不正常的机器,再逐台开机注意观察,如发现某台机器开机后网络又不正常了,可初步认为此机器有ARP木马。
ARP木马简易诊断处理办法三:
a. 诊断
如果用户发现频繁掉线,重新启动后可以上一下网,而且上网好像有时段之分。点出 [开始]菜单 - 选[运行] ,输入 "cmd" 并确定调出"命令提示符"窗口,输入"arp -d"->点击"确定"按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。
b. 查找ARP病毒攻击源
点击 [开始]菜单 - 选[运行] ,输入 "cmd" 并确定调出"命令提示符"窗口,输入以下命令并按回车键: ipconfig 屏幕输出:
Windows IP Configuration
Ethernet adapter 本地连接:
Connection-specific DNSSuffix . :
IP Address. . . . . . .. . . . . . . . : 202.119.166.xxx
Subnet Mask . . . .. . .. . . . . . : 255.255.255.0
Default Gateway . . . .. . . . . : 202.119.166.1
记录网关 IP 地址,即 "Default Gateway" 对应的值。
再输入以下命令并按回车键:arp -a (arp空格减号a)在 "Internet Address" 下找到上步记录的网关 IP 地址,记录其对应的物理地址,即 "Physical Address" 值,例如 "00-e0-16-8c-2f-88"。
例子:
Interface: 202.196.199.1 --- 0x10003
Internet Address Physical Address Type
202.119.166.1 00-e0-16-8c-2f-88 dynamic
在网络正常时这就是网关的正确物理地址。
在网络不稳定时,它有可能是感染病毒计算机的网卡物理地址,请您把这个MAC地址记下来报给信网中心,可以尽快找到感染病毒用户。
c. 设置 ARP 表避免“ ARP 欺骗”木马影响的方法
本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关 IP 地址和网关物理地址,然后在“命令提示符”窗口中输入并执行以下命令:
arp –s 网关IP 网关物理地址 (例如:arp –s 202.119.166.1 00-e0-16-8c-2f-88)
为每次开机后均可用此方法,可用记事本写一个批处理(.bat)文件,保存到桌面,将该文件存为bat文件,将这个批处理文件拖到“Windows→开始→程序→启动”中,如果需要立即生效,请运行此文件该文件写法如下:
@echo off
arp –d
arp –s 网关ip地址 网关mac地址
ARP木马简易诊断处理办法四:
下载木马专杀工具,解压后运行其中的TSC.EXE可执行文件,不要关让它一直运行完,然后查看report文件夹中的报告。
小链接:
什么是ARP?
ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。
什么是ARP
欺骗?
从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。
网络与信息中心
2007-6-26
EN
搜索
