故障原因
主要原因是在局域網中有人使用了
ARP欺騙的木馬程序,比如一些盜號的軟件。
傳奇外掛攜帶的ARP
木馬攻擊,當局域網內使用外掛時,外掛攜帶的病毒會將該機器的MAC地址映射到網關的IP地址上,向局域網內大量發送ARP包,致同一網段地址內的其它機器誤將其作為網關,掉線時內網是互通的,計算機卻不能上網。方法是在能上網時,進入
MS-DOS窗口,輸入命令:arp –a查看網關IP對應的正確MAC地址,將其記錄,如果已不能上網,則先運行一次命令arp –d將arp緩存中的內容刪空,計算機可暫時恢復上網,一旦能上網就立即將網絡斷掉,禁用網卡或拔掉網線,再運行arp –a。
如已有網關的正確MAC地址,在不能上網時,手工將網關IP和正確MAC綁定,可確保計算機不再被攻擊影響。可在MS-DOS窗口下運行以下命令:arp –s 網關IP 網關MAC。如被攻擊,用該命令查看,會發現該MAC已經被替換成攻擊機器的MAC,將該MAC記錄,以備查找。找出病毒計算機:如果已有病毒計算機的MAC地址,可使用NBTSCAN軟件找出網段內與該MAC地址對應的IP,即病毒計算機的IP地址。
故障現象
當局域網內有某臺電腦運行了此類ARP欺騙的
木馬的時候,其他用戶原來直接通過
路由器上網現在轉由通過病毒主機上網,切換的時候用戶會斷一次線。
切換到病毒主機上網后,如果用戶已經登陸了傳奇服務器,那么病毒主機就會經常偽造斷線的假像,那么用戶就得重新登錄傳奇服務器,這樣病毒主機就可以盜號了。
由于ARP欺騙的木馬發作的時候會發出大量的數據包導致局域網通訊擁塞,用戶會感覺上網速度越來越慢。當木馬程序停止運行時,用戶會恢復從路由器上網,切換中用戶會再斷一次線。
該機一開機上網就不斷發Arp欺騙報文,即以假冒的網卡物理地址向同一子網的其它機器發送Arp報文,甚至假冒該子網網關物理地址蒙騙其它機器,使網內其它機器改經該病毒主機上網,這個由真網關向假網關切換的過程中其它機器會斷一次網。倘若該病毒機器突然關機或離線,則其它機器又要重新搜索真網關,于是又會斷一次網。所以會造成某一子網只要有一臺或一臺以上這樣的病毒機器,就會使其他人上網斷斷續續,嚴重時將使整個
網絡癱瘓。這種病毒(木馬)除了影響他人上網外,也以竊取病毒機器和同一子網內其它機器上的用戶帳號和密碼(如QQ和網絡游戲等的帳號和密碼)為目的,而且它發的是Arp報文,具有一定的隱秘性,如果占
系統資源不是很大,又無防病毒軟件監控,一般用戶不易察覺。這種病毒開學初主要發生在學生宿舍,據最近調查,現在已經在向辦公區域和教工住宅區域蔓延,而且呈越演越烈之勢。
經抽樣測試,學校提供的賽門鐵克防病毒軟件企業版10.0能有效查殺已知的Arp欺騙病毒(木馬)病毒。
惡意軟件由于國際上未有明確界定,目前暫無一款防病毒軟件能提供100%杜絕其發作的解決方案,需要借助某些
輔助工具進行清理。
解決思路
不要把你的網絡安全信任關系建立在IP基礎上或MAC基礎上。
設置靜態的MAC-->IP對應表,不要讓主機刷新你設定好的轉換表。
除非必要,否則停止ARP使用,把ARP做為永久條目保存在對應表中。
使用ARP服務器。確保這臺ARP服務器不被黑。
使用"proxy"代理IP傳輸。
使用硬件屏蔽主機。
定期用響應的IP包中獲得一個rarp請求,檢查ARP響應的真實性。
定期輪詢,檢查主機上的ARP緩存。
使用
防火墻連續監控網絡。
解決方案
一般出現局域網
網吧用戶一般可以用ROS路由進行綁定,在主機上安裝上
ARP防火墻服務端,客戶機安裝
客戶端,雙相綁定比較安全。
軟件
百度搜索下
推薦軟件:http://wwwantiarpcom/down.asp?ArticleID=81
市面上有眾多的ARP防火墻 推薦使用360
建議采用雙向綁定解決和防止ARP欺騙。在電腦上綁定路由器的IP和MAC地址
首先,獲得路由器的內網的MAC地址(例如HiPER網關地址192.168.16.254的MAC地址為0022aa0022aa局域網端口MAC地址>)。
編寫一個批處理文件rarp.bat內容如下:
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa
將網關IP和MAC更改為您自己的網關IP和MAC即可,讓這個文件開機運行(拖到“開始-程序-啟動”)。
自己手動清除病毒:
1、立即升級
操作系統中的防病毒軟件和防火墻,同時打開“
實時監控”功能,實時地攔截來自局域網絡上的各種ARP病毒變種。
2、立即根據自己的操作系統版本下載
微軟MS06-014和MS07-017兩個
系統漏洞補丁程序,將補丁程序安裝到局域網絡中存在這兩個漏洞的
計算機系統中,防止病毒變種的感染和傳播。
3、檢查是否已經中毒:
a. 在
設備管理器中, 單擊“查看—顯示隱藏的設備”
b. 在設備樹結構中,打開“非即插即用設備”
c. 查找是否存在:“NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter”,如果存在,就表明已經中毒。
4、對沒有中毒機器,可以下載軟件Anti ARP Sniffer,填入網關,啟用自動防護,保護自己的ip地址以及網關地址,保證正常上網。
5、對已經中毒電腦可以用以下方法手動清除病毒:
(1)刪除:%windows%\System32\LOADHW.EXE (有些電腦可能沒有)
(2)a. 在設備管理器中, 單擊“查看—顯示隱藏的設備”
b. 在設備樹結構中,打開“非即插即用設備”
c. 找到 “NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter”
d. 右點擊,”
卸載”
e. 重啟系統
(3)刪除:%windows%\System32\drivers\
npf.sys
(4)刪除%windows%\System32\msitinit.dll(有些電腦可能沒有)
(5)刪除注冊表服務項:開始〉運行〉regedit〉打開,進入注冊表,全注冊表搜索npf.sys,把文件所在文件夾Npf整個刪除.(應該有2個).至此arp病毒清除.
(6)根據經驗,該病毒會下載大量病毒,木馬及惡意軟件,并修改winsocks,導致不能打開網頁,不能打開netmeeting等,為此還需要做下面幾步工作:
a.用
殺毒軟件清理惡意軟件,木馬.
b.檢查并刪除下列文件并相關啟動項:
1)%windows%\System32\nwizwmgjs.exe(一般殺毒軟件會隔離)
2)%windows%\System32\nwizwmgjs.dll(一般殺毒軟件會隔離)
3)%windows%\System32\ravzt.exe(一般殺毒軟件會隔離)
4)%windows%\System32\ravzt.dat
3)%windows%\System32\googleon.exe
c.重置winsocks(可以用軟件修復,下面介紹一個比較簡單的辦法):
開始>運行>CMD,進入命令提示符,輸入cd..回車,一直退出至c盤根目錄,在C:>下輸入netsh winsock reset回車,然后按提示重啟計算機。
ARP攻擊時的主要現象
1、網上銀行、游戲及QQ賬號的頻繁丟失
一些人為了獲取非法利益,利用ARP欺騙程序在網內進行非法活動,此類程序的主要目的在于破解賬號登陸時的加密解密算法,通 過截取局域網中的數據包,然后以分析數據通訊協議的方法截獲用戶的信息。運行這類木馬病毒,就可以獲得整個局域網中上網用 戶賬號的詳細信息并盜取。
2、網速時快時慢,極其不穩定,但單機進行光纖數據測試時一切正常
當局域內的某臺計算機被ARP的欺騙程序非法侵入后,它就會持續地向網內所有的計算機及網絡設備發送大量的非法ARP欺騙數據包, 阻塞網絡通道,造成網絡設備的承載過重,導致網絡的通訊質量不穩定。
3、局域網內頻繁性區域或整體掉線,重啟計算機或網絡設備后恢復正常
當帶有ARP欺騙程序的計算機在網內進行通訊時,就會導致頻繁掉線,出現此類問題后重啟計算機或禁用網卡會暫時解決問題,但掉 線情況還會發生。
ARP病毒原理
1 網絡模型簡介
眾所周知,按照OSI (Open Systems Interconnection Reference Model
開放系統互聯參考模型) 的觀點,可將網絡系統劃分為7層結構,每一個層次上運行著不同的協議和服務,并且上下層之間互相配合,完成網絡數據交換的功能.
然而,OSI的模型僅僅是一個參考模型,并不是實際網絡中應用的模型。實際上應用最廣泛的商用
網絡模型即TCP/IP體系模型,將網絡劃分為四層,每一個層次上也運行著不同的協議和服務.
2 ARP協議簡介
我們大家都知道,在局域網中,一臺主機要和另一臺主機進行通信,必須要知道目標主機的IP地址,但是最終負責在局域網中傳送數據的網卡等物理設備是不識別IP地址的,只能識別其硬件地址即MAC地址。MAC地址是48位的,通常表示為12個16進制數,每2個16進制數之間用“-”或者冒號隔開,如:00-0B-2F-13-1A-11就是一個MAC地址。每一塊網卡都有其全球唯一的MAC地址,網卡之間發送數據,只能根據對方網卡的MAC地址進行發送,這時就需要一個將高層數據包中的IP地址轉換成低層MAC地址的協議,而這個重要的任務將由ARP協議完成。
ARP全稱為Address Resolution Protocol,
地址解析協議。所謂“地址解析”就是主機在發送數據包前將目標主機IP地址轉換成目標主機MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP地址,查詢目標設備的MAC地址,以保證通信的順利進行。 這時就涉及到一個問題,一個局域網中的電腦少則幾臺,多則上百臺,這么多的電腦之間,如何能準確的記住對方電腦網卡的MAC地址,以便數據的發送呢?這就涉及到了另外一個概念,ARP緩存表。在局域網的任何一臺主機中,都有一個ARP緩存表,該表中保存這網絡中各個電腦的IP地址和MAC地址的對照關系。當這臺主機向同局域網中另外的主機發送數據的時候,會根據ARP緩存表里的對應關系進行發送。
下面,我們用一個模擬的局域網環境,來說明ARP欺騙的過程。
3 ARP欺騙過程
假設一個只有三臺電腦組成的局域網,該局域網由交換機(Switch)連接。其中一個電腦名叫A,代表攻擊方;一臺電腦叫S,代表源主機,即發送數據的電腦;令一臺電腦名叫D,代表目的主機,即接收數據的電腦。這三臺電腦的IP地址分別為192.168.0.2,192.168.0.3,192.168.0.4。MAC地址分別為MAC_A,MAC_S,MAC_D。
現在,S電腦要給D電腦發送數據了,在S電腦內部,上層的TCP和UDP的數據包已經傳送到了最底層的網絡接口層,數據包即將要發送出去,但這時還不知道目的主機D電腦的MAC地址MAC_D。這時候,S電腦要先查詢自身的ARP緩存表,查看里面是否有192.168.0.4這臺電腦的MAC地址,如果有,那很好辦,就將 封裝在數據包的外面。直接發送出去即可。如果沒有,這時S電腦要向全網絡發送一個ARP廣播包,大聲詢問:“我的IP是192.168.0.3,硬件地址是MAC_S,我想知道IP地址為192.168.0.4的主機的硬件地址是多少?” 這時,全網絡的電腦都收到該ARP廣播包了,包括A電腦和D電腦。A電腦一看其要查詢的IP地址不是自己的,就將該數據包丟棄不予理會。而D電腦一看IP地址是自己的,則回答S電腦:“我的IP地址是192.168.0.4,我的硬件地址是MAC_D”需要注意的是,這條信息是單獨回答的,即D電腦單獨向S電腦發送的,并非剛才的廣播。現在S電腦已經知道目的電腦D的MAC地址了,它可以將要發送的數據包上貼上目的地址MAC_D,發送出去了。同時它還會動態更新自身的ARP緩存表,將192.168.0.4-MAC_D這一條記錄添加進去,這樣,等S電腦下次再給D電腦發送數據的時候,就不用大聲詢問發送ARP廣播包了。這就是正常情況下的數據包發送過程。
這樣的機制看上去很完美,似乎整個局域網也天下太平,相安無事。但是,上述數據發送機制有一個致命的缺陷,即它是建立在對局域網中電腦全部信任的基礎上的,也就是說它的假設前提是:無論局域網中那臺電腦,其發送的ARP數據包都是正確的。那么這樣就很危險了!因為局域網中并非所有的電腦都安分守己,往往有非法者的存在。比如在上述數據發送中,當S電腦向全網詢問“我想知道IP地址為192.168.0.4的主機的硬件地址是多少?”后,D電腦也回應了自己的正確MAC地址。但是當此時,一向沉默寡言的A電腦也回話了:“我的IP地址是192.168.0.4,我的硬件地址是MAC_A” ,注意,此時它竟然冒充自己是D電腦的IP地址,而MAC地址竟然寫成自己的!由于A電腦不停地發送這樣的應答數據包,本來S電腦的ARP緩存表中已經保存了正確的記錄:192.168.0.4-MAC_D,但是由于A電腦的不停應答,這時S電腦并不知道A電腦發送的數據包是偽造的,導致S電腦又重新動態更新自身的ARP緩存表,這回記錄成:192.168.0.4-MAC_A,很顯然,這是一個錯誤的記錄(這步也叫ARP緩存表中毒),這樣就導致以后凡是S電腦要發送給D電腦,也就是IP地址為192.168.0.4這臺主機的數據,都將會發送給MAC地址為MAC_A的主機,這樣,在光天化日之下,A電腦竟然劫持了由S電腦發送給D電腦的數據!這就是ARP欺騙的過程。
如果A這臺電腦再做的“過分”一些,它不冒充D電腦,而是冒充網關,那后果會怎么樣呢?我們大家都知道,如果一個局域網中的電腦要連接外網,也就是登陸互聯網的時候,都要經過局域網中的網關轉發一下,所有收發的數據都要先經過網關,再由網關發向互聯網。在局域網中,網關的IP地址一般為192.168.0.1。如果A這臺電腦向全網不停的發送ARP欺騙廣播,大聲說:“我的IP地址是192.168.0.1,我的硬件地址是MAC_A”這時局域網中的其它電腦并沒有察覺到什么,因為局域網通信的前提條件是信任任何電腦發送的ARP廣播包。這樣局域網中的其它電腦都會更新自身的ARP緩存表,記錄下192.168.0.1-MAC_A這樣的記錄,這樣,當它們發送給網關,也就是IP地址為192.168.0.1這臺電腦的數據,結果都會發送到MAC_A這臺電腦中!這樣,A電腦就將會監聽整個局域網發送給互聯網的數據包!
實際上,這種病毒早就出現過,這就是ARP地址欺騙類病毒。一些傳奇木馬(Trojan/PSW.LMir)具有這樣的特性,該木馬一般通過傳奇外掛、網頁木馬等方式使局域網中的某臺電腦中毒,這樣中毒電腦便可
嗅探到整個局域網發送的所有數據包,該木馬破解了《傳奇》游戲的數據包加密算法,通過截獲局域網中的數據包,分析數據包中的用戶隱私信息,盜取用戶的游戲帳號和密碼。在解析這些封包之后,再將它們發送到真正的網關。這樣的病毒有一個令網吧游戲玩家聞之色變的名字:“傳奇網吧殺手”
ARP病毒新的表現形式
由于現在的網絡游戲數據包在發送過程中,均已采用了強悍的加密算法,因此這類ARP病毒在解密數據包的時候遇到了很大的難度。現在又新出現了一種ARP病毒,與以前的一樣的是,該類ARP病毒也是向全網發送偽造的ARP欺騙廣播,自身偽裝成網關。但區別是,它著重的不是對網絡游戲數據包的解密,而是對于
HTTP請求訪問的修改。
HTTP是應用層的協議,主要是用于WEB網頁訪問。還是以上面的局域網環境舉例,如果局域網中一臺電腦S要請求某個網站頁面,如想請求easynet.5d6dcom這個網頁,這臺電腦會先向網關發送HTTP請求,說:“我想登陸easynet.5d6dcom網頁,請你將這個網頁下載下來,并發送給我。”這樣,網關就會將easynet.5d6dcom頁面下載下來,并發送給S電腦。這時,如果A這臺電腦通過向全網發送偽造的ARP欺騙廣播,自身偽裝成網關,成為一臺ARP中毒電腦的話,這樣當S電腦請求WEB網頁時,A電腦先是“好心好意”地將這個頁面下載下來,然后發送給S電腦,但是它在返回給S電腦時,會向其中插入惡意網址連接!該惡意網址連接會利用MS06-014和MS07-017等多種系統漏洞,向S電腦種植木馬病毒!同樣,如果D電腦也是請求WEB頁面訪問,A電腦同樣也會給D電腦返回帶毒的網頁,這樣,如果一個局域網中存在這樣的ARP病毒電腦的話,頃刻間,整個網段的電腦將會全部中毒!淪為黑客手中的僵尸電腦!
ARP病毒電腦定位方法
1 命令行法
這種方法比較簡便,不利用第三方工具,利用系統自帶的ARP命令即可完成。上文已經說過,當局域網中發生ARP欺騙的時候,ARP病毒電腦會向全網不停地發送ARP欺騙廣播,這時局域網中的其它電腦就會動態更新自身的ARP緩存表,將網關的MAC地址記錄成ARP病毒電腦的MAC地址,這時候我們只要在其它受影響的電腦中查詢一下當前網關的MAC地址,就知道中毒電腦的MAC地址了,查詢命令為 ARP -a,需要在cmd命令提示行下輸入。輸入后的返回信息如下:
Internet Address Physical Address Type
192.168.0.1 00-50-56-e6-49-56 dynamic
這時,由于這個電腦的ARP表是錯誤的記錄,因此,該MAC地址不是真正網關的MAC地址,而是中毒電腦的MAC地址!這時,再根據網絡正常時,全網的IP—MAC地址對照表,查找中毒電腦的IP地址就可以了。由此可見,在網絡正常的時候,保存一個全網電腦的IP—MAC地址對照表是多么的重要。可以使用nbtscan 工具掃描全網段的IP地址和MAC地址,保存下來,以備后用。
2 工具軟件法
現在網上有很多ARP病毒定位工具,其中做得較好的是Anti ARP Sniffer(現在已更名為ARP防火墻),下面我就演示一下使用Anti ARP Sniffer這個
工具軟件來定位ARP中毒電腦。
首先打開Anti ARP Sniffer 軟件,輸入網關的IP地址之后,再點擊紅色框內的“枚舉MAC”按鈕,即可獲得正確網關的MAC地址.
接著點擊“自動保護”按鈕,即可保護當前網卡與網關的正常通信。
當局域網中存在ARP欺騙時,該數據包會被Anti ARP Sniffer記錄,該軟件會以氣泡的形式報警。
這時,我們再根據欺騙機的MAC地址,對比查找全網的IP-MAC地址對照表,即可快速定位出中毒電腦。
3 Sniffer 抓包嗅探法
當局域網中有ARP病毒欺騙時,往往伴隨著大量的ARP欺騙廣播數據包,這時,流量檢測機制應該能夠很好的檢測出網絡的異常舉動,此時Ethereal 這樣的
抓包工具就能派上用場。
以上三種方法有時需要結合使用,互相印證,這樣可以快速準確的將ARP中毒電腦定位出來。
ARP病毒電腦查殺方法
較老類型的ARP病毒運行特征比較隱蔽,電腦中毒時并無明顯異常現象,這類病毒運行時自身無進程,通過注入到Explorer.exe進程來實現隱藏自身。其注冊表中的啟動項也很特殊,并非常規的Run鍵值加載,也不是服務加載,而是通過注冊表的
AppInit_DLLs 鍵值加載實現開機自啟動的,這一點比較隱蔽,因為正常的系統AppInit_DLLs鍵值是空的。也正由于這個特點,利用Autoruns這個工具軟件就可以快速掃描出病毒文件體。
ARP病毒文件主體,該文件雖然擴展名為log,看似很像是系統日志文件,但其實,它是一個不折不扣的病毒!除了Log形式的病毒文件,還有一些以Bmp作為擴展名的病毒文件,同樣,這些病毒文件也不是圖片文件,而是EXE格式的
可執行文件,在同目錄下還有同名的dll文件,這些都是病毒體。
%WinDir%\ KB*.log
或者
%WinDir%\ *.bmp
%WinDir%\同名.dll
如何區別正常的log日志文件,bmp圖片文件和病毒文件呢?其實很簡單,用
記事本程序打開該文件,查看其文件頭是否有“MZ”的標記即可,找到這些文件后,可以先清除注冊表中的相關鍵值,然后重啟系統到安全模式下,手動刪除文件即可。
對于最近多發的,修改WEB請求頁面的新型ARP病毒,則改變了病毒文件的表現形式,現對簡單,利用系統進程查看和啟動項查看注冊表的Run鍵值,可以明顯發現病毒的文件,另外,利用KV 的未知病毒掃描程序進行檢測,也是一個好辦法。
局域網ARP病毒通用的處理流程
1.先保證網絡正常運行
方法一:編輯個***.bat文件內容如下:
arp.exes
**.**.**.**(網關ip)****
**
**
**
**(
網關mac地址)
end
讓網絡用戶點擊就可以了!
辦法二:編輯一個注冊表問題,鍵值如下:
WindowsRegistryEditorVersion5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“mac”=“arps
網關IP地址網關Mac地址”
然后保存成Reg文件以后在每個客戶端上點擊導入注冊表。
2找到感染ARP病毒的機器。
a:在電腦上ping一下網關的IP地址,然后使用ARP-a的命令看得到的網關對應的MAC地址是否與實際情況相符,如不符,可去查找與該MAC地址對應的電腦。
b:使用抓包工具,分析所得到的ARP數據報。有些ARP病毒是會把通往網關的路徑指向自己,有些是發出虛假ARP回應包來混淆網絡通信。第一種處理比較容易,第二種處理比較困難,如果殺毒軟件不能正確識別病毒的話,往往需要手工查找感染病毒的電腦和手工處理病毒,比較困難。
c:使用mac地址掃描工具,nbtscan掃描全網段IP地址和MAC地址對應表,有助于判斷感染ARP病毒對應MAC地址和IP地址。
預防措施:
1,及時升級客戶端的操作系統和應用程式
補丁;
2,安裝和更新殺毒軟件。
4,如果網絡規模較少,盡量使用手動指定IP設置,而不是使用DHCP來分配IP地址。
5,如果交換機支持,在交換機上綁定MAC地址與IP地址。
ARP病毒的防范技巧
1、什么是ARP病毒
由于局域網在最初設計的時候沒有考慮安全的問題,所以存在很多漏洞,arp欺騙就是最常見的一種。
ARP欺騙分為二種,一種是對路由器ARP表的欺騙;另一種是對內網PC的網關欺騙。 第一種ARP欺騙的原理是——截獲網關數據。它通知路由器一系列錯誤的內網MAC地址,并按照一定的頻率不斷進行,使真實的地址信息無法通過更新保存在路由器中,結果路由器的所有數據只能發送給錯誤的MAC地址,造成正常PC無法收到信息。
第二種ARP欺騙的原理是——偽造網關。它的原理是建立假網關,讓被它欺騙的PC向假網關發數據,而不是通過正常的路由器途徑上網。在PC看來,就是上不了網了,“網絡掉線了”。
2、被攻擊表現
1、用戶頻繁斷網、上網時感覺網絡經常掉線,重新開機或修復本地連接(或先停用再啟用)后網絡恢
復正常但幾分鐘后網絡再次中斷,甚至客戶端無法登陸,但是在某一閑時或半夜某一人上網時自己可以上!
2、IE 瀏覽器在使用過程中頻繁出錯或自動關閉網頁。甚至只有發送沒有接收的數據包!
3、一些常用軟件經常出現故障或非正常自動關閉,但是在上網人數較少或某一時段正常的!
3、如何發現清除arp病毒
1 、檢查本機的“ ARP 欺騙”木馬染毒進程
點選“進程”標簽。察看其中是否有一個名為“ MIR0.dat ”的進程。如果有,則說明已經中毒。
右鍵點擊此進程后選擇“結束進程”。
2 、檢查網內感染“ ARP 欺騙”木馬染毒的計算機
1)在“開始” “運行”輸入cmd后確定。
2)在彈出的命令提示符框中輸入并執行以下命令ipconfig
3)記錄網關 IP 地址,即“ Default Gateway ”對應的值,例如“ 10.17.1.1”。
4)再輸入并執行 以下命令: arp –a
5)在“ Internet Address ”下找到上步記錄的網關 IP 地址,記錄其對應的物理地址,即“ Physical Address ”值,例如“ 00-05-e8-1f-35-54 ”。在網絡正常時這就是網關的正確物理地址,在網絡受“ ARP 欺騙”木馬影響而不正常時,它就是木馬所在計算機的網卡物理地址。
3、
靜態ARP綁定網關
步驟一:
在能正常上網時,進入MS-DOS窗口,輸入命令:arp -a,查看網關的IP對應的正確MAC地址, 并將其記錄下來。
注意:如果已經不 能上網則輸入一次命令arp -d將arp緩存中的內容刪空,計算機可暫時恢復上網(攻擊如果不停止的話)。一旦能上網就立即將網絡斷掉(禁用網卡或拔掉網線),再運行arp -a。
步驟二:
如果計算機已經有網關的正確MAC地址,而不能上網。只需手工將網關IP和正確的MAC地址綁定,即可確保計算機不再被欺騙攻擊。
要想手工綁定,可在MS-DOS窗口下運行以下命令:
arp -s 網關IP 網關MAC
例如:假設計算機所處網段的網關為10.17.1.1,本機地址為10.17.1.14,在計算機上運行arp -a后輸出如下:
Cocuments and Settings>arp -a
Inte##ce: 10.17.1.14 --- 0x2
Internet Address Physical Address Type
10.17.1.1 00-0f-e2-1c-a1-3a dynamic
其中,00-0f-e2-1c-a1-3a就是網關10.17.1.1對應的MAC地址,類型是動態(dynamic)的,因此是可被改變的。
被攻擊后,再用該命令查看,就會發現該MAC已經被替換成攻擊機器的MAC。如果希望能找出攻擊機器,徹底根除攻擊,可以在此時將該MAC記錄下來,為以后查找該攻擊的機器做準備。
手工綁定的命令為:
arp –s 10.17.1.1 00-0f-e2-1c-a1-3a
綁定完,可再用arp -a查看arp緩存:
Cocuments and Settings>arp -a
Inte##ce: 10.212.63.100 --- 0x2
Internet Address Physical Address Type
10.17.1.1 00-0f-e2-1c-a1-3a static
這時,類型變為靜態(static),就不會再受攻擊影響了。
但是,需要說明的是,手工綁定在計算機關機重啟后就會失效,需要再次重新綁定。所以,要徹底根除攻擊,只有找出網段內被病毒感染的計算機,把病毒殺掉,才算是真正解決問題。
4、下載arp防御軟件
1.
金山ARP防火墻beta。
雙向攔截ARP攻擊、支持Vista、初級用戶零設置+豐富的高級設置、安裝免重啟、低資源占用。
2. 360ARP防火墻
5、防范從我做起
1.查殺病毒和木馬。采用殺毒軟件(需更新至最新病毒庫)、采用最新木馬查殺軟件進行在安全模式下徹底查殺(計算機啟動時時按F8可進入安全模式)。
2.不使用不良網管軟件。
3.不使用軟件更改自己的mac地址。
4.發現別人惡意攻擊或有中毒跡象(例如發現arp攻擊地址為某臺計算機的mac地址),及時告知和制止。
6、有效認識ARP病毒
ARP病毒也叫ARP地址欺騙類病毒,這是一類特殊的病毒。該病毒一般屬于木馬病毒,不具備主動傳播的特性,不會自我復制,但是由于其發作的時候會向全網發送偽造的ARP數據包,嚴重干擾全網的正常運行,其危害甚至比一些蠕蟲病毒還要嚴重得多。
ARP病毒發作時,通常會造成網絡掉線,但網絡連接正常,內網的部分電腦不能上網,或者所有電腦均不能上網,無法打開網頁或打開網頁慢以及局域網連接時斷時續并且網速較慢等現象,嚴重影響到企業網絡、網吧、校園網絡等局域網的正常運行。