特级一级毛片视频免费观看,成人影片亚区免费无码,免费国产污网站在线观看不要卡,国产69精品久久久久妇女,色综合久久中文字幕综合网

　　

故障原因

　　主要原因是在局域網(wǎng)中有人使用了ARP欺騙的木馬程序,比如一些盜號的軟件。 　　傳奇外掛攜帶的ARP木馬攻擊,當局域網(wǎng)內使用外掛時(shí)，外掛攜帶的病毒會(huì )將該機器的MAC地址映射到網(wǎng)關(guān)的IP地址上，向局域網(wǎng)內大量發(fā)送ARP包，致同一網(wǎng)段地址內的其它機器誤將其作為網(wǎng)關(guān)，掉線(xiàn)時(shí)內網(wǎng)是互通的，計算機卻不能上網(wǎng)。方法是在能上網(wǎng)時(shí)，進(jìn)入MS-DOS窗口，輸入命令：arp –a查看網(wǎng)關(guān)IP對應的正確MAC地址，將其記錄，如果已不能上網(wǎng)，則先運行一次命令arp –d將arp緩存中的內容刪空，計算機可暫時(shí)恢復上網(wǎng)，一旦能上網(wǎng)就立即將網(wǎng)絡(luò )斷掉，禁用網(wǎng)卡或拔掉網(wǎng)線(xiàn)，再運行arp –a。 　　如已有網(wǎng)關(guān)的正確MAC地址，在不能上網(wǎng)時(shí)，手工將網(wǎng)關(guān)IP和正確MAC綁定，可確保計算機不再被攻擊影響�？稍贛S-DOS窗口下運行以下命令：arp –s 網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC。如被攻擊，用該命令查看，會(huì )發(fā)現該MAC已經(jīng)被替換成攻擊機器的MAC，將該MAC記錄，以備查找。找出病毒計算機：如果已有病毒計算機的MAC地址，可使用NBTSCAN軟件找出網(wǎng)段內與該MAC地址對應的IP，即病毒計算機的IP地址。

故障現象

　　當局域網(wǎng)內有某臺電腦運行了此類(lèi)ARP欺騙的木馬的時(shí)候，其他用戶(hù)原來(lái)直接通過(guò)路由器上網(wǎng)現在轉由通過(guò)病毒主機上網(wǎng)，切換的時(shí)候用戶(hù)會(huì )斷一次線(xiàn)。 　　切換到病毒主機上網(wǎng)后，如果用戶(hù)已經(jīng)登陸了傳奇服務(wù)器，那么病毒主機就會(huì )經(jīng)常偽造斷線(xiàn)的假像，那么用戶(hù)就得重新登錄傳奇服務(wù)器，這樣病毒主機就可以盜號了。 　　由于A(yíng)RP欺騙的木馬發(fā)作的時(shí)候會(huì )發(fā)出大量的數據包導致局域網(wǎng)通訊擁塞，用戶(hù)會(huì )感覺(jué)上網(wǎng)速度越來(lái)越慢。當木馬程序停止運行時(shí)，用戶(hù)會(huì )恢復從路由器上網(wǎng)，切換中用戶(hù)會(huì )再斷一次線(xiàn)。 　　該機一開(kāi)機上網(wǎng)就不斷發(fā)Arp欺騙報文，即以假冒的網(wǎng)卡物理地址向同一子網(wǎng)的其它機器發(fā)送Arp報文，甚至假冒該子網(wǎng)網(wǎng)關(guān)物理地址蒙騙其它機器，使網(wǎng)內其它機器改經(jīng)該病毒主機上網(wǎng)，這個(gè)由真網(wǎng)關(guān)向假網(wǎng)關(guān)切換的過(guò)程中其它機器會(huì )斷一次網(wǎng)。倘若該病毒機器突然關(guān)機或離線(xiàn)，則其它機器又要重新搜索真網(wǎng)關(guān)，于是又會(huì )斷一次網(wǎng)。所以會(huì )造成某一子網(wǎng)只要有一臺或一臺以上這樣的病毒機器，就會(huì )使其他人上網(wǎng)斷斷續續，嚴重時(shí)將使整個(gè)網(wǎng)絡(luò )癱瘓。這種病毒（木馬）除了影響他人上網(wǎng)外，也以竊取病毒機器和同一子網(wǎng)內其它機器上的用戶(hù)帳號和密碼（如QQ和網(wǎng)絡(luò )游戲等的帳號和密碼）為目的，而且它發(fā)的是Arp報文，具有一定的隱秘性，如果占系統資源不是很大，又無(wú)防病毒軟件監控，一般用戶(hù)不易察覺(jué)。這種病毒開(kāi)學(xué)初主要發(fā)生在學(xué)生宿舍，據最近調查，現在已經(jīng)在向辦公區域和教工住宅區域蔓延，而且呈越演越烈之勢。 　　經(jīng)抽樣測試，學(xué)校提供的賽門(mén)鐵克防病毒軟件企業(yè)版10.0能有效查殺已知的Arp欺騙病毒（木馬）病毒。惡意軟件由于國際上未有明確界定，目前暫無(wú)一款防病毒軟件能提供100%杜絕其發(fā)作的解決方案，需要借助某些輔助工具進(jìn)行清理。

解決思路

　　不要把你的網(wǎng)絡(luò )安全信任關(guān)系建立在IP基礎上或MAC基礎上。 　　設置靜態(tài)的MAC-->IP對應表，不要讓主機刷新你設定好的轉換表。 　　除非必要，否則停止ARP使用，把ARP做為永久條目保存在對應表中。 　　使用ARP服務(wù)器。確保這臺ARP服務(wù)器不被黑。 　　使用"proxy"代理IP傳輸。 　　使用硬件屏蔽主機。 　　定期用響應的IP包中獲得一個(gè)rarp請求，檢查ARP響應的真實(shí)性。 　　定期輪詢(xún)，檢查主機上的ARP緩存。 　　使用防火墻連續監控網(wǎng)絡(luò )。

解決方案

　　一般出現局域網(wǎng) 　　網(wǎng)吧用戶(hù)一般可以用ROS路由進(jìn)行綁定，在主機上安裝上ARP防火墻服務(wù)端，客戶(hù)機安裝客戶(hù)端，雙相綁定比較安全。 　　軟件百度搜索下 　　推薦軟件：http://wwwantiarpcom/down.asp?ArticleID=81 　　市面上有眾多的ARP防火墻 推薦使用360 　　建議采用雙向綁定解決和防止ARP欺騙。在電腦上綁定路由器的IP和MAC地址 　　首先，獲得路由器的內網(wǎng)的MAC地址（例如HiPER網(wǎng)關(guān)地址192.168.16.254的MAC地址為0022aa0022aa局域網(wǎng)端口MAC地址>）。 　　編寫(xiě)一個(gè)批處理文件rarp.bat內容如下： 　　@echo off 　　arp -d 　　arp -s 192.168.16.254 00-22-aa-00-22-aa 　　將網(wǎng)關(guān)IP和MAC更改為您自己的網(wǎng)關(guān)IP和MAC即可，讓這個(gè)文件開(kāi)機運行(拖到“開(kāi)始-程序-啟動(dòng)”)。 　　自己手動(dòng)清除病毒： 　　1、立即升級操作系統中的防病毒軟件和防火墻，同時(shí)打開(kāi)“實(shí)時(shí)監控”功能，實(shí)時(shí)地攔截來(lái)自局域網(wǎng)絡(luò )上的各種ARP病毒變種。 　　2、立即根據自己的操作系統版本下載微軟MS06-014和MS07-017兩個(gè)系統漏洞補丁程序，將補丁程序安裝到局域網(wǎng)絡(luò )中存在這兩個(gè)漏洞的計算機系統中，防止病毒變種的感染和傳播。 　　3、檢查是否已經(jīng)中毒： 　　a. 在設備管理器中, 單擊“查看—顯示隱藏的設備” 　　b. 在設備樹(shù)結構中,打開(kāi)“非即插即用設備” 　　c. 查找是否存在：“NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter”，如果存在，就表明已經(jīng)中毒。 　　4、對沒(méi)有中毒機器，可以下載軟件Anti ARP Sniffer，填入網(wǎng)關(guān)，啟用自動(dòng)防護，保護自己的ip地址以及網(wǎng)關(guān)地址，保證正常上網(wǎng)。 　　5、對已經(jīng)中毒電腦可以用以下方法手動(dòng)清除病毒： 　　(1)刪除:%windows%\System32\LOADHW.EXE (有些電腦可能沒(méi)有) 　　(2)a. 在設備管理器中, 單擊“查看—顯示隱藏的設備” 　　b. 在設備樹(shù)結構中,打開(kāi)“非即插即用設備” 　　c. 找到 “NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter” 　　d. 右點(diǎn)擊，”卸載” 　　e. 重啟系統 　　(3)刪除:%windows%\System32\drivers\npf.sys 　　(4)刪除%windows%\System32\msitinit.dll(有些電腦可能沒(méi)有) 　　(5)刪除注冊表服務(wù)項:開(kāi)始〉運行〉regedit〉打開(kāi)，進(jìn)入注冊表，全注冊表搜索npf.sys，把文件所在文件夾Npf整個(gè)刪除.(應該有2個(gè)).至此arp病毒清除. 　　(6)根據經(jīng)驗,該病毒會(huì )下載大量病毒,木馬及惡意軟件,并修改winsocks,導致不能打開(kāi)網(wǎng)頁(yè),不能打開(kāi)netmeeting等,為此還需要做下面幾步工作: 　　a.用殺毒軟件清理惡意軟件,木馬. 　　b.檢查并刪除下列文件并相關(guān)啟動(dòng)項: 　　1)%windows%\System32\nwizwmgjs.exe(一般殺毒軟件會(huì )隔離) 　　2)%windows%\System32\nwizwmgjs.dll(一般殺毒軟件會(huì )隔離) 　　3)%windows%\System32\ravzt.exe(一般殺毒軟件會(huì )隔離) 　　4)%windows%\System32\ravzt.dat 　　3)%windows%\System32\googleon.exe 　　c.重置winsocks(可以用軟件修復,下面介紹一個(gè)比較簡(jiǎn)單的辦法): 　　開(kāi)始>運行>CMD,進(jìn)入命令提示符,輸入cd..回車(chē),一直退出至c盤(pán)根目錄,在C:>下輸入netsh winsock reset回車(chē),然后按提示重啟計算機。

ARP攻擊時(shí)的主要現象

　　1、網(wǎng)上銀行、游戲及QQ賬號的頻繁丟失 　　一些人為了獲取非法利益，利用ARP欺騙程序在網(wǎng)內進(jìn)行非法活動(dòng)，此類(lèi)程序的主要目的在于破解賬號登陸時(shí)的加密解密算法，通 過(guò)截取局域網(wǎng)中的數據包，然后以分析數據通訊協(xié)議的方法截獲用戶(hù)的信息。運行這類(lèi)木馬病毒，就可以獲得整個(gè)局域網(wǎng)中上網(wǎng)用 戶(hù)賬號的詳細信息并盜取。 　　2、網(wǎng)速時(shí)快時(shí)慢，極其不穩定，但單機進(jìn)行光纖數據測試時(shí)一切正常 　　當局域內的某臺計算機被ARP的欺騙程序非法侵入后，它就會(huì )持續地向網(wǎng)內所有的計算機及網(wǎng)絡(luò )設備發(fā)送大量的非法ARP欺騙數據包， 阻塞網(wǎng)絡(luò )通道，造成網(wǎng)絡(luò )設備的承載過(guò)重，導致網(wǎng)絡(luò )的通訊質(zhì)量不穩定。 　　3、局域網(wǎng)內頻繁性區域或整體掉線(xiàn)，重啟計算機或網(wǎng)絡(luò )設備后恢復正常 　　當帶有ARP欺騙程序的計算機在網(wǎng)內進(jìn)行通訊時(shí)，就會(huì )導致頻繁掉線(xiàn)，出現此類(lèi)問(wèn)題后重啟計算機或禁用網(wǎng)卡會(huì )暫時(shí)解決問(wèn)題，但掉 線(xiàn)情況還會(huì )發(fā)生。

ARP病毒原理

1 網(wǎng)絡(luò )模型簡(jiǎn)介

　　眾所周知，按照OSI (Open Systems Interconnection Reference Model 開(kāi)放系統互聯(lián)參考模型) 的觀(guān)點(diǎn)，可將網(wǎng)絡(luò )系統劃分為7層結構，每一個(gè)層次上運行著(zhù)不同的協(xié)議和服務(wù)，并且上下層之間互相配合，完成網(wǎng)絡(luò )數據交換的功能. 　　然而，OSI的模型僅僅是一個(gè)參考模型，并不是實(shí)際網(wǎng)絡(luò )中應用的模型。實(shí)際上應用最廣泛的商用網(wǎng)絡(luò )模型即TCP/IP體系模型，將網(wǎng)絡(luò )劃分為四層，每一個(gè)層次上也運行著(zhù)不同的協(xié)議和服務(wù).

2 ARP協(xié)議簡(jiǎn)介

　　我們大家都知道，在局域網(wǎng)中，一臺主機要和另一臺主機進(jìn)行通信，必須要知道目標主機的IP地址，但是最終負責在局域網(wǎng)中傳送數據的網(wǎng)卡等物理設備是不識別IP地址的，只能識別其硬件地址即MAC地址。MAC地址是48位的，通常表示為12個(gè)16進(jìn)制數，每2個(gè)16進(jìn)制數之間用“-”或者冒號隔開(kāi)，如：00-0B-2F-13-1A-11就是一個(gè)MAC地址。每一塊網(wǎng)卡都有其全球唯一的MAC地址，網(wǎng)卡之間發(fā)送數據，只能根據對方網(wǎng)卡的MAC地址進(jìn)行發(fā)送，這時(shí)就需要一個(gè)將高層數據包中的IP地址轉換成低層MAC地址的協(xié)議，而這個(gè)重要的任務(wù)將由ARP協(xié)議完成。 　　ARP全稱(chēng)為Address Resolution Protocol，地址解析協(xié)議。所謂“地址解析”就是主機在發(fā)送數據包前將目標主機IP地址轉換成目標主機MAC地址的過(guò)程。ARP協(xié)議的基本功能就是通過(guò)目標設備的IP地址，查詢(xún)目標設備的MAC地址，以保證通信的順利進(jìn)行。 這時(shí)就涉及到一個(gè)問(wèn)題，一個(gè)局域網(wǎng)中的電腦少則幾臺，多則上百臺，這么多的電腦之間，如何能準確的記住對方電腦網(wǎng)卡的MAC地址，以便數據的發(fā)送呢？這就涉及到了另外一個(gè)概念，ARP緩存表。在局域網(wǎng)的任何一臺主機中，都有一個(gè)ARP緩存表，該表中保存這網(wǎng)絡(luò )中各個(gè)電腦的IP地址和MAC地址的對照關(guān)系。當這臺主機向同局域網(wǎng)中另外的主機發(fā)送數據的時(shí)候，會(huì )根據ARP緩存表里的對應關(guān)系進(jìn)行發(fā)送。 　　下面，我們用一個(gè)模擬的局域網(wǎng)環(huán)境，來(lái)說(shuō)明ARP欺騙的過(guò)程。

3 ARP欺騙過(guò)程

　　假設一個(gè)只有三臺電腦組成的局域網(wǎng)，該局域網(wǎng)由交換機(Switch)連接。其中一個(gè)電腦名叫A，代表攻擊方；一臺電腦叫S，代表源主機，即發(fā)送數據的電腦；令一臺電腦名叫D，代表目的主機，即接收數據的電腦。這三臺電腦的IP地址分別為192.168.0.2，192.168.0.3，192.168.0.4。MAC地址分別為MAC_A，MAC_S，MAC_D。 　　現在，S電腦要給D電腦發(fā)送數據了，在S電腦內部，上層的TCP和UDP的數據包已經(jīng)傳送到了最底層的網(wǎng)絡(luò )接口層，數據包即將要發(fā)送出去，但這時(shí)還不知道目的主機D電腦的MAC地址MAC_D。這時(shí)候，S電腦要先查詢(xún)自身的ARP緩存表，查看里面是否有192.168.0.4這臺電腦的MAC地址，如果有，那很好辦，就將 封裝在數據包的外面。直接發(fā)送出去即可。如果沒(méi)有，這時(shí)S電腦要向全網(wǎng)絡(luò )發(fā)送一個(gè)ARP廣播包，大聲詢(xún)問(wèn)：“我的IP是192.168.0.3，硬件地址是MAC_S，我想知道IP地址為192.168.0.4的主機的硬件地址是多少？” 這時(shí)，全網(wǎng)絡(luò )的電腦都收到該ARP廣播包了，包括A電腦和D電腦。A電腦一看其要查詢(xún)的IP地址不是自己的，就將該數據包丟棄不予理會(huì )。而D電腦一看IP地址是自己的，則回答S電腦：“我的IP地址是192.168.0.4，我的硬件地址是MAC_D”需要注意的是，這條信息是單獨回答的，即D電腦單獨向S電腦發(fā)送的，并非剛才的廣播�，F在S電腦已經(jīng)知道目的電腦D的MAC地址了，它可以將要發(fā)送的數據包上貼上目的地址MAC_D，發(fā)送出去了。同時(shí)它還會(huì )動(dòng)態(tài)更新自身的ARP緩存表，將192.168.0.4－MAC_D這一條記錄添加進(jìn)去，這樣，等S電腦下次再給D電腦發(fā)送數據的時(shí)候，就不用大聲詢(xún)問(wèn)發(fā)送ARP廣播包了。這就是正常情況下的數據包發(fā)送過(guò)程。 　　這樣的機制看上去很完美，似乎整個(gè)局域網(wǎng)也天下太平，相安無(wú)事。但是，上述數據發(fā)送機制有一個(gè)致命的缺陷，即它是建立在對局域網(wǎng)中電腦全部信任的基礎上的，也就是說(shuō)它的假設前提是：無(wú)論局域網(wǎng)中那臺電腦，其發(fā)送的ARP數據包都是正確的。那么這樣就很危險了！因為局域網(wǎng)中并非所有的電腦都安分守己，往往有非法者的存在。比如在上述數據發(fā)送中，當S電腦向全網(wǎng)詢(xún)問(wèn)“我想知道IP地址為192.168.0.4的主機的硬件地址是多少？”后，D電腦也回應了自己的正確MAC地址。但是當此時(shí)，一向沉默寡言的A電腦也回話(huà)了：“我的IP地址是192.168.0.4，我的硬件地址是MAC_A” ，注意，此時(shí)它竟然冒充自己是D電腦的IP地址，而MAC地址竟然寫(xiě)成自己的！由于A(yíng)電腦不停地發(fā)送這樣的應答數據包，本來(lái)S電腦的ARP緩存表中已經(jīng)保存了正確的記錄：192.168.0.4－MAC_D，但是由于A(yíng)電腦的不停應答，這時(shí)S電腦并不知道A電腦發(fā)送的數據包是偽造的，導致S電腦又重新動(dòng)態(tài)更新自身的ARP緩存表，這回記錄成：192.168.0.4－MAC_A，很顯然，這是一個(gè)錯誤的記錄（這步也叫ARP緩存表中毒），這樣就導致以后凡是S電腦要發(fā)送給D電腦，也就是IP地址為192.168.0.4這臺主機的數據，都將會(huì )發(fā)送給MAC地址為MAC_A的主機，這樣，在光天化日之下，A電腦竟然劫持了由S電腦發(fā)送給D電腦的數據！這就是ARP欺騙的過(guò)程。 　　如果A這臺電腦再做的“過(guò)分”一些，它不冒充D電腦，而是冒充網(wǎng)關(guān)，那后果會(huì )怎么樣呢？我們大家都知道，如果一個(gè)局域網(wǎng)中的電腦要連接外網(wǎng)，也就是登陸互聯(lián)網(wǎng)的時(shí)候，都要經(jīng)過(guò)局域網(wǎng)中的網(wǎng)關(guān)轉發(fā)一下，所有收發(fā)的數據都要先經(jīng)過(guò)網(wǎng)關(guān)，再由網(wǎng)關(guān)發(fā)向互聯(lián)網(wǎng)。在局域網(wǎng)中，網(wǎng)關(guān)的IP地址一般為192.168.0.1。如果A這臺電腦向全網(wǎng)不停的發(fā)送ARP欺騙廣播，大聲說(shuō)：“我的IP地址是192.168.0.1，我的硬件地址是MAC_A”這時(shí)局域網(wǎng)中的其它電腦并沒(méi)有察覺(jué)到什么，因為局域網(wǎng)通信的前提條件是信任任何電腦發(fā)送的ARP廣播包。這樣局域網(wǎng)中的其它電腦都會(huì )更新自身的ARP緩存表，記錄下192.168.0.1－MAC_A這樣的記錄，這樣，當它們發(fā)送給網(wǎng)關(guān)，也就是IP地址為192.168.0.1這臺電腦的數據，結果都會(huì )發(fā)送到MAC_A這臺電腦中！這樣，A電腦就將會(huì )監聽(tīng)整個(gè)局域網(wǎng)發(fā)送給互聯(lián)網(wǎng)的數據包！ 　　實(shí)際上，這種病毒早就出現過(guò)，這就是ARP地址欺騙類(lèi)病毒。一些傳奇木馬（Trojan/PSW.LMir）具有這樣的特性，該木馬一般通過(guò)傳奇外掛、網(wǎng)頁(yè)木馬等方式使局域網(wǎng)中的某臺電腦中毒，這樣中毒電腦便可嗅探到整個(gè)局域網(wǎng)發(fā)送的所有數據包，該木馬破解了《傳奇》游戲的數據包加密算法，通過(guò)截獲局域網(wǎng)中的數據包，分析數據包中的用戶(hù)隱私信息，盜取用戶(hù)的游戲帳號和密碼。在解析這些封包之后，再將它們發(fā)送到真正的網(wǎng)關(guān)。這樣的病毒有一個(gè)令網(wǎng)吧游戲玩家聞之色變的名字：“傳奇網(wǎng)吧殺手”

ARP病毒新的表現形式

　　由于現在的網(wǎng)絡(luò )游戲數據包在發(fā)送過(guò)程中，均已采用了強悍的加密算法，因此這類(lèi)ARP病毒在解密數據包的時(shí)候遇到了很大的難度�，F在又新出現了一種ARP病毒，與以前的一樣的是，該類(lèi)ARP病毒也是向全網(wǎng)發(fā)送偽造的ARP欺騙廣播，自身偽裝成網(wǎng)關(guān)。但區別是，它著(zhù)重的不是對網(wǎng)絡(luò )游戲數據包的解密，而是對于HTTP請求訪(fǎng)問(wèn)的修改。 　　HTTP是應用層的協(xié)議，主要是用于WEB網(wǎng)頁(yè)訪(fǎng)問(wèn)。還是以上面的局域網(wǎng)環(huán)境舉例，如果局域網(wǎng)中一臺電腦S要請求某個(gè)網(wǎng)站頁(yè)面，如想請求easynet.5d6dcom這個(gè)網(wǎng)頁(yè)，這臺電腦會(huì )先向網(wǎng)關(guān)發(fā)送HTTP請求，說(shuō)：“我想登陸easynet.5d6dcom網(wǎng)頁(yè)，請你將這個(gè)網(wǎng)頁(yè)下載下來(lái)，并發(fā)送給我�！边@樣，網(wǎng)關(guān)就會(huì )將easynet.5d6dcom頁(yè)面下載下來(lái)，并發(fā)送給S電腦。這時(shí)，如果A這臺電腦通過(guò)向全網(wǎng)發(fā)送偽造的ARP欺騙廣播，自身偽裝成網(wǎng)關(guān)，成為一臺ARP中毒電腦的話(huà)，這樣當S電腦請求WEB網(wǎng)頁(yè)時(shí)，A電腦先是“好心好意”地將這個(gè)頁(yè)面下載下來(lái)，然后發(fā)送給S電腦，但是它在返回給S電腦時(shí)，會(huì )向其中插入惡意網(wǎng)址連接！該惡意網(wǎng)址連接會(huì )利用MS06-014和MS07-017等多種系統漏洞，向S電腦種植木馬病毒！同樣，如果D電腦也是請求WEB頁(yè)面訪(fǎng)問(wèn)，A電腦同樣也會(huì )給D電腦返回帶毒的網(wǎng)頁(yè)，這樣，如果一個(gè)局域網(wǎng)中存在這樣的ARP病毒電腦的話(huà)，頃刻間，整個(gè)網(wǎng)段的電腦將會(huì )全部中毒！淪為黑客手中的僵尸電腦！

ARP病毒電腦定位方法

1 命令行法

　　這種方法比較簡(jiǎn)便，不利用第三方工具，利用系統自帶的ARP命令即可完成。上文已經(jīng)說(shuō)過(guò)，當局域網(wǎng)中發(fā)生ARP欺騙的時(shí)候，ARP病毒電腦會(huì )向全網(wǎng)不停地發(fā)送ARP欺騙廣播，這時(shí)局域網(wǎng)中的其它電腦就會(huì )動(dòng)態(tài)更新自身的ARP緩存表，將網(wǎng)關(guān)的MAC地址記錄成ARP病毒電腦的MAC地址，這時(shí)候我們只要在其它受影響的電腦中查詢(xún)一下當前網(wǎng)關(guān)的MAC地址，就知道中毒電腦的MAC地址了，查詢(xún)命令為 ARP －a，需要在cmd命令提示行下輸入。輸入后的返回信息如下： 　　Internet Address Physical Address Type 　　192.168.0.1 00-50-56-e6-49-56 dynamic 　　這時(shí)，由于這個(gè)電腦的ARP表是錯誤的記錄，因此，該MAC地址不是真正網(wǎng)關(guān)的MAC地址，而是中毒電腦的MAC地址！這時(shí)，再根據網(wǎng)絡(luò )正常時(shí)，全網(wǎng)的IP—MAC地址對照表，查找中毒電腦的IP地址就可以了。由此可見(jiàn)，在網(wǎng)絡(luò )正常的時(shí)候，保存一個(gè)全網(wǎng)電腦的IP—MAC地址對照表是多么的重要�？梢允褂胣btscan 工具掃描全網(wǎng)段的IP地址和MAC地址，保存下來(lái)，以備后用。

2 工具軟件法

　　現在網(wǎng)上有很多ARP病毒定位工具，其中做得較好的是Anti ARP Sniffer（現在已更名為ARP防火墻），下面我就演示一下使用Anti ARP Sniffer這個(gè)工具軟件來(lái)定位ARP中毒電腦。 　　首先打開(kāi)Anti ARP Sniffer 軟件，輸入網(wǎng)關(guān)的IP地址之后，再點(diǎn)擊紅色框內的“枚舉MAC”按鈕，即可獲得正確網(wǎng)關(guān)的MAC地址. 　　接著(zhù)點(diǎn)擊“自動(dòng)保護”按鈕，即可保護當前網(wǎng)卡與網(wǎng)關(guān)的正常通信。 　　當局域網(wǎng)中存在A(yíng)RP欺騙時(shí)，該數據包會(huì )被Anti ARP Sniffer記錄，該軟件會(huì )以氣泡的形式報警。 　　這時(shí)，我們再根據欺騙機的MAC地址，對比查找全網(wǎng)的IP－MAC地址對照表，即可快速定位出中毒電腦。

3 Sniffer 抓包嗅探法

　　當局域網(wǎng)中有ARP病毒欺騙時(shí)，往往伴隨著(zhù)大量的ARP欺騙廣播數據包，這時(shí)，流量檢測機制應該能夠很好的檢測出網(wǎng)絡(luò )的異常舉動(dòng)，此時(shí)Ethereal 這樣的抓包工具就能派上用場(chǎng)。 　　以上三種方法有時(shí)需要結合使用，互相印證，這樣可以快速準確的將ARP中毒電腦定位出來(lái)。

ARP病毒電腦查殺方法

　　較老類(lèi)型的ARP病毒運行特征比較隱蔽，電腦中毒時(shí)并無(wú)明顯異�，F象，這類(lèi)病毒運行時(shí)自身無(wú)進(jìn)程，通過(guò)注入到Explorer.exe進(jìn)程來(lái)實(shí)現隱藏自身。其注冊表中的啟動(dòng)項也很特殊，并非常規的Run鍵值加載，也不是服務(wù)加載，而是通過(guò)注冊表的AppInit_DLLs 鍵值加載實(shí)現開(kāi)機自啟動(dòng)的，這一點(diǎn)比較隱蔽，因為正常的系統AppInit_DLLs鍵值是空的。也正由于這個(gè)特點(diǎn)，利用Autoruns這個(gè)工具軟件就可以快速掃描出病毒文件體。 　　ARP病毒文件主體，該文件雖然擴展名為log，看似很像是系統日志文件，但其實(shí)，它是一個(gè)不折不扣的病毒！除了Log形式的病毒文件，還有一些以Bmp作為擴展名的病毒文件，同樣，這些病毒文件也不是圖片文件，而是EXE格式的可執行文件，在同目錄下還有同名的dll文件，這些都是病毒體。 　　%WinDir%\ KB*.log 　　或者 　　%WinDir%\ *.bmp 　　%WinDir%\同名.dll 　　如何區別正常的log日志文件，bmp圖片文件和病毒文件呢？其實(shí)很簡(jiǎn)單，用記事本程序打開(kāi)該文件，查看其文件頭是否有“MZ”的標記即可，找到這些文件后，可以先清除注冊表中的相關(guān)鍵值，然后重啟系統到安全模式下，手動(dòng)刪除文件即可。 　　對于最近多發(fā)的，修改WEB請求頁(yè)面的新型ARP病毒，則改變了病毒文件的表現形式，現對簡(jiǎn)單，利用系統進(jìn)程查看和啟動(dòng)項查看注冊表的Run鍵值，可以明顯發(fā)現病毒的文件，另外，利用KV 的未知病毒掃描程序進(jìn)行檢測，也是一個(gè)好辦法。 　　局域網(wǎng)ARP病毒通用的處理流程 　　1.先保證網(wǎng)絡(luò )正常運行 　　方法一：編輯個(gè)***.bat文件內容如下： 　　arp.exes 　　**.**.**.**（網(wǎng)關(guān)ip）**** 　　** 　　** 　　** 　　**（ 　　網(wǎng)關(guān)mac地址） 　　end 　　讓網(wǎng)絡(luò )用戶(hù)點(diǎn)擊就可以了! 　　辦法二：編輯一個(gè)注冊表問(wèn)題，鍵值如下： 　　WindowsRegistryEditorVersion5.00 　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 　　“mac”=“arps 　　網(wǎng)關(guān)IP地址網(wǎng)關(guān)Mac地址” 　　然后保存成Reg文件以后在每個(gè)客戶(hù)端上點(diǎn)擊導入注冊表。 　　2找到感染ARP病毒的機器。 　　a：在電腦上ping一下網(wǎng)關(guān)的IP地址，然后使用ARP－a的命令看得到的網(wǎng)關(guān)對應的MAC地址是否與實(shí)際情況相符，如不符，可去查找與該MAC地址對應的電腦。 　　b：使用抓包工具，分析所得到的ARP數據報。有些ARP病毒是會(huì )把通往網(wǎng)關(guān)的路徑指向自己，有些是發(fā)出虛假ARP回應包來(lái)混淆網(wǎng)絡(luò )通信。第一種處理比較容易，第二種處理比較困難，如果殺毒軟件不能正確識別病毒的話(huà)，往往需要手工查找感染病毒的電腦和手工處理病毒，比較困難。 　　c：使用mac地址掃描工具，nbtscan掃描全網(wǎng)段IP地址和MAC地址對應表，有助于判斷感染ARP病毒對應MAC地址和IP地址。 　　預防措施： 　　1，及時(shí)升級客戶(hù)端的操作系統和應用程式補丁； 　　2，安裝和更新殺毒軟件。 　　4，如果網(wǎng)絡(luò )規模較少，盡量使用手動(dòng)指定IP設置，而不是使用DHCP來(lái)分配IP地址。 　　5，如果交換機支持，在交換機上綁定MAC地址與IP地址。

ARP病毒的防范技巧

1、什么是ARP病毒

　　由于局域網(wǎng)在最初設計的時(shí)候沒(méi)有考慮安全的問(wèn)題，所以存在很多漏洞，arp欺騙就是最常見(jiàn)的一種。 　　ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對內網(wǎng)PC的網(wǎng)關(guān)欺騙。 第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數據。它通知路由器一系列錯誤的內網(wǎng)MAC地址，并按照一定的頻率不斷進(jìn)行，使真實(shí)的地址信息無(wú)法通過(guò)更新保存在路由器中，結果路由器的所有數據只能發(fā)送給錯誤的MAC地址，造成正常PC無(wú)法收到信息。 　　第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數據，而不是通過(guò)正常的路由器途徑上網(wǎng)。在PC看來(lái)，就是上不了網(wǎng)了，“網(wǎng)絡(luò )掉線(xiàn)了”。

2、被攻擊表現

　　1、用戶(hù)頻繁斷網(wǎng)、上網(wǎng)時(shí)感覺(jué)網(wǎng)絡(luò )經(jīng)常掉線(xiàn)，重新開(kāi)機或修復本地連接（或先停用再啟用）后網(wǎng)絡(luò )恢 　　復正常但幾分鐘后網(wǎng)絡(luò )再次中斷，甚至客戶(hù)端無(wú)法登陸，但是在某一閑時(shí)或半夜某一人上網(wǎng)時(shí)自己可以上！ 　　2、IE 瀏覽器在使用過(guò)程中頻繁出錯或自動(dòng)關(guān)閉網(wǎng)頁(yè)。甚至只有發(fā)送沒(méi)有接收的數據包！ 　　3、一些常用軟件經(jīng)常出現故障或非正常自動(dòng)關(guān)閉，但是在上網(wǎng)人數較少或某一時(shí)段正常的！

3、如何發(fā)現清除arp病毒

　　1 、檢查本機的“ ARP 欺騙”木馬染毒進(jìn)程 　　點(diǎn)選“進(jìn)程”標簽。察看其中是否有一個(gè)名為“ MIR0.dat ”的進(jìn)程。如果有，則說(shuō)明已經(jīng)中毒。 　　右鍵點(diǎn)擊此進(jìn)程后選擇“結束進(jìn)程”。 　　2 、檢查網(wǎng)內感染“ ARP 欺騙”木馬染毒的計算機 　　1）在“開(kāi)始” “運行”輸入cmd后確定。 　　2）在彈出的命令提示符框中輸入并執行以下命令ipconfig 　　3）記錄網(wǎng)關(guān) IP 地址，即“ Default Gateway ”對應的值，例如“ 10.17.1.1”。 　　4）再輸入并執行 以下命令： arp –a 　　5）在“ Internet Address ”下找到上步記錄的網(wǎng)關(guān) IP 地址，記錄其對應的物理地址，即“ Physical Address ”值，例如“ 00-05-e8-1f-35-54 ”。在網(wǎng)絡(luò )正常時(shí)這就是網(wǎng)關(guān)的正確物理地址，在網(wǎng)絡(luò )受“ ARP 欺騙”木馬影響而不正常時(shí)，它就是木馬所在計算機的網(wǎng)卡物理地址。 　　3、靜態(tài)ARP綁定網(wǎng)關(guān) 　　步驟一： 　　在能正常上網(wǎng)時(shí)，進(jìn)入MS-DOS窗口，輸入命令：arp －a，查看網(wǎng)關(guān)的IP對應的正確MAC地址， 并將其記錄下來(lái)。 　　注意：如果已經(jīng)不 能上網(wǎng)則輸入一次命令arp －d將arp緩存中的內容刪空，計算機可暫時(shí)恢復上網(wǎng)（攻擊如果不停止的話(huà)）。一旦能上網(wǎng)就立即將網(wǎng)絡(luò )斷掉（禁用網(wǎng)卡或拔掉網(wǎng)線(xiàn)），再運行arp －a。 　　步驟二： 　　如果計算機已經(jīng)有網(wǎng)關(guān)的正確MAC地址，而不能上網(wǎng)。只需手工將網(wǎng)關(guān)IP和正確的MAC地址綁定，即可確保計算機不再被欺騙攻擊。 　　要想手工綁定，可在MS-DOS窗口下運行以下命令： 　　arp －s 網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC 　　例如：假設計算機所處網(wǎng)段的網(wǎng)關(guān)為10.17.1.1，本機地址為10.17.1.14，在計算機上運行arp －a后輸出如下： 　　Cocuments and Settings>arp -a 　　Inte##ce: 10.17.1.14 --- 0x2 　　Internet Address Physical Address Type 　　10.17.1.1 00-0f-e2-1c-a1-3a dynamic 　　其中，00-0f-e2-1c-a1-3a就是網(wǎng)關(guān)10.17.1.1對應的MAC地址，類(lèi)型是動(dòng)態(tài)（dynamic）的，因此是可被改變的。 　　被攻擊后，再用該命令查看，就會(huì )發(fā)現該MAC已經(jīng)被替換成攻擊機器的MAC。如果希望能找出攻擊機器，徹底根除攻擊，可以在此時(shí)將該MAC記錄下來(lái)，為以后查找該攻擊的機器做準備。 　　手工綁定的命令為： 　　arp –s 10.17.1.1 00-0f-e2-1c-a1-3a 　　綁定完，可再用arp －a查看arp緩存： 　　Cocuments and Settings>arp -a 　　Inte##ce: 10.212.63.100 --- 0x2 　　Internet Address Physical Address Type 　　10.17.1.1 00-0f-e2-1c-a1-3a static 　　這時(shí)，類(lèi)型變?yōu)殪o態(tài)（static），就不會(huì )再受攻擊影響了。 　　但是，需要說(shuō)明的是，手工綁定在計算機關(guān)機重啟后就會(huì )失效，需要再次重新綁定。所以，要徹底根除攻擊，只有找出網(wǎng)段內被病毒感染的計算機，把病毒殺掉，才算是真正解決問(wèn)題。

4、下載arp防御軟件

　　1. 金山ARP防火墻beta。 　　雙向攔截ARP攻擊、支持Vista、初級用戶(hù)零設置+豐富的高級設置、安裝免重啟、低資源占用。 　　2. 360ARP防火墻

5、防范從我做起

　　1.查殺病毒和木馬。采用殺毒軟件（需更新至最新病毒庫）、采用最新木馬查殺軟件進(jìn)行在安全模式下徹底查殺（計算機啟動(dòng)時(shí)時(shí)按F8可進(jìn)入安全模式）。 　　2.不使用不良網(wǎng)管軟件。 　　3.不使用軟件更改自己的mac地址。 　　4.發(fā)現別人惡意攻擊或有中毒跡象（例如發(fā)現arp攻擊地址為某臺計算機的mac地址），及時(shí)告知和制止。

6、有效認識ARP病毒

　　ARP病毒也叫ARP地址欺騙類(lèi)病毒，這是一類(lèi)特殊的病毒。該病毒一般屬于木馬病毒，不具備主動(dòng)傳播的特性，不會(huì )自我復制，但是由于其發(fā)作的時(shí)候會(huì )向全網(wǎng)發(fā)送偽造的ARP數據包，嚴重干擾全網(wǎng)的正常運行，其危害甚至比一些蠕蟲(chóng)病毒還要嚴重得多。 　　ARP病毒發(fā)作時(shí)，通常會(huì )造成網(wǎng)絡(luò )掉線(xiàn)，但網(wǎng)絡(luò )連接正常，內網(wǎng)的部分電腦不能上網(wǎng)，或者所有電腦均不能上網(wǎng)，無(wú)法打開(kāi)網(wǎng)頁(yè)或打開(kāi)網(wǎng)頁(yè)慢以及局域網(wǎng)連接時(shí)斷時(shí)續并且網(wǎng)速較慢等現象，嚴重影響到企業(yè)網(wǎng)絡(luò )、網(wǎng)吧、校園網(wǎng)絡(luò )等局域網(wǎng)的正常運行。