arp病毒专杀
校园网各用户:
从去年六七月份开始在互联网上爆发一种新的“ARP欺骗”木马病毒,从开学以来网络中心每天接到大量用户反映上网故障的报修电话,经调查发现除因设备坏损引起大面积不能上网及个别用户电脑自身因其软硬件故障导致不能上网外,大部分故障均为ARP病毒所致。 鉴于最近校园网上ARP病毒频繁爆发,对用户正常使用网络造成很大影响,为了保证校园网络的安全畅通,现将有关事项公告如下:
一、故障现象及原因分析
情况一、当局域网内某台主机感染了ARP病毒时,会向本局域网内所有主机发送ARP欺骗攻击,让原本流向正确网关的流量改道流向病毒主机,从而造成受害者无法通过病毒主机上网。
由于病毒发作时发出大量数据包会将网络拥塞,大家会感觉上网速度越来越慢。中毒者同样如此,受其自身处理能力的限制,感觉运行速度很慢时,可能会采取重新启动或其他措施。此时病毒短时间停止工作,大家会感到网络恢复正常。如此反复,就造成网络时断时续。
情况二、局域网内有某些用户使用了ARP欺骗程序(如:网络执法官、网络剪刀手、传奇木马、QQ盗号软件等)发送ARP欺骗数据包,致使被攻击的电脑出现突然不能上网,过一段时间又能上网,反复掉线的现象。
病毒发作时其症状表现为计算机网络连接正常,能登陆成功却无法打开网页;或由于ARP欺骗的木马程序(病毒)发作时发出大量的数据包,导致网络运行不稳定,频繁断网、IE 浏览器频繁出错以及一些常用软件出现故障等问题
二、故障诊断
如果用户发现以上疑似情况,可以通过如下操作进行诊断:
点击"开始"按钮->选择"运行"->输入"arp -d"->点击"确定"按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。
注:"arp -d"命令用于清除并重建本机arp表。"arp -d"命令并不能抵御ARP欺骗,执行后仍有可能再次遭受ARP攻击。
三、故障处理
1、杀毒。
诺顿、卡巴斯基、瑞星等杀毒软件均可查杀此类病毒,注意:查杀病毒只能避免电脑主机成为ARP攻击方,并不能抵御ARP攻击。
2、请所有用户下载并使用趋势科技ARP病毒查找专杀工具(见附件),
使用方法:下载后解压缩,运行包内TSC.exe文件,不要关让它一直运行完,最后查看report文档便知是否中毒。运行完之后,请一定切记关闭此程序,以免影响他人。
3、使用AntiArp软件抵御ARP攻击。(见附件)
先查明本机的网关IP地址,可通过以下操作获取:点击“开始”按钮->选择“运行”->输入“cmd”点击“确定”->输入“ipconfig”按回车,“Default ateway”后的IP地址就是网关地址。
运行AntiArp,在管理右栏那“网关地址”里填入刚才查到的IP地址,然后点击“获取MAC”,检查网关IP地址和MAC地址无误后,点击“自动保护”。.
AntiArp软件会在提示框内出现病毒主机的MAC地址。
4、除用AntiArp软件外,也可以用arp命令抵御ARP攻击:
先打开命令提示符窗口(方法如上),然后用“arp –a”命令查出默认网关和mac地址
运行arp –a 命令后会得出类似如下列表
Internet Address Physical Address Type
10.0.0.1 00-e0-fc-22-ab-c2 dynamic
其中Internet Address就是默认网关,Physical Address就是mac地址
然后就用“arp -s 默认网关 mac地址”进行绑定
例如: arp –s 10.0.0.1 00-e0-fc-22-ab-c2
不过因为这重启机后是不起作用的,如需开机就自行绑定arp,则需利用bat处理文件
该bat文件写法如下:
@echo off
arp -d
arp -s 网关IP地址 网关MAC地址
然后再将该bat文件加入“启动”项,系统启动后会自动执行arp命令绑定网关。
四、管理措施
此类ARP攻击虽危害巨大,但由于攻击范围仅限本网段而难以监控,请广大用户积极配合,及时将有关情况通告网络信息中心。一旦确认攻击源,无论无意中毒或有意攻击,我中心将断开机主网络。