ARP病毒发起欺骗攻击处理方法

ARP病毒发起欺骗攻击解决方法 故障现象：机器以前可正常上网的， 突然出现可认证， 不能上网的现象（无法ping通网关）， 重启机器或在MSDOS窗口下运行命令ARP -d后， 又可恢复上网一段时间。 故障原因：这是APR病毒欺骗攻击造成的。 引起问题的原因一般是由传奇外挂携带的ARP木马攻击。 当在局域网内使用上述外挂时， 外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上， 向局域网内大量发送ARP包， 从而致使同一网段地址内的其它机器误将其作为网关， 这就是为什么掉线时内网是互通的， 计算机却不能上网的原因。 临时处理对策： 步骤一、在能上网时， 进入MS-DOS窗口， 输入命令：arp –a 查看网关IP对应的正确MAC地址， 将其记录下来。 注：如果已经不能上网， 则先运行一次命令arp –d将arp缓存中的内容删空， 计算机可暂时恢复上网（攻击如果不停止的话）， 一旦能上网就立即将网络断掉（禁用网卡或拔掉网线）， 再运行arp –a。 步骤二、如果已经有网关的正确MAC地址， 在不能上网时， 手工将网关IP和正确MAC绑定， 可确保计算机不再被攻击影响。 手工绑定可在MS-DOS窗口下运行以下命令： arp –s 网关IP 网关MAC 例如：假设计算机所处网段的网关为218.197.192.254， 本机地址为218.197.192.1在计算机上运行arp –a后输出如下： C:\Documents and Settings>arp -a Interface: 218.197.192.1 --- 0x2 Internet Address Physical Address Type 218.197.192.254 00-01-02-03-04-05 dynamic 其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址， 类型是动态（dynamic）的， 因此是可被改变。 被攻击后， 再用该命令查看， 就会发现该MAC已经被替换成攻击机器的MAC， 如果大家希望能找出攻击机器， 彻底根除攻击， 可以在此时将该MAC记录下来， 为以后查找做准备。 手工绑定的命令为： arp –s 218.197.192.254 00-01-02-03-04-05 绑定完， 可再用arp –a查看arp缓存： C:\Documents and Settings>arp -a Interface: 218.197.192.1 --- 0x2 Internet Address Physical Address Type 218.197.192.254 00-01-02-03-04-05 static 这时， 类型变为静态（static）， 就不会再受攻击影响了。 但是， 需要说明的是， 手工绑定在计算机关机重开机后就会失效， 需找出病毒计算机的方法： 如果已有病毒计算机的MAC地址， 可使用NBTSCAN软件找出网段内与该MAC地址对应的IP， 即病毒计算机的IP地址， 然后可报告校网络中心对其进行查封。 解决措施 NBTSCAN的使用方法： 下载nbtscan.rar到硬盘后解压， 然后将cygwin1.dll和nbtscan.exe两文件拷贝到c:\windows\system32(或system)下， 进入MSDOS窗口就可以输入命令：nbtscan -r 218.197.192.0/24 （假设本机所处的网段是218.197.192， 掩码是255.255.255.0；实际使用该命令时， 应将斜体字部分改为正确的网段）。 注：使用nbtscan时， 有时因为有些计算机安装防火墙软件， nbtscan的输出不全， 但在计算机的arp缓存中却能有所反应， 所以使用nbtscan时， 还可同时查看arp缓存， 就能得到比较完全的网段内计算机IP与MAC的对应关系。 补充一下： Anti ARP Sniffer 使用说明 一、功能说明： 使用Anti ARP Sniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包。 二、使用说明： 1、ARP欺骗： 填入网关IP地址， 点击［获取网关mac地址］将会显示出网关的MAC地址。 点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方**。 注意：如出现ARP欺骗提示， 这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包， 如果您想追踪攻击来源请记住攻击者的MAC地址， 利用MAC地址扫描器可以找出IP 对应的MAC地址。 2、IP地址冲突 首先点击“恢复默认”然后点击“防护地址冲突”。 如频繁的出现IP地址冲突， 这说明攻击者频繁发送ARP欺骗数据包， 才会出现IP冲突的警告， 利用Anti ARP Sniffer可以防止此类攻击。 首先您需要知道冲突的MAC地址， windows会记录这些错误。 查看具体方法如下： 右击[我的电脑]-->[管理]-->点击[事件查看器]-->点击[系统]-->查看来源为[TcpIP]--->双击事件可以看到显示地址发生冲突， 并记录了该MAC地址， 请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-)， 输入完成之后点击[防护地址冲突]， 为了使MAC地址生效请禁用本地网卡然后再启用网卡， 在CMD命令行中输入Ipconfig /all， 查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符， 如果更改失败请与我联系。 如果成功将不再会显示地址冲突。 注意：如果您想恢复默认MAC地址， 请点击[恢复默认]， 为了使MAC地址生效请禁用本地网卡然后再启用网卡。 要再绑定。 所以， 要彻底根除攻击， 只有找出网段内被病毒感染的计算机， 令其杀毒， 方可解决。 盈科卓越（www.idcjms.com）CDN系统的功能服务特点： 专业的CDN服务支撑系统， 提供完整及时的原始日志下载 强大的内容刷新系统， 支持web提交、API接口等多种方式实现内容实时同步 在保证源服务器的绝对安全 智能策略就近访问， 响应时间可提高5～10倍。 公司目前的客户包括私服发布网站， 大型门户网站， 漫画站以及国内著名的私服发布网站， 而这些网站正是风险性比较高的站点有兴趣的朋友可以联系本人讨论相关细节机房热线：0454-8578878 业务咨询 QQ:312248516

本文来自: 牛中国站长网(WwW.NB5.Cn) 详细出处参考：http://www.nb5.cn/viewthread.php?tid=279703&fromuid=0