[分享]警惕ARP病毒导致无法上网
[这个贴子最后由zzj830925在 2006/12/05 10:11am 第 1 次编辑]
今天开机,上网后一会就发现速度变慢,看本地连接,数据包时断时续。奇怪了,昨天下午走得时候好好的啊,然后运行360安全卫士,没有发现问题,赛门铁克查杀,没有发现病毒(不过我没有全部查,那样太费时间,只是把系统文件夹windows,programes,还有平时装软件,下东西的盘扫描了)。
然后上百度搜索“数据包时断时续”,发现好多校园网(为什么都是校园网呢?。。。)都说可能是arp病毒发作导致。
于是,我就下载了一个 anti arp sniffer,运行后上网正常了,高兴,于是把心得写出来跟大家分享,病毒木马防不胜防,就像arp病毒,它感染一个用户就会影响局域网内一个号段的用户正常上网,偏偏一般的办法还解决不了(Symantec 12.2号的,不管用,唉)
下面是我在网上找到的: ARP是什么病毒?怎么查杀? 详细解释
先来了解一下ARP协议,有助知道什么是ARP病毒
在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下表所示。
主机 IP地址 MAC地址
A 192.168.16.1 aa-aa-aa-aa-aa-aa
B 192.168.16.2 bb-bb-bb-bb-bb-bb
C 192.168.16.3 cc-cc-cc-cc-cc-cc
D 192.168.16.4 dd-dd-dd-dd-dd-dd
我们以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗,A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-DD,于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么,嗅探成功。
出自重庆一中的解决方法:
------------------------------------------------------------------
一、故障现象及原因分析
情况一、当局域网内某台主机感染了ARP病毒时,会向本局域网内(指某一网段,比如:172.16.24.0这一段)所有主机发送ARP欺骗攻击,让原本流向网络中心的流量改道流向病毒主机,并通过病毒主机代理上网。因客户端具有防代理功能,造成受害者无法通过病毒主机上网。
由于病毒发作时发出大量数据包会将网络拥塞,大家会感觉上网速度越来越慢。中毒者同样如此,受其自身处理能力的限制,感觉运行速度很慢时,可能会采取重新启动或其他措施。此时病毒短时间停止工作,大家会感到网络恢复正常。如此反复,就造成网络时断时续。
情况二、局域网内有某些用户使用了ARP欺骗程序(如:网络执法官、网络剪刀手、传奇木马、QQ盗号软件等)发送ARP欺骗数据包,致使被攻击的电脑出现突然不能上网,过一段时间又能上网,反复掉线的现象。
二、故障诊断
如果用户发现以上疑似情况,可以通过如下操作进行诊断:
点击"开始"按钮->选择"运行"->输入"arp -d"->点击"确定"按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。
注:"arp -d"命令用于清除并重建本机arp表。"arp -d"命令并不能抵御ARP欺骗,执行后仍有可能再次遭受ARP攻击。
三、故障处理
1、中毒者:使用趋势科技ARP病毒专杀工具查杀病毒
ftp://nic.ccsu.cn/TSC.rar,下载后解压缩,运行包内TSC.exe文件,不要关让它一直运行完,最后查看report文档便知是否中毒。
2、被害者:使用AntiArp软件抵御ARP攻击。
ftp://nic.ccsu.cn/Antiarp.rar。下载后解压缩,运行AntiArp。输入本网段的网关ip地址后,点击"获取网关MAC地址",检查网关IP地址和MAC地址无误后,点击"自动保护"。
若不知道网关IP地址,可通过以下操作获取:点击"开始"按钮->选择"运行"->输入"cmd"点击"确定"->输入"ipconfig"按回车,"Default Gateway"后的IP地址就是网关地址。
AntiArp软件会在提示框内出现病毒主机的MAC地址。
[font=楷体_GB2312]ftp://nic.ccsu.cn/Antiarp.rar[/font][b]ftp://nic.ccsu.cn/Antiarp.rar[/b]
就是这个地址,用迅雷就可以下载。
