網站公告列表
加入收藏
設為首頁
聯系站長
您現在的位置: 福州電腦之家 >> 文章中心 >> 網絡安全 >> 正文
  [推薦]ARP病毒解決辦法         ★★★★ 【字體:
ARP病毒解決辦法
作者:Fzpchome    文章來源:本站原創    點擊數:    更新時間:2007-5-24
 

決戰ARP病毒arp -s 192.168.1.1 08-10-17-f8-6a-4b

從上周起,在單位上網時發生的怪事就一直困擾著我,起初以為是網絡不穩定才出現時斷時續的現象,并沒有引起我太大的注意,可事過兩天,該現象卻越來越嚴重,發生頻率也是越來越高,同時其他同事的電腦也是同樣無法正常上網,故障跟我的一模一樣,這引起了我的注意,于是決定把這個問題調查個水落石出。

初期的判斷主要是圍繞著我自己的電腦展開,在進行了查毒和系統的重裝后,竟然問題依舊,難道問題不是出在我這臺電腦上嗎?帶著問題我打開了百度的搜索網頁,查了一下網絡時斷時續的相關資料,果然這種現象是近期的一個熱點,原因是中了一種arp的木馬病毒,它的原理是將網關的MAC地址改寫,直接導致訪問網關的電腦無法正確找到網關設備,使網絡無法正確連接而造成網絡癱瘓。經過進一步調查發現,該木馬程序的出現是局域網內有人使用ARP欺騙的木馬程序(比如:傳奇盜號的軟件,某些傳奇外掛中也被惡意加載了此程序)。而現象卻是網絡內所有的電腦都無法正確訪問網關導致無法上網,所以單從自己的電腦發向去調查,肯定會是毫無收獲的,因為自己的電腦也只是受害電腦之一。

解決方案有兩種:
一是臨時應急型,可暫時解決不能上網的問題,而不是徹底清除病毒:只需使用Windows系統自帶的arp命令即可完成。方法如下:點擊開始,運行,輸入“arp -s 網關地址 網關MAC地址”,這樣即可使網關地址與真正的網關MAC地址綁定,使得局域網內病毒主機無法再進行干擾!但問題是此方法在計算機重啟后自動失效,想再次使用必須重復上述操作。
二是徹底清除型,此方法必須將網內受感染的病毒主機找出,若局域網只連幾臺電腦,則查找難度則很低,只要將病毒主機查出并殺毒即可解決問題。但局域網若是帶了幾十甚至幾百臺電腦主機時,查找的難度則會增加很多……

問題既然找出,下一步就要搜查病毒主機了。由于單位上網的小局域網內只連有五、六臺左右的電腦,這使查找難度降低很多。但也并非一帆風順,因為病毒主機偽裝的MAC地址并沒有使用它自己的網卡MAC地址,而是虛構了一個地址,這使我再次陷入迷茫!但后來在使用arp -a命令時發現總有一個IP地址會出現(此IP既不是我電腦的,也不是網關的),我由此懷疑這個IP地址就是一切故障的始作蛹者,于是我堅決地在集線器上找到了這個IP對應的網線并將之撥掉,果然在沒有這臺病毒主機干擾后,網絡終于恢復了正常。至此由該arp病毒引發的上網時斷時續問題隨著這臺病毒主機被抓出而劃上了完美的句號。

附:ARP相關資料及查找網關MAC地址的方法。

APR病毒,一種地址欺騙的病毒。

【故障原因】

  局域網內有人使用ARP欺騙的木馬程序。

【故障原理】

  要了解故障原理,我們先來了解一下ARP協議。 

  在局域網中,通過ARP協議來完成IP地址轉換為第二層物理地址(即MAC地址)的。ARP協議對網絡安全具有重要的意義。通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量使網絡阻塞。
  ARP協議是“Address Resolution Protocol”(地址解析協議)的縮寫。在局域網中,網絡中實際傳輸的是“幀”,幀里面是有目標主機的MAC地址的。在以太網中,一個主機要和另一個主機進行直接通信,必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢?它就是通過地址解析協議獲得的。所謂“地址解析”就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP地址,查詢目標設備的MAC地址,以保證通信的順利進行。
  每臺安裝有TCP/IP協議的電腦里都有一個ARP緩存表,表里的IP地址與MAC地址是一一對應的,如下表所示。
  主機 IP地址 MAC地址
  A 192.168.16.1 aa-aa-aa-aa-aa-aa
  B 192.168.16.2 bb-bb-bb-bb-bb-bb
  C 192.168.16.3 cc-cc-cc-cc-cc-cc
  D 192.168.16.4 dd-dd-dd-dd-dd-dd
  我們以主機A(192.168.16.1)向主機B(192.168.16.2)發送數據為例。當發送數據時,主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了,也就知道了目標MAC地址,直接把目標MAC地址寫入幀里面發送就可以了;如果在ARP緩存表中沒有找到相對應的IP地址,主機A就會在網絡上發送一個廣播,目標MAC地址是“FF.FF.FF.FF.FF.FF”,這表示向同一網段內的所有主機發出這樣的詢問:“192.168.16.2的MAC地址是什么?”網絡上其他主機并不響應ARP詢問,只有主機B接收到這個幀時,才向主機A做出這樣的回應:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。這樣,主機A就知道了主機B的MAC地址,它就可以向主機B發送信息了。同時它還更新了自己的ARP緩存表,下次再向主機B發送信息時,直接從ARP緩存表里查找就可以了。ARP緩存表采用了老化機制,在一段時間內如果表中的某一行沒有使用,就會被刪除,這樣可以大大減少ARP緩存表的長度,加快查詢速度。

[1] [2] [3] 下一頁


文章錄入:福州電腦之家    責任編輯:福州電腦之家 
  • 上一篇文章:

  • 下一篇文章:
  • 發表評論】【加入收藏】【告訴好友】【打印此文】【關閉窗口
    最新熱點 最新推薦 相關文章
    沒有相關文章
      網友評論:(只顯示最新10條。評論內容只代表網友觀點,與本站立場無關!)

    福州電腦之家版權所有 © 2006-2012 閩ICP備07018455號

    福建体彩36选7开奖