·故障现象
·解决思路
·解决方案
·专杀程序
·arp攻击时的主要现象
故障原因主要原因是在局域网中有人使用了arp欺骗的木马程序,比如一些盗号的软件。
传奇外挂携带的arp木马攻击,当局域网内使用外挂时,外挂携带的病毒会将该机器的mac地址映射到网关的ip地址上,向局域网内大量发送arp包,致同一网段地址内的其它机器误将其作为网关,掉线时内网是互通的,计算机却不能上网。方法是在能上网时,进入ms-dos窗口,输入命令:arp╟a查看网关ip对应的正确mac地址,将其记录,如果已不能上网,则先运行一次命令arp╟d将arp缓存中的内容删空,计算机可暂时恢复上网,一旦能上网就立即将网络断掉,禁用网卡或拔掉网线,再运行arp╟a。
如已有网关的正确mac地址,在不能上网时,手工将网关ip和正确mac绑定,可确保计算机不再被攻击影响。可在ms-dos窗口下运行以下命令:arp╟s网关ip网关mac。如被攻击,用该命令查看,会发现该mac已经被替换成攻击机器的mac,将该mac记录,以备查找。找出病毒计算机:如果已有病毒计算机的mac地址,可使用nbtscan软件找出网段内与该mac地址对应的ip,即病毒计算机的ip地址。
故障现象当局域网内有某台电脑运行了此类arp欺骗的木马的时候,其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。
切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。
由于arp欺骗的木马发作的时候会发出大量的数据包导致局域网通讯拥塞,用户会感觉上网速度越来越慢。当木马程序停止运行时,用户会恢复从路由器上网,切换中用户会再断一次线。
该机一开机上网就不断发arp欺骗报文,即以假冒的网卡物理地址向同一子网的其它机器发送arp报文,甚至假冒该子网网关物理地址蒙骗其它机器,使网内其它机器改经该病毒主机上网,这个由真网关向假网关切换的过程中其它机器会断一次网。倘若该病毒机器突然关机或离线,则其它机器又要重新搜索真网关,于是又会断一次网。所以会造成某一子网只要有一台或一台以上这样的病毒机器,就会使其他人上网断断续续,严重时将使整个网络瘫痪。这种病毒(木马)除了影响他人上网外,也以窃取病毒机器和同一子网内其它机器上的用户帐号和密码(如qq和网络游戏等的帐号和密码)为目的,而且它发的是arp报文,具有一定的隐秘性,如果占系统资源不是很大,又无防病毒软件监控,一般用户不易察觉。这种病毒开学初主要发生在学生宿舍,据最近调查,现在已经在向办公区域和教工住宅区域蔓延,而且呈越演越烈之势。
经抽样测试,学校提供的赛门铁克防病毒软件企业版10.0能有效查杀已知的arp欺骗病毒(木马)病毒。恶意软件由于国际上未有明确界定,目前暂无一款防病毒软件能提供100%杜绝其发作的解决方案,需要借助某些辅助工具进行清理。
解决思路不要把你的网络安全信任关系建立在ip基础上或mac基础上。
设置静态的mac-->ip对应表,不要让主机刷新你设定好的转换表。
除非必要,否则停止arp使用,把arp做为永久条目保存在对应表中。
使用arp服务器。确保这台arp服务器不被黑。
使用"proxy"代理ip传输。
使用硬件屏蔽主机。
定期用响应的ip包中获得一个rarp请求,检查arp响应的真实性。
定期轮询,检查主机上的arp缓存。
使用防火墙连续监控网络。
解决方案市面上有众多的arp防火墙推荐使用360
建议采用双向绑定解决和防止arp欺骗。在电脑上绑定路由器的ip和mac地址
首先,获得路由器的内网的mac地址(例如hiper网关地址192.168.16.254的mac地址为0022aa0022aa局域网端口mac地址>)。
编写一个批处理文件rarp.bat内容如下:
@echooff
arp-d
arp-s192.168.16.25400-22-aa-00-22-aa
将网关ip和mac更改为您自己的网关ip和mac即可,让这个文件开机运行(拖到“开始-程序-启动”)。
专杀程序运行环境:win9x/nt/2000/xp/2003
文件大小:2002k
授权方式:免费版
下载地址:http://www.011088.com/soft/showsoftdown.asp?urlid=1&softid=221
arp攻击时的主要现象1、网上银行、游戏及qq账号的频繁丢失
一些人为了获取非法利益,利用arp欺骗程序在网内进行非法活动,此类程序的主要目的在于破解账号登陆时的加密解密算法,通过截取局域网中的数据包,然后以分析数据通讯协议的方法截获用户的信息。运行这类木马病毒,就可以获得整个局域网中上网用户账号的详细信息并盗取。
2、网速时快时慢,极其不稳定,但单机进行光纤数据测试时一切正常
当局域内的某台计算机被arp的欺骗程序非法侵入后,它就会持续地向网内所有的计算机及网络设备发送大量的非法arp欺骗数据包,阻塞网络通道,造成网络设备的承载过重,导致网络的通讯质量不稳定。
3、局域网内频繁性区域或整体掉线,重启计算机或网络设备后恢复正常
当带有arp欺骗程序的计算机在网内进行通讯时,就会导致频繁掉线,出现此类问题后重启计算机或禁用网卡会暂时解决问题,但掉线情况还会发生。