再发关于防范ARP病毒的公告

再发关于防范ARP病毒的公告。再发关于防范ARP病毒的公告

文章出处:作者:发布时间:2006-11-02

再发关于防范ARP病毒的公告。再发关于防范ARP病毒的公告。今年一种新的“ARP欺骗”木马病毒在互联网上扩散,我校校内也已发现多个楼栋感染此病毒,中毒用户会出现频繁断网的现象并导致其所属整个网段故障、 IE 浏览器频繁出错以及一些常用软件出现故障等问题。目前,已知传奇游戏的“传奇 2 冰橙子 1.14 ”和“及时雨 PK 破解版”两种外挂存在着这种木马。网络中心在今年六月份就发布过有关此病毒的公告。最近该病毒在校内蔓延较广,科技楼、文科楼、教二、草莓园八栋学生宿舍都发现此病毒,该病毒目前还无法用网络技术手段进行控制。

有上述故障现象的用户请将所在网段(校园网用户本机IP地址在点分十进制表示时的前三位即为所属网段)及时报告网络中心以利于我们尽快定位和排除故障。 为保证大多数人正常上网,本通知发出后,我中心将对感染该病毒并影响其它用户上网的计算机采取停止所在端口联网权限(2天以上直到查杀该病毒为止)的隔离措施。请用户互相转告。

再发关于防范ARP病毒的公告。一、故障原因及现象再发关于防范ARP病毒的公告。 局域网内有电脑使用ARP欺骗程序(比如:传奇、QQ盗号的软件等)发送ARP数据包,致使被攻击的电脑不能上网。 当局域网内某台电脑A向电脑B发送ARP欺骗数据包时,会欺骗电脑B将其通信的数据发向电脑A,电脑A通过对截获的数据进行分析,达到窃取数据的目的。 被ARP欺骗的电脑会出现突然不能上网,重新连接后又能上网,但过会还是掉线的反复现象。

二、故障诊断 如果用户发现突然不能上网,可以通过如下操作进行诊断: 点击“开始”按钮->选择“运行”->输入“arp -d”->点击“确定”按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。 “arp -d”命令能清除本机的arp表,arp表被清除后接着系统会自动重建新的arp表,“arp -d”命令并不能抵御ARP欺骗,执行“arp -d”命令后仍有可能再次遭受ARP攻击。

三、故障处理 1. 杀毒。 NOD32、卡巴斯基、瑞星等杀毒软件均可查杀此类病毒,注意:查杀病毒只能避免电脑主机成为ARP攻击方,并不能抵御ARP攻击。 ARP病毒专杀工具下载。(ftp://ftp.hbut.edu.cn/pub/Kill-arp.rar) 下载后解压缩,运行包内TSC.exe文件,不要关让它一直运行完,最后查看report文档便知是否中毒。

  1. 使用AntiArp软件抵御ARP攻击。 (下载AntiArp软件:ftp://ftp.hbut.edu.cn/pub/antiarp.exe) 先查明本机的网关IP地址,可通过以下操作获取:点击“开始”按钮->选择“运行”->输入“cmd”点击“确定”->输入“ipconfig”按回车,“Default ateway”后的IP地址就是网关地址。 运行AntiArp,在管理右栏那“网关地址”里填入刚才查到的IP地址,然后点击“获取MAC”,检查网关IP地址和MAC地址无误后,点击“自动保护”。
  2. 除用AntiArp软件外,也可以用arp命令抵御ARP攻击:

先打开命令提示符窗口,然后用“arp –a”命令查出默认网关和mac地址 运行arp –a 命令后会得出类似如下列表 Internet Address Physical Address Type 222.200.112.1 00-e0-fc-22-ab-c2 dynamic 其中Internet Address就是默认网关,Physical Address就是mac地址 然后就用“arp -s 默认网关 mac地址”进行绑定

例如: arp –s 222.200.112.1 00-e0-fc-22-ab-c2 不过因为这重启机后是不起作用的,如需开机就自行绑定arp,则需利用bat处理文件 该bat文件写法如下:

@echo off arp -d arp -s 网关IP地址 网关MAC地址

然后再将该bat文件加入“启动”项,系统启动后会自动执行arp命令绑定网关。

附录一 Anti Arp Sniffer 的用法

双击Anti Arp图表,出现图二所示对话框。

图片 1

本文由金沙贵宾会手机版发布于糖果人游戏,转载请注明出处:再发关于防范ARP病毒的公告

您可能还会对下面的文章感兴趣: