最近校园网络极度不稳定,经常会出现频繁掉线的情况,原因是受到arp欺骗攻击所导致,局域网里面的电脑中了病毒之后,不断向周围其他电脑发送欺骗数据包。所以要求所有用户对其电脑进行扫描,查杀病毒,发现仍然对周围电脑发送欺骗数据包的电脑,封停其账号,并通报批评。
1、解决办法:
查杀病毒,arp攻击是由Trojan.PSW类型木马程序引起的,所以一定要查杀病毒才能彻底的解决arp攻击问题,由于中毒机器会不断的发送数据包给周围电脑,所以要要求所有用户对其电脑进行病毒的查杀。
查杀病毒推荐使用最新的卡巴斯基2006,网管会FTP上提供下载,卡巴斯基文件夹里面两个都是卡巴斯基2006。安装之后点击自动更新,卡巴斯基更新病毒库,然后进安全模式下扫描电脑。
进入安全模式的方法是:重新启动-一直不停的点F8--出现windows选择界面----选择最上面的安全模式选项---进入安全模式
在安全模式下启动卡巴斯基,扫描电脑,病毒一般感染c盘的文件和D盘的文件,所以要全部扫描。扫描完毕之后处理就可以了。注意:有时候一遍难以清除所有病毒,可以多扫描几次以清除病毒,另外对江民以及瑞星以及其他杀毒软件的效果不太满意,推荐使用卡巴斯基。
2、暂时的防护方法
由于其他电脑的攻击使你掉线,你可以使用附件中的软件进行防护。附件一为防arp攻击工具,附件2为arp攻击保护神,附件3为设置本机设置防护arp攻击的方法,请大家下载察看。
(1)防arp攻击小工具使用方法:
查询网关地址:开始—运行—输入cmd—使用命令ipconfig/all--default gateway后面的一串字符就是网关地址。
查询MAC地址:开始—运行—输入cmd—使用命令ipconfig/all--- physics adress后面的一串字符就是MAC地址。
在输入了网关的地址后点击"获得网关MAC地址"。输入MAC地址之后点击防护地址冲突,最后点击"自动防护" 完成设置。
(2)arp保护神的使用方法:解压缩文件,然后将npf.sys这个文件复制到windows\system32\drivers里面,将其他3个dll文件复制到windows\system32里面。将这4个文件属性设为只读。也可以设定NTFS权限(安全)对当前用户或anyone禁止删除和修改。
(3)本机设置方法:见附件三
附:什么是ARP攻击
ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。
ARP原理:某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,当局域网中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答是B冒充C伪造来的,即IP地址为C的IP,而MAC地址是伪造的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C!这就是一个简单的ARP欺骗。
-------by 萝卜
【导读】局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和交换机,让所有上网的流量必须经过病毒主机,该病毒发作时,仅影响同网段内机器的正常上网,为此,特提醒用户务必采取以下措施。
近一段时间以来,校园网部分用户受到一种名为ARP欺骗木马程序(病毒)的攻击(ARP是“AddressResolutionProtocol”“地址解析协议”的缩写),病毒发作时其症状表现为计算机网络连接正常,却无法打开网页;或由于ARP欺骗的木马程序(病毒)发作时发出大量的数据包,导致校园网用户上网不稳定,极大地影响了校园网用户的正常使用,给整个校园网的安全带来严重的隐患。
该病毒原理:
当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和交换机,让所有上网的流量必须经过病毒主机。其他用户原来直接通过交换机上网现在转由通过病毒主机上网,切换的时候用户会断一次线。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从交换机上网(此时交换机MAC地址表正常),切换过程中用户会再断一次线。该病毒发作时,仅影响同网段内机器的正常上网。
为此,特提醒校园网用户务必采取以下措施。
一、校园网用户要增强网络安全意识,不要轻易下载、使用盗版和存在安全隐患的软件;或浏览一些缺乏可信度的网站(网页);不要随便打开不明来历的电子邮件,尤其是邮件附件;不要随便共享文件和文件夹,即使要共享,也得设置好权限,一般指定特定帐号或特定机器才能访问,另外不建议设置可写或可控制,以免个人计算机受到木马病毒的侵入给校园网的安全带来隐患。
二、校园网计算机用户要及时下载和更新操作系统的补丁程序,安装正版的杀毒软件,增强个人计算机防御计算机病毒的能力。
三、用户检查和处理“ARP欺骗”木马的方法。
检查本机的“ARP欺骗”木马染毒进程,同时按住键盘上的“CTRL”和“ALT”键再按“DEL”键,选择“任务管理器”,点选“进程”标签。察看其中是否有一个名为“MIR0.dat”之类的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。
在受到ARP欺骗木马程序(病毒)攻击时,用户可选择下列方法的一种处理。
方法一:下载AntiARPSniffer软件保护本地计算机正常运行(点击下载)。同时把此软件设为自动启动,步骤:先把Antiarp.exe生成桌面快捷方式->选"开始"->"程序"->双击"启动"->再把桌面上Antiarp.exe快捷键拷到"启动"中,以保证下次开机自动运行,起到保护的作用。
方法二:在“开始”-“程序”-“附件”菜单下调出“命令提示符”。输入并执行以下命令:ipconfig
记录网关IP地址,即“DefaultGateway”对应的值,例如“10.10.10.1”。再输入并执行以下命令:
arp–a
在“InternetAddress”下找到上步记录的网关IP地址,记录其对应的物理地址,即“PhysicalAddress”值,例如“00-01-e8-1f-35-54”。在网络正常时这就是网关的正确物理地址,在网络受“ARP欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。也可以扫描本子网内的全部IP地址,然后再查ARP表。如果有一个IP对应的物理地址与网关的相同,那么这个IP地址和物理地址就是中毒计算机的IP地址和网卡物理地址。本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关IP地址和网关物理地址,然后在“命令提示符”窗口中输入并执行以下命令:
arp–s网关IP网关物理地址。
方法三:局域网ARP攻击免疫器(点击下载)。(1)将这里面3个dll文件复制到windows\system32里面,将npf这个文件复制到windows\system32\drivers里面。(2)将这4个文件在安全属性里改成只读。也就是不允许任何人修改。
四、以下程序带有此类ARP病毒(传奇杀手等),请不要使用:
传奇2冰橙子1.44版
传奇2及时雨PK版
"网吧传奇杀手"的木马软件进行传奇帐号和密码的扫描
网络执法官等类似程序
五、若用户未按上述要求采取任何安全措施,导致个人计算机在校园网上发送大量的病毒数据包,影响了校园网的安全,我中心将采取有效措施令其离线杀毒。
By 油菜
