亚洲在线观看免费_亚洲va天堂va国产va久_国产一区二区三区在线_91精品午夜视频

    近期，一種新型的“ ARP 欺騙”木馬病毒正在校園網中擴散，嚴重影響了校園網的正常運行。感染此木馬的計算機試圖通過“ ARP 欺騙”手段截獲所在網絡內其它計算機的通信信息，并因此造成網內其它計算機的通信故障。ARP欺騙木馬的中毒現象表現為：使用校園網時會突然掉線，過一段時間后又會恢復正常。比如客戶端狀態頻頻變紅，用戶頻繁斷網，IE瀏覽器頻繁出錯，以及一些常用軟件出現故障等。如果校園網是通過身份認證上網的，會突然出現可認證，但不能上網的現象（無法ping通網關），重啟機器或在MS-DOS窗口下運行命令arp -d后，又可恢復上網。ARP欺騙木馬十分猖狂，危害也特別大，各大學校園網、小區網、公司網和網吧等局域網都出現了不同程度的災情，帶來了網絡大面積癱瘓的嚴重后果。ARP欺騙木馬只需成功感染一臺電腦，就可能導致整個局域網都無法上網，嚴重的甚至可能帶來整個網絡的癱瘓。該木馬發作時除了會導致同一局域網內的其他用戶上網出現時斷時續的現象外，還會竊取用戶密碼。如盜取QQ密碼、盜取各種網絡游戲密碼和賬號去做金錢交易，盜竊網上銀行賬號來做非法交易活動等，這是木馬的慣用伎倆，給用戶造成了很大的不便和巨大的經濟損失。

 

  如何檢查和處理“ ARP 欺騙”木馬的方法
1 ．檢查本機的“ ARP 欺騙”木馬染毒進程

同時按住鍵盤上的“ CTRL ”和“ ALT ”鍵再按“ DEL ”鍵，選擇“任務管理器”，點選“進程”標簽。察看其中是否有一個名為“ MIR0.dat ”的進程。如果有，則說明已經中毒。右鍵點擊此進程后選擇“結束進程”。參見右圖。

 

2 ．檢查網內感染“ ARP 欺騙”木馬染毒的計算機
在“開始” - “程序” - “附件”菜單下調出“命令提示符”。輸入并執行以下命令：
ipconfig
記錄網關 IP 地址，即“ Default Gateway ”對應的值，例如“ 59.66.36.1 ”。再輸入并執行以下命令：
arp –a
在“ Internet Address ”下找到上步記錄的網關 IP 地址，記錄其對應的物理地址，即“ Physical Address ”值，例如“ 00-01-e8-1f-35-54 ”。在網絡正常時這就是網關的正確物理地址，在網絡受“ ARP 欺騙”木馬影響而不正常時，它就是木馬所在計算機的網卡物理地址。
也可以掃描本子網內的全部 IP 地址，然后再查 ARP 表。如果有一個 IP 對應的物理地址與網關的相同，那么這個 IP 地址和物理地址就是中毒計算機的 IP 地址和網卡物理地址。

 

3 ．設置 ARP 表避免“ ARP 欺騙”木馬影響的方法
本方法可在一定程度上減輕中木馬的其它計算機對本機的影響。用上邊介紹的方法確定正確的網關 IP 地址和網關物理地址，然后在 “命令提示符”窗口中輸入并執行以下命令：
arp –s 網關 IP 網關物理地址

 

4.態ARP綁定網關
  步驟一：
  在能正常上網時，進入MS-DOS窗口，輸入命令：arp －a，查看網關的IP對應的正確MAC地址， 并將其記錄下來。
  注意：如果已經不能上網，則先運行一次命令arp －d將arp緩存中的內容刪空，計算機可暫時恢復上網（攻擊如果不停止的話）。一旦能上網就立即將網絡斷掉（禁用網卡或拔掉網線），再運行arp －a。
  步驟二：
  如果計算機已經有網關的正確MAC地址，在不能上網只需手工將網關IP和正確的MAC地址綁定，即可確保計算機不再被欺騙攻擊。
  要想手工綁定，可在MS-DOS窗口下運行以下命令：
  arp －s 網關IP 網關MAC
  例如：假設計算機所處網段的網關為192.168.1.1，本機地址為192.168.1.5，在計算機上運行arp －a后輸出如下：
  Cocuments and Settings>arp -a
  Interface:192.168.1.5 --- 0x2
  Internet Address Physical Address Type
  192.168.1.1  00-01-02-03-04-05 dynamic
  其中，00-01-02-03-04-05就是網關192.168.1.1對應的MAC地址，類型是動態（dynamic）的，因此是可被改變的。
  被攻擊后，再用該命令查看，就會發現該MAC已經被替換成攻擊機器的MAC。如果希望能找出攻擊機器，徹底根除攻擊，可以在此時將該MAC記錄下來，為以后查找該攻擊的機器做準備。
  手工綁定的命令為：
  arp －s 192.168.1.1  00-01-02-03-04-05
  綁定完，可再用arp －a查看arp緩存：
  Cocuments and Settings>arp -a
  Interface: 192.168.1.5 --- 0x2
  Internet Address Physical Address Type
  192.168.1.1  00-01-02-03-04-05 static
  這時，類型變為靜態（static），就不會再受攻擊影響了。
  但是，需要說明的是，手工綁定在計算機關機重啟后就會失效，需要再次重新綁定。所以，要徹底根除攻擊，只有找出網段內被病毒感染的計算機，把病毒殺掉，才算是真正解決問題。

 

5 .作批處理文件
  在客戶端做對網關的arp綁定，具體操作步驟如下：
  步驟一：
  查找本網段的網關地址，比如192．168．1．1，以下以此網關為例。在正常上網時，“開始→運行→cmd→確定”，輸入：arp －a，點回車，查看網關對應的Physical Address。
比如：網關192.168.1.1 對應00－01－02－03－04－05。
  步驟二：
  編寫一個批處理文件rarp.bat，內容如下：
  @echo off
  arp －d
  arp -s  192.168.1.1  00－01－02－03－04－05
  保存為：rarp.bat。
  步驟三：
  運行批處理文件將這個批處理文件拖到“Windows→開始→程序→啟動”中，如果需要立即生效，請運行此文件。
  注意：以上配置需要在網絡正常時進行

 

6.使用安全工具軟件
  及時下載Anti ARP Sniffer軟件保護本地計算機正常運行。具體使用方法可以在網上搜索。
  如果已有病毒計算機的MAC地址，可使用NBTSCAN等軟件找出網段內與該MAC地址對應的IP，即感染病毒的計算機的IP地址，然后報告單位的網絡中心對其進行查封。
  或者利用單位提供的集中網絡防病毒系統來統一查殺木馬。另外還可以利用木馬殺客等安全工具進行查殺。

 

7.應急方案
  網絡管理管理人員利用上面介紹的ARP木馬檢測方法在局域網的交換機上查出受感染該病毒的端口后，立即關閉中病毒的端口，通過端口查出相應的用戶并通知其徹底查殺病毒。而后，做好單機防范，在其徹底查殺病毒后再開放相應的交換機端口，重新開通上網。
附錄一
清華大學校園網絡安全響應小組編的一個小程序
下載地址： ftp://166.111.8.243/tools/ArpFix.rar

清華大學校園網絡安全響應小組編了一個小程序，它可以保護您的計算機在同一個局域網內部有ARP欺騙木馬計算機的攻擊時，保持正常上網。具體使用方法：
1、 程序運行后請先選擇網卡，選定網卡后點擊“選定”按鈕。
2、 選定網卡后程序會自動獲取您機器的網關地址。
3、獲得網關地址后請點擊獲取MAC地址按鈕獲取正確的網關MAC地址。
4、 確認網關的MAC地址后請點擊連接保護，程序開始保護您的機器。
5、 點擊程序右上角的叉，程序自動隱藏到系統托盤內。
6、要完全退出程序請在系統托盤中該程序圖標上點擊右鍵選擇EXIT。
注意：
1、這個程序只是一個ARP攻擊保護程序，即受ARP木馬攻擊時保持自己計算機的MAC地址不被惡意篡改，從而在遭受攻擊時網絡不會中斷。本程序并不能清除已經感染的ARP木馬，要預防感染或殺除木馬請您安裝正版的殺毒軟件！

 

附錄二
Anti Arp Sniffer 的用法

下載地址：http://www.wipe.edu.cn/Files/wlzx/Antiarp.rar

雙擊Antiarp文件，出現圖二所示對話框。

 

圖二
輸入網關地址（網關地址獲取方式：［開始］ -->［程序］--> ［附件］菜單下調出“命令提示符”，輸入ipconfig，其中Default Gateway即為網關地址）；點擊獲取網關MAC地址，點擊自動防護保證當前網卡與網關的通信不被第三方監聽。
點擊恢復默認，然后點擊防止地址沖突，如頻繁的出現IP地址沖突，這說明攻擊者頻繁發送ARP欺騙數據包。

右擊［我的電腦］-->［管理］-->點擊［事件查看器］-->點擊［系統］-->查看來源為［TcpIP］--->雙擊事件可以看到顯示地址發生沖突，并記錄了該MAC地址，請復制該MAC地址并填入Anti ARP Sniffer的本地MAC地址輸入框中(請注意將:轉換為-)，輸入完成之后點擊［防護地址沖突］，為了使MAC地址生效請禁用本地網卡然后再啟用網卡，在CMD命令行中輸入Ipconfig /all，查看當前MAC地址是否與本地MAC地址輸入框中的MAC地址相符，如果成功將不再會顯示地址沖突。
注：1、如果您想恢復默認MAC地址,請點擊［恢復默認］,為了使MAC地址生效請禁用本地網卡然后再啟用網卡。