ARP欺騙木馬程序(病毒)的攻擊(ARP是「Address Resolution Protocol」「地址解析協議」的縮寫),病毒發作時其症狀表現為計算機網絡連接正常,卻打開網頁時斷時通;或由於ARP欺騙的木馬程序(病毒)發作時發出大量的數據包,導致用戶上網不穩定,極大地影響了用戶的正常使用,給網絡的安全帶來嚴重的隱患。
病毒原理
當局域網內某台主機運行ARP欺騙的木馬程序時,會欺騙局域網內所有主機和交換機,讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過交換機上網現在轉由通過病毒主機上網,切換的時候用戶會斷一次線。由於ARP欺騙的木馬程序發作的時候會發出大量的數據包導致局域網通訊擁塞以及其自身處理能力的限制,用戶會感覺上網速度越來越慢。當ARP欺騙的木馬程序停止運行時,用戶會恢復從交換機上網(此時交換機MAC地址表正常),切換過程中用戶會再斷一次線。該病毒發作時,僅影響同網段內機器的正常上網。
採取的措施
一、用戶要增強網絡安全意識,不要輕易下載、使用盜版和存在安全隱患的軟件;或瀏覽一些缺乏可信度的網站(網頁);不要隨便打開不明來歷的電子郵件,尤其是郵件附件;不要隨便共享文件和文件夾,即使要共享,也得設置好權限,一般指定特定帳號或特定機器才能訪問,另外不建議設置可寫或可控制,以免個人計算機受到木馬病毒的侵入給網絡的安全帶來隱患。
二、計算機用戶要及時下載和更新操作系統的補丁程序,安裝正版的殺毒軟件,增強個人計算機防禦計算機病毒的能力。
三、用戶檢查和處理「 ARP 欺騙」木馬的方法。
1、檢查本機是否中的「 ARP 欺騙」木馬染毒
同時按住鍵盤上的「 CTRL + ALT +DEL 」鍵,選擇「任務管理器」,點選「進程」標籤。查看其中是否有一個名為「 MIR0.dat 」之類的進程。如果有,則說明已經中毒,右鍵點擊此進程後選擇「結束進程」。
2、在受到ARP欺騙木馬程序(病毒)攻擊時,用戶可選擇下列方法的一種處理。
方法一:
下載Anti ARP Sniffer軟件保護本地計算機正常運行。同時把此軟件設為自動啟動,步驟:先把Antiarp.exe生成桌面快捷方式->選"開始"->"程序"->雙擊"啟動"->再把桌面上Antiarp.exe快捷鍵拷到"啟動"中,以保證下次開機自動運行,起到保護的作用。
方法二:
在「開始」 - 「程序」 - 「附件」菜單下調出「命令提示符」。輸入並執行以下命令:ipconfig
記錄網關 IP 地址,即「 Default Gateway 」對應的值,例如「 10.1.4.1 」。再輸入並執行以下命令:
arp ?Ca
在「 Internet Address 」下找到上步記錄的網關 IP 地址,記錄其對應的物理地址,即「 Physical Address 」值,例如「 00-e0-fc-0f-8f-4d」。在網絡正常時這就是網關的正確物理地址,在網絡受「 ARP 欺騙」木馬影響而不正常時,它就是木馬所在計算機的網卡物理地址。 也可以掃瞄本子網內的全部 IP 地址,然後再查 ARP 表。如果有一個 IP 對應的物理地址與網關的相同,那麼這個 IP 地址和物理地址就是中毒計算機的 IP 地址和網卡物理地址。 本方法可在一定程度上減輕中木馬的其它計算機對本機的影響。用上邊介紹的方法確定正確的網關 IP 地址和網關物理地址,然後在 「命令提示符」窗口中輸入並執行以下命令:
arp ?Cs 網關 IP 網關物理地址 。
方法三:(只適用時出現故障時的臨時解決辦法)
在「開始」 - 「程序」 - 「附件」菜單下調出「命令提示符」。輸入並執行以下命令:
arp -d
方法四:
局域網ARP攻擊免疫器,網上有得下。(1)將這裡面3個dll文件複製到windows/system32 裡面,將npf 這個文件複製到 windows/system32/drivers 裡面。(2)將這4個文件在安全屬性裡改成只讀。也就是不允許任何人修改。
四、以下程序帶有此類ARP病毒(傳奇殺手等),請不要使用:
傳奇2冰橙子1.44版
傳奇2及時雨PK版
"網吧傳奇殺手"的木馬軟件進行傳奇帳號和密碼的掃瞄
網絡執法官等類似程序
五、趨勢科技提供的ARP病毒清除工具