Simonearp病毒攻击怎么办
的有关信息介绍如下:
arp病毒:
其实,ARP并不是某一种病毒的名称,而是对利用arp协议的漏洞进行传播的一类病毒的总称。arp协议是TCP/IP协议组的一个协议,能够把网络地址翻译成物理地址(又称MAC地址)。通常此类攻击的手段有两种:路由欺骗和网关欺骗。是一种入侵电脑的木马病毒。对电脑用户私密信息的威胁很大。
故障原因编辑
芝士回答,广版做权于必究,未经交许必可,不得转载
主要原因是在局域网中有人使用了ARP欺骗的木马程序,比如一些盗号的软件。
分体新原位百,领认具况省铁。
传奇外挂携带的ARP木马攻击,当局域网内使用外挂时,外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上,向局域网内大量发送ARP包,致同一网段地址内的其它机器误将其作为网关,掉线时内网是互通的,计算机却不能上网。方法是在能上网时,进入MS-DOS窗口,输入命令:arp –a查看网关IP对应的正确MAC地址,将其记录,如果已不能上网,则先运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网,一旦能上网就立即将网络断掉,禁用网卡或拔掉网线,再运行arp –a。
有而体本利少真,步院属。
如已有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。可在MS-DOS窗口下运行以下命令:arp –s 网关IP 网关MAC。如被攻击,用该命令查看,会发现该MAC已经被替换成攻击机器的MAC,将该MAC记录,以备查找。找出病毒计算机:如果已有病毒计算机的MAC地址,可使用NBTSCAN软件找出网段内与该MAC地址对应的IP,即病毒计算机的IP地址。
故障现象编辑
当局域网内有某台电脑运行了此类ARP欺骗的木马的时候,其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。
切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。
由于ARP欺骗的木马发作的时候会发出大量的数据包导致局域网通讯拥塞,用户会感觉上网速度越来越慢。当木马程序停止运行时,用户会恢复从路由器上网,切换中用户会再断一次线。
该机一开机上网就不断发Arp欺骗报文,即以假冒的网卡物理地址向同一子网的其它机器发送Arp报文,甚至假冒该子网网关物理地址蒙骗其它机器,使网内其它机器改经该病毒主机上网,这个由真网关向假网关切换的过程中其它机器会断一次网。倘若该病毒机器突然关机或离线,则其它机器又要重新搜索真网关,于是又会断一次网。所以会造成某一子网只要有一台或一台以上这样的病毒机器,就会使其他人上网断断续续,严重时将使整个网络瘫痪。这种病毒(木马)除了影响他人上网外,也以窃取病毒机器和同一子网内其它机器上的用户帐号和密码(如QQ和网络游戏等的帐号和密码)为目的,而且它发的是Arp报文,具有一定的隐秘性,如果占系统资源不是很大,又无防病毒软件监控,一般用户不易察觉。这种病毒开学初主要发生在学生宿舍,据最近调查,现在已经在向办公区域和教工住宅区域蔓延,而且呈越演越烈之势。
经抽样测试,学校提供的赛门铁克防病毒软件企业版10.0能有效查杀已知的Arp欺骗病毒(木马)病毒。恶意软件由于国际上未有明确界定,目前暂无一款防病毒软件能提供100%杜绝其发作的解决方案,需要借助某些辅助工具进行清理。
以上内容来源:百度百科
一个忠告:
平时注意修复漏洞(重要);及时升级杀毒软件。
不知上班的朋友是否有过这样的经历,尤其是单位用的是局域网,总是出现网络断一会通一会的现象。而且网速很慢,当你重起交换机等设备,或是重启电脑就好了,不过一会就又上不去了,很是烦人。但有的时候却能上去。其实,若不是网络或设备的问题。那就很可.能是受到了arp病毒的攻击所至。听起来很可怕,这种病毒很早以前就已经有了。它常随一些网游外挂被下载,然后攻击中毒机器所在的局域网,发送病毒数据包,使其他网内电脑不能上网。当出现以上现象时,分两种情况。当你网络正常时,你可在“开始”---“运行”中输入"cmd"命令。然后输入arp -a,列出IP地址和Mac地址对照表,这是所有与你的电脑有过通信的设备。必须有的就是网关IP和网关的Mac地址(因为局域网上.网是通过网关的,所以你必须是和网关通信的)。记录下来网关的Mac地址,这时是正确的地址。当你断网时,再次输入此.命令,这时查看此对照表发现,网关的Mac地址改变了。这就说明你受到了arp病毒的攻击,此Mac地址正是与你在同一网络内中arp病毒的电脑的网卡Mac地址。此时输入arp -d,再看网络发现又能上网了,这就说明是中招了。arp -d是清空arp表的命令。(是不是有些晕~~正常!!)我们之所以受到攻击时上不去网,是因为中毒的电脑会自动断断续续的向整个局域网内的其他电脑广发病毒包。该病毒包会使其他电脑误以为网关的Mac地址是中毒电脑的网卡Mac地址(因为网内电脑都.是通过网关连接到外网的),这时所有的电脑在收到病毒包后就都连接到中毒电脑(误以为是网关),当然就不能上网了。如果中毒电脑一直连在网络上,那么其他电脑就会一直受影响。或者在网络正常的时候利用btscan软件来扫描得到网内所有电脑的正确IP--Mac地址对照。当中毒时就能查出此电脑的IP地址了,一般来说大家都能根据IP找到电脑。如果不能做到这些,最简单最笨的办法就是,你可以在"运行"中,cmd后输入ipconfig -all来查看本台电脑的网卡信息,当中就有此网卡的Mac地址。因为网卡的IP地址可以改变,但Mac地址是出厂时就是唯一的。这样就可以查看电脑网卡的Mac地址,如果与所记录的中毒电脑相同,那么就是它了~~!!拔网线,杀毒吧。防止arp攻击,可以下载Anti ARP Sniffer(arp防火墙),来预防攻击。也可以在中毒时,对网关绑定其正确的Mac地址。可以用arp -s IP Mac来实现,这样就能够免受arp的欺骗正常上网了。不过开机就需要重新绑定,除非做成开机批处理。它与arp防火墙的原理是相同的。当然做根本的处理办法还是要从根上解决,就是找到中毒电脑,杀掉病毒。一些小小心得,希望对大家有所帮助,我也是初学不过现在转.行了,没有继续研究下去。
