<button id="imseu"></button>
<rt id="imseu"></rt>
<li id="imseu"><source id="imseu"></source></li>
<button id="imseu"><input id="imseu"></input></button>
<table id="imseu"></table>
<strike id="imseu"></strike>
畜牧人
標題:
ARP病毒
[打印本頁]
作者:
lyppoiuy
時間:
2006-12-10 07:22
標題:
ARP病毒
1、中毒者:使用趨勢科技ARP病毒專殺工具查殺病毒<br>
<br>
點擊這里打開趨勢科技ARP病毒專殺工具下載頁面。下載后解壓縮,運行包內TSC.exe文件,不要關讓它一直運行完,最后查看report文檔便知是否中毒。<br>
<br>
2、被害者:使用AntiArp軟件抵御ARP攻擊。<br>
<br>
點擊這里打開AntiArp軟件下載頁面。下載后解壓縮,運行AntiArp。輸入本網段的網關ip地址后,點擊"獲取網關MAC地址",檢查網關IP地址和MAC地址無誤后,點擊"自動保護"。<br>
<br>
若不知道網關IP地址,可通過以下操作獲取:點擊"開始"按鈕->選擇"運行"->輸入"cmd"點擊"確定"->輸入"ipconfig"按回車,"Default Gateway"后的IP地址就是網關地址。<br>
<br>
AntiArp軟件會在提示框內出現病毒主機的MAC地址。<br>
<br><br>
<br>
關于防范ARP欺騙木馬程序(病毒)攻擊的通知 <br>
<br>
<br>近一段時間以來,校園網部分用戶受到一種名為ARP欺騙木馬程序(病毒)的攻擊(ARP是“Address Resolution Protocol”“地址解析協議”的縮寫),病毒發作時其癥狀表現為計算機網絡連接正常,卻打開網頁時斷時通;或由于ARP欺騙的木馬程序(病毒)發作時發出大量的數據包,導致校園網用戶上網不穩定,極大地影響了校園網用戶的正常使用,給整個校園網的安全帶來嚴重的隱患。 <br><br>
<br>
病毒原理 <br>
當局域網內某臺主機運行ARP欺騙的木馬程序時,會欺騙局域網內所有主機和交換機,讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過交換機上網現在轉由通過病毒主機上網,切換的時候用戶會斷一次線。由于ARP欺騙的木馬程序發作的時候會發出大量的數據包導致局域網通訊擁塞以及其自身處理能力的限制,用戶會感覺上網速度越來越慢。當ARP欺騙的木馬程序停止運行時,用戶會恢復從交換機上網(此時交換機MAC地址表正常),切換過程中用戶會再斷一次線。該病毒發作時,僅影響同網段內機器的正常上網。 <br>
<br>
<br>
采取的措施 <br>一、校園網用戶要增強網絡安全意識,不要輕易下載、使用盜版和存在安全隱患的軟件;或瀏覽一些缺乏可信度的網站(網頁);不要隨便打開不明來歷的電子郵件,尤其是郵件附件;不要隨便共享文件和文件夾,即使要共享,也得設置好權限,一般指定特定帳號或特定機器才能訪問,另外不建議設置可寫或可控制,以免個人計算機受到木馬病毒的侵入給校園網的安全帶來隱患。 <br>二、校園網計算機用戶要及時下載和更新操作系統的補丁程序,安裝正版的殺毒軟件,增強個人計算機防御計算機病毒的能力。 <br>三、用戶檢查和處理“ ARP 欺騙”木馬的方法。 <br>
1、檢查本機是否中的“ ARP 欺騙”木馬染毒 <br>
同時按住鍵盤上的“ CTRL + ALT +DEL ”鍵,選擇“任務管理器”,點選“進程”標簽。查看其中是否有一個名為“ MIR0.dat ”之類的進程。如果有,則說明已經中毒。右鍵點擊此進程后選擇“結束進程”。 <br>
2、在受到ARP欺騙木馬程序(病毒)攻擊時,用戶可選擇下列方法的一種處理。 <br>方法一: <br>下載Anti ARP Sniffer軟件保護本地計算機正常運行(點擊下載-內有詳細使用說明)。同時把此軟件設為自動啟動,步驟:先把Antiarp.exe生成桌面快捷方式->選"開始"->"程序"->雙擊"啟動"->再把桌面上Antiarp.exe快捷鍵拷到"啟動"中,以保證下次開機自動運行,起到保護的作用。 <br>方法二: <br>
在“開始” - “程序” - “附件”菜單下調出“命令提示符”。輸入并執行以下命令:ipconfig <br>
記錄網關 IP 地址,即“ Default Gateway ”對應的值,例如“ 10.1.4.1 ”。再輸入并執行以下命令: <br>
arp –a <br>
在“ Internet Address ”下找到上步記錄的網關 IP 地址,記錄其對應的物理地址,即“ Physical Address ”值,例如“ 00-e0-fc-0f-8f-4d”。在網絡正常時這就是網關的正確物理地址,在網絡受“ ARP 欺騙”木馬影響而不正常時,它就是木馬所在計算機的網卡物理地址。 也可以掃描本子網內的全部 IP 地址,然后再查 ARP 表。如果有一個 IP 對應的物理地址與網關的相同,那么這個 IP 地址和物理地址就是中毒計算機的 IP 地址和網卡物理地址。 本方法可在一定程度上減輕中木馬的其它計算機對本機的影響。用上邊介紹的方法確定正確的網關 IP 地址和網關物理地址,然后在 “命令提示符”窗口中輸入并執行以下命令: <br>
arp –s 網關 IP 網關物理地址 。 <br>方法三:(只適用時出現故障時的臨時解決辦法) <br>
在“開始” - “程序” - “附件”菜單下調出“命令提示符”。輸入并執行以下命令: <br>
arp -d <br>方法四: <br>局域網ARP攻擊免疫器(點擊下載)。(1)將這里面3個dll文件復制到windows\system32 里面,將npf 這個文件復制到 windows\system32\drivers 里面。(2)將這4個文件在安全屬性里改成只讀。也就是不允許任何人修改。 <br>
四、以下程序帶有此類ARP病毒(傳奇殺手等),請不要使用: <br>
傳奇2冰橙子1.44版 <br>
傳奇2及時雨PK版 <br>
"網吧傳奇殺手"的木馬軟件進行傳奇帳號和密碼的掃描 <br>
網絡執法官等類似程序 <br>
五、若用戶未按上述要求采取任何安全措施,導致個人計算機在校園網上發送大量的病毒數據包,影響了校園網的安全,我中心將采取有效措施令其離線殺毒。<br>六、趨勢科技提供的ARP病毒清除工具(點擊下載)<br>
<br>
歡迎光臨 畜牧人 (http://www.www12347.com/)
Powered by Discuz! X3.5
主站蜘蛛池模板:
成都市
|
辽阳市
|
会东县
|
庆阳市
|
伊宁县
|
保定市
|
桐城市
|
邵阳县
|
广河县
|
青冈县
|
宣武区
|
和顺县
|
莎车县
|
兴仁县
|
鹤岗市
|
马关县
|
祁门县
|
合作市
|
桂阳县
|
吴忠市
|
象山县
|
民权县
|
蒲江县
|
扎鲁特旗
|
盐池县
|
平原县
|
巨野县
|
黔江区
|
姚安县
|
舞钢市
|
丹东市
|
宜君县
|
保山市
|
利津县
|
宁陕县
|
丹阳市
|
潮安县
|
清远市
|
平顶山市
|
和静县
|
平昌县
|