关于防范ARP欺骗木马程序（病毒）攻击的说明

近一段时间以来，部分用户受到一种名为ARP欺骗木马程序（病毒）的攻击（ARP是“Address Resolution Protocol”“地址解析协议”的缩写），病毒发作时其症状表现为计算机网络连接正常，却无法打开网页；或由于ARP欺骗的木马程序（病毒）发作时发出大量的数据包，导致用户上网不稳定，极大地影响了用户的正常使用，给整个网络的安全带来严重的隐患。

　　 该病毒原理：

　　当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和交换机，让所有上网的流量必须经过病毒主机。其他用户原来直接通过交换机上网现在转由通过病毒主机上网，切换的时候用户会断一次线。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从交换机上网（此时交换机MAC地址表正常），切换过程中用户会再断一次线。该病毒发作时，仅影响同网段内机器的正常上网。


　　 为此，特提醒网络用户务必采取以下措施。　

　　 一、网络用户要增强网络安全意识，不要轻易下载、使用盗版和存在安全隐患的软件；或浏览一些缺乏可信度的网站（网页）；不要随便打开不明来历的电子邮件，尤其是邮件附件；不要随便共享文件和文件夹，即使要共享，也得设置好权限，一般指定特定帐号或特定机器才能访问，另外不建议设置可写或可控制，以免个人计算机受到木马病毒的侵入给网络的安全带来隐患。


二、网络计算机用户要及时下载和更新操作系统的补丁程序，安装正版的杀毒软件，增强个人计算机防御计算机病毒的能力。


　 三、用户检查和处理“ ARP 欺骗”木马的方法。



　 检查本机的“ ARP 欺骗”木马染毒进程， 同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键，选择“任务管理器”，点选“进程”标签。察看其中是否有一个名为“ MIR0.dat ”之类的进程。如果有，则说明已经中毒。右键点击此进程后选择“结束进程”。


　 在受到ARP欺骗木马程序（病毒）攻击时，用户可选择下列方法的一种处理。

　　方法一：下载Anti ARP Sniffer软件保护本地计算机正常运行（点击下载）。同时把此软件设为自动启动,步骤:先把Antiarp.exe生成桌面快捷方式->选"开始"->"程序"->双击"启动"->再把桌面上Antiarp.exe快捷键拷到"启动"中，以保证下次开机自动运行，起到保护的作用。软件内有操作文档。



　 方法二：在“开始” - “运行” - “附件”菜单下调出“命令提示符”。输入并执行以下命令：ipconfig



　 记录网关 IP 地址，即“ Default Gateway ”对应的值，例如“ 10.10.10.1 ”。再输入并执行以下命令：



arp –a



　 在“ Internet Address ”下找到上步记录的网关 IP 地址，记录其对应的物理地址，即“ Physical Address ”值，例如“ 00-01-e8-1f-35-54 ”。在网络正常时这就是网关的正确物理地址，在网络受“ ARP 欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。 也可以扫描本子网内的全部 IP 地址，然后再查 ARP 表。如果有一个 IP 对应的物理地址与网关的相同，那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。 本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关 IP 地址和网关物理地址，然后在 “命令提示符”窗口中输入并执行以下命令：



　 arp –s 网关 IP 网关物理地址 。



　 方法三：局域网ARP攻击免疫器(点击下载)。（1）将这里面3个dll文件复制到windows/system32 里面，将npf 这个文件复制到 windows/system32/drivers 里面。（2）将这4个文件在安全属性里改成只读。也就是不允许任何人修改。

方法四：使用木马杀客工具软件，（附件四，不一定有效，但可对付一些其他类型的木马）。



　 四、以下程序带有此类ARP病毒（传奇杀手等），请不要使用：

　　传奇2冰橙子1.44版

　　传奇2及时雨PK版

　　"网吧传奇杀手"的木马软件进行传奇帐号和密码的扫描

　　网络执法官等类似程序



五、对网络用户的建议：



避免类似网络安全问题的根本解决办法是定期更新操作系统。系统未及时更新的用户请下载系统补丁。

立即安装或更新正版防病毒软件并对内存和硬盘全面扫描。

立即修改操作系统和网络应用软件的各种帐号的密码。请网络用户务必对所使用的操作系统设置 6 位以上的密码！

立即更新操作系统，打上各种漏洞补丁。

不要随便共享文件或文件夹，即使要使用共享，应先设置好权限，一般指定帐号或特定机器才能访问，另外不建议设置可写或可控制。

不要随便打开不明来历的电子邮件，尤其是邮件附件。

不要随便登陆不明网站，特别不要随意登陆需要自己银行帐号或手机及计算机系统帐号的不明网站。对进行网上交易要特别慎重！

使用移动存储介质进行数据访问时，先对其进行病毒检查。

做好系统和重要数据的备份，以便能够进行系统和数据灾难恢复。


六、特别提示


　此次网络出现的木马病毒不仅会影响自己的上网和信息安全，还会波及整个政务信息网，对政务信息网的网络运行和信息安全是严重的威胁。请网络用户务必行动起来，并请相互告知。发现网络时断时续的现象请及时采取行动。

相关解决软件:

  1、Anti ARP Sniffer软件下载

  2、局域网ARP攻击免疫器.rar

  3、木马杀客（打开压缩包运行mmsk.exe文件）

访问技术无忧网，软硬件通吃保你技术无忧！中文网址http://www.技术无忧.com 或 http://www.技术无忧.net

上一篇：如何解决局域网IP冲突问题

下一篇：freeradius+mysql为华为防火墙做vpn用户验证

昵称 (必填)

验证码 (必填)