风云小站 » 『 求助专区 』 » 如何解决ARP一类的网络病毒?
本页主题: 如何解决ARP一类的网络病毒? 打印 | 加为IE收藏 | 复制链接 | 收藏主题 | 上一主题 | 下一主题

janly
级别: 高级会员


精华: 0
发帖: 187
威望: 666 点
风云币: 4663 元
专家分: 0 分
在线时间:69(小时)
注册时间:2006-10-04
最后登录:2022-10-20

 如何解决ARP一类的网络病毒?

1.网络环境:我们单位是4M光纤,通过路由接到交换机共享上网的。

2.问题:进来单位网络经常出现突然网速变慢的情况,本来说4M的带宽已经不慢了,但是有时就变得和拨号那么慢,或者更慢,怀疑是某台电脑中了ARP病毒,不知道该如何解决?如何准确的判定是哪台电脑中了ARP病毒呢?有什么好的办法啊,尽管告诉我好了,非常感谢!


答案:看来要杀ARP病毒,还是中在防御,只有保护好了自己的电脑才能保护好整个网络,具体方法下面各位大侠讨论的很详细了,这里谢谢了!
[ 此贴被janly在2006-12-11 22:43重新编辑 ]
本帖最近评分记录:
  • 风云币:2(cai504)
  • 顶端 Posted: 2006-12-05 21:32 | [楼 主]
    lovebasssolo
    求助专区|茫然不知忧伤
    级别: 中级会员


    精华: 0
    发帖: 152
    威望: 366 点
    风云币: 11672 元
    专家分: 3 分
    在线时间:24(小时)
    注册时间:2006-11-21
    最后登录:2007-10-11

     

    防护方法:


    1.IP+MAC访问控制.


    单纯依靠IP或MAC来建立信任关系是不安全,理想的安全关系建立在IP+MAC的基础上.这也是我们校园网上网必须绑定IP和MAC的原因之一.



    2.静态ARP缓存表.


    每台主机都有一个临时存放IP-MAC的对应表ARP攻击就通过更改这个缓存来达到欺骗的目的,使用静态的ARP来绑定正确的MAC是一个有效的方法.在命令行下使用arp -a可以查看当前的ARP缓存表.以下是本机的ARP表

    C:\Documents and Settings\cnqing>arp -a


    Interface: 210.31.197.81 on Interface 0x1000003

    Internet Address Physical Address Type

    210.31.197.94 00-03-6b-7f-ed-02 dynamic

    其中"dynamic" 代表动态缓存,即收到一个相关ARP包就会修改这项.如果是个非法的含有不正确的***的ARP包,这个表就会自动更改.这样我们就不能找到正确的***MAC,就不能正常和其他主机通信.静态表的建立用ARP -S IP MAC.

    执行"arp -s 210.31.197.94 00-03-6b-7f-ed-02"后,我们再次查看ARP缓存表.

    C:\Documents and Settings\cnqing>arp -a


    Interface: 210.31.197.81 on Interface 0x1000003

    Internet Address Physical Address Type

    210.31.197.94 00-03-6b-7f-ed-02 static

    此时"TYPE"项变成了"static",静态类型.这个状态下,是不会在接受到ARP包时改变本地缓存的.从而有效的防止ARP攻击.静态的ARP条目在每次重启后都要消失需要重新设置.

    3.ARP 高速缓存超时设置

    在ARP高速缓存中的表项一般都要设置超时值,缩短这个这个超时值可以有效的防止ARP表的溢出.

    4.主动查询

    在某个正常的时刻,做一个IP和MAC对应的数据库,以后定期检查当前的IP和MAC对应关系是否正常.定期检测交换机的流量列表,查看丢包率.


    总结:ARP本身不能造成多大的危害,一旦被结合利用,其危险性就不可估量了.由于ARP本身的问题.使得防范ARP的攻击很棘手,经常查看当前的网络状态,监控流量对一个网管员来说是个很好的习惯.
    优越且偏执狂般的思考
    顶端 Posted: 2006-12-05 22:28 | 1 楼
    kaspersky
    级别: 黑铁会员


    精华: 1
    发帖: 1556
    威望: 6427 点
    风云币: 6097 元
    专家分: 5 分
    在线时间:72(小时)
    注册时间:2006-08-21
    最后登录:2008-02-23

     

    Quote:
    一、故障现象及原因分析

    情况一、当局域网内某台主机感染了ARP病毒时,会向本局域网内(指某一网段,比如:172.16.24.0这一段)所有主机发送ARP欺骗攻击,让原本流向网络中心的流量改道流向病毒主机,并通过病毒主机代理上网。因客户端具有防代理功能,造成受害者无法通过病毒主机上网。

    由于病毒发作时发出大量数据包会将网络拥塞,大家会感觉上网速度越来越慢。中毒者同样如此,受其自身处理能力的限制,感觉运行速度很慢时,可能会采取重新启动或其他措施。此时病毒短时间停止工作,大家会感到网络恢复正常。如此反复,就造成网络时断时续。

    情况二、局域网内有某些用户使用了ARP欺骗程序(如:网络执法官、网络剪刀手、传奇木马、QQ盗号软件等)发送ARP欺骗数据包,致使被攻击的电脑出现突然不能上网,过一段时间又能上网,反复掉线的现象。

    二、故障诊断

    如果用户发现以上疑似情况,可以通过如下操作进行诊断:

    点击"开始"按钮->选择"运行"->输入"arp -d"->点击"确定"按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。

    注:"arp -d"命令用于清除并重建本机arp表。"arp -d"命令并不能抵御ARP欺骗,执行后仍有可能再次遭受ARP攻击。

    三、故障处理

    1、中毒者:使用趋势科技ARP病毒专杀工具查杀病毒

    TSC趋势科技ARP病毒专杀工具
    TSC趋势科技ARP病毒专杀工具.part1.rar TSC趋势科技ARP病毒专杀工具.part2.rar TSC趋势科技ARP病毒专杀工具.part3.rar

    下载后解压缩,运行包内TSC.exe文件,不要关让它一直运行完,最后查看report文档便知是否中毒。

    2、被害者使用AntiArp软件抵御ARP攻击。

    Antiarp
    Antiarp.rar.rar
      

    下载后解压缩,运行AntiArp。输入本网段的***ip地址后,点击"获取***MAC地址",检查***IP地址和MAC地址无误后,点击"自动保护"

    若不知道***IP地址,可通过以下操作获取:点击"开始"按钮->选择"运行"->输入"cmd"点击"确定"->输入"ipconfig"按回车,"Default Gateway"后的IP地址就是***地址。

    AntiArp软件会在提示框内出现病毒主机的MAC地址。

    四、入网日常安全守则

        1、校园网并不比互联网安全;

    校园网是互联网的组成部分。校园网内用户并非全部安全可靠,甚至依仗内网的速度优势,校园网更容易成为病毒传播的温床,也给攻击你的骇客带来便利。

    2、设置足够强劲的密码;

    脆弱的密码是给别人开设的方便之门。正在用电脑的也许不只是坐在显示器前的您。

        3、及时更新操作系统补丁、安装可靠的杀毒软件并及时更新病毒库;

        补丁就是操作系统的疫苗,打一个就防一种威胁,打得越全越安全。

        无论是Mcafee还是卡巴斯基都比瑞星、金山之流好太多,建议大家最差也得装个国产杀毒第一的江明(如果你想支持国货)。一个过期的杀毒软件仅仅比根本没有杀毒软件就好上那么一丁点。

        注意:目前国内主流的计算机防毒软件只能避免自己电脑主机感染ARP病毒,但无法抵御同网段其它已感染ARP病毒的计算机的病毒攻击。

        4、要增强网络安全意识,培养良好的使用习惯;

    不要轻易下载、使用不了解和存在安全隐患的软件;或浏览一些缺乏可信度的网站(网页),以免个人计算机受到木马病毒的侵入给校园网的安全带来隐患。绝对的匿名是不可能实现的, 无论是在真实的生活中还是在WEB上。

        5、网络安全靠大家

    校园网是公共服务设施,保障网络安全不仅是网络中心的工作,更是每位网络用户应尽的义务。只有依靠大家群策群力、群防群治,网络才能长治久安。

     

    网络转载,仅供参考

    下面这篇文章希望对楼主有所帮助

    http://www.52mnt.com/news/html/yule/2006/1018/139.html

     

     

     

    [ 此贴被kaspersky在2006-12-05 23:51重新编辑 ]
    想飞得綆高, 就要把地泙线莣掉!

    顶端 Posted: 2006-12-05 23:43 | 2 楼
    轩辕折花
    我有紫郢可划天
    特殊贡献奖
    级别: 风云元老


    精华: 0
    发帖: 5086
    威望: 4387 点
    风云币: 2175 元
    专家分: 1 分
    论坛群: 管理团队
    在线时间:968(小时)
    注册时间:2006-06-02
    最后登录:2008-04-29

     

    装个防火墙就ok啦
    而且网上好多arp专杀的
    顶端 Posted: 2006-12-06 13:05 | 3 楼
    80286
    天天向上!
    级别: 荣誉会员


    精华: 0
    发帖: 893
    威望: 817 点
    风云币: 2985 元
    专家分: 2 分
    在线时间:190(小时)
    注册时间:2006-10-03
    最后登录:2008-03-08

     

    这ARP也确实够强的咯!
    我有点心得:
    1.对于写批处理文件,然后加入系统自启动!这种方法如果在修复了本地连接后,他将清除ARP缓存!
    2.使用Anti arp软件,好像他在病毒发包速度很快时,比如说一分钟内达到70个以上时,还是一样的不能上网的!上次在网上看到了一篇文章,他说在路由器上能看到,但我找了好久,始终没找到的!
    3.有一次同学电脑中了ARP病毒,就用过TSC专杀工具,但每杀每有,也就是说每次都能检测到,每次都能杀掉,但杀了过后又会有的!
    不知道各位有没有相同的观点!
    休息中..............
    顶端 Posted: 2006-12-07 20:25 | 4 楼
    jiajia1
    级别: *


    精华: *
    发帖: *
    威望: * 点
    风云币: * 元
    专家分: 0 分
    在线时间:(小时)
    注册时间:*
    最后登录:*

     

    防火墙,呵呵!!!!!!!
    本帖最近评分记录:
  • 风云币:-2(cai504)
  • 顶端 Posted: 2006-12-07 23:59 | Unknown 5 楼
    kaspersky
    级别: 黑铁会员


    精华: 1
    发帖: 1556
    威望: 6427 点
    风云币: 6097 元
    专家分: 5 分
    在线时间:72(小时)
    注册时间:2006-08-21
    最后登录:2008-02-23

     

    轩辕折花说的也有点道理,装上Firewall也可以防止中ARP类的网络病毒
    想飞得綆高, 就要把地泙线莣掉!

    顶端 Posted: 2006-12-08 16:28 | 6 楼
    janly
    级别: 高级会员


    精华: 0
    发帖: 187
    威望: 666 点
    风云币: 4663 元
    专家分: 0 分
    在线时间:69(小时)
    注册时间:2006-10-04
    最后登录:2022-10-20

     

    Quote:
    引用第4楼802862006-12-07 20:25发表的:
    这ARP也确实够强的咯!
    我有点心得:
    1.对于写批处理文件,然后加入系统自启动!这种方法如果在修复了本地连接后,他将清除ARP缓存!
    2.使用Anti arp软件,好像他在病毒发包速度很快时,比如说一分钟内达到70个以上时,还是一样的不能上网的!上次在网上看到了一篇文章,他说在路由器上能看到,但我找了好久,始终没找到的!
    3.有一次同学电脑中了ARP病毒,就用过TSC专杀工具,但每杀每有,也就是说每次都能检测到,每次都能杀掉,但杀了过后又会有的!
    .......

    我觉得我的情况就跟你说的差不多,TSC专杀工具杀了之后又有,反正就是每次查,每次有,似乎不起作用,而用AntiARP又没办法杀掉ARP病毒,光自己一台电脑装这个软件完全没作用,因为网速一样象蜗牛!我认为最好的办法是找到中毒的机器,然后干掉最好了!
    本帖最近评分记录:
  • 风云币:2(cai504)
  • 顶端 Posted: 2006-12-08 17:45 | 7 楼
    nxstjbh
    级别: 禁止发言


    精华: 1
    发帖: 1397
    威望: 5915 点
    风云币: 52618 元
    专家分: 0 分
    在线时间:351(小时)
    注册时间:2006-08-20
    最后登录:2018-11-17

     

    用户被禁言,该主题自动屏蔽!
    顶端 Posted: 2006-12-09 03:22 | 8 楼
    进化野人
    级别: 资深会员


    精华: 0
    发帖: 150
    威望: 967 点
    风云币: 5043 元
    专家分: 0 分
    在线时间:42(小时)
    注册时间:2006-11-01
    最后登录:2008-04-26

     

    Quote:
    引用第8楼nxstjbh2006-12-09 03:22发表的:
    目前发现,唯一可以称做"终极"的解决ARP病毒(恶意软件除外)的方法就是:

    删除system32npptools.dll,我这里删除了一个月了,从来没中过ARP病毒,也无任何不良反映,ARP病毒缺少了npptools.dll这个文件根本不能运行,目前所发现的ARP病毒通通提示npptools.dll出错,无法运行

    暂时还没发现可以自动生成npptools.dll的病毒,npptools.dll本身就40多K,病毒如果还要生成自己的运行库的话,不是几十K的大小就可以办到的,再大一些的就不是病毒了
    .......


    大哥说的是不是真的哦?.....真的删了就不会感染ARP了?你在哪里看见的消息?能不能发个链接上来啊??
    顶端 Posted: 2006-12-09 08:14 | 9 楼
    morgon
    级别: *


    精华: *
    发帖: *
    威望: * 点
    风云币: * 元
    专家分: 0 分
    在线时间:(小时)
    注册时间:*
    最后登录:*

     

    我正在找这些资料,谢谢了。
    顶端 Posted: 2006-12-09 13:07 | 湖北省恩施州(巴东县)电信ADSL 10 楼
    janly
    级别: 高级会员


    精华: 0
    发帖: 187
    威望: 666 点
    风云币: 4663 元
    专家分: 0 分
    在线时间:69(小时)
    注册时间:2006-10-04
    最后登录:2022-10-20

     

    来要杀ARP病毒,还是中在防御,只有保护好了自己的电脑才能保护好整个网络,具体方法各位大侠讨论的很详细了,这里谢谢了!
    顶端 Posted: 2006-12-11 22:43 | 11 楼
    nxstjbh
    级别: 禁止发言


    精华: 1
    发帖: 1397
    威望: 5915 点
    风云币: 52618 元
    专家分: 0 分
    在线时间:351(小时)
    注册时间:2006-08-20
    最后登录:2018-11-17

     

    用户被禁言,该主题自动屏蔽!
    顶端 Posted: 2006-12-13 23:41 | 12 楼
    帖子浏览记录 版块浏览记录
    风云小站 » 『 求助专区 』
    感谢,曾经的版主
    Total 0.019338(s) query 6, Time now is:11-05 20:29, Gzip enabled 渝ICP备20004412号-1

    Powered by PHPWind v6.3.2 Certificate Code © 2003-07 PHPWind.com Corporation
    Skin by Chen Bo