Quote:
一、故障现象及原因分析
情况一、当局域网内某台主机感染了ARP病毒时,会向本局域网内(指某一网段,比如:172.16.24.0这一段)所有主机发送ARP欺骗攻击,让原本流向网络中心的流量改道流向病毒主机,并通过病毒主机代理上网。因客户端具有防代理功能,造成受害者无法通过病毒主机上网。
由于病毒发作时发出大量数据包会将网络拥塞,大家会感觉上网速度越来越慢。中毒者同样如此,受其自身处理能力的限制,感觉运行速度很慢时,可能会采取重新启动或其他措施。此时病毒短时间停止工作,大家会感到网络恢复正常。如此反复,就造成网络时断时续。
情况二、局域网内有某些用户使用了ARP欺骗程序(如:网络执法官、网络剪刀手、传奇木马、QQ盗号软件等)发送ARP欺骗数据包,致使被攻击的电脑出现突然不能上网,过一段时间又能上网,反复掉线的现象。
二、故障诊断
如果用户发现以上疑似情况,可以通过如下操作进行诊断:
点击"开始"按钮->选择"运行"->输入"arp -d"->点击"确定"按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。
注:"arp -d"命令用于清除并重建本机arp表。"arp -d"命令并不能抵御ARP欺骗,执行后仍有可能再次遭受ARP攻击。
三、故障处理
1、中毒者:使用趋势科技ARP病毒专杀工具查杀病毒
TSC趋势科技ARP病毒专杀工具
TSC趋势科技ARP病毒专杀工具.part1.rar TSC趋势科技ARP病毒专杀工具.part2.rar TSC趋势科技ARP病毒专杀工具.part3.rar
下载后解压缩,运行包内TSC.exe文件,不要关让它一直运行完,最后查看report文档便知是否中毒。
2、被害者:使用AntiArp软件抵御ARP攻击。
Antiarp
Antiarp.rar.rar
下载后解压缩,运行AntiArp。输入本网段的***ip地址后,点击"获取***MAC地址",检查***IP地址和MAC地址无误后,点击"自动保护"。
若不知道***IP地址,可通过以下操作获取:点击"开始"按钮->选择"运行"->输入"cmd"点击"确定"->输入"ipconfig"按回车,"Default Gateway"后的IP地址就是***地址。
AntiArp软件会在提示框内出现病毒主机的MAC地址。
四、入网日常安全守则
1、校园网并不比互联网安全;
校园网是互联网的组成部分。校园网内用户并非全部安全可靠,甚至依仗内网的速度优势,校园网更容易成为病毒传播的温床,也给攻击你的骇客带来便利。
2、设置足够强劲的密码;
脆弱的密码是给别人开设的方便之门。正在用电脑的也许不只是坐在显示器前的您。
3、及时更新操作系统补丁、安装可靠的杀毒软件并及时更新病毒库;
补丁就是操作系统的疫苗,打一个就防一种威胁,打得越全越安全。
无论是Mcafee还是卡巴斯基都比瑞星、金山之流好太多,建议大家最差也得装个国产杀毒第一的江明(如果你想支持国货)。一个过期的杀毒软件仅仅比根本没有杀毒软件就好上那么一丁点。
注意:目前国内主流的计算机防毒软件只能避免自己电脑主机感染ARP病毒,但无法抵御同网段其它已感染ARP病毒的计算机的病毒攻击。
4、要增强网络安全意识,培养良好的使用习惯;
不要轻易下载、使用不了解和存在安全隐患的软件;或浏览一些缺乏可信度的网站(网页),以免个人计算机受到木马病毒的侵入给校园网的安全带来隐患。绝对的匿名是不可能实现的, 无论是在真实的生活中还是在WEB上。
5、网络安全靠大家
校园网是公共服务设施,保障网络安全不仅是网络中心的工作,更是每位网络用户应尽的义务。只有依靠大家群策群力、群防群治,网络才能长治久安。
网络转载,仅供参考
下面这篇文章希望对楼主有所帮助
http://www.52mnt.com/news/html/yule/2006/1018/139.html
[ 此贴被kaspersky在2006-12-05 23:51重新编辑 ]
