当前位置: 首页>>常见问题>>正文
清除计算机ARP病毒方法
2011年03月10日  总访问:[] 今日访问:

    近期网络中ARP病毒流行,我校校园网内也发现多台电脑中毒,对同一局域网内的其他用户造成了较大的影响。此病毒为木马病毒附带的一种欺骗病毒,这些计算机病毒一般都是利用ARP协议的漏洞进行危害活动。

被攻击的电脑现象

    被欺骗电脑的典型症状是刚开机能上网,几分钟之后断网,过一会又能上网,或者重启一遍电脑就可以上网,一会又不好了,如此不断重复,造成校园网的不稳定,影响正常使用。重启机器或在MSDOS窗口下运行命令ARP -d后,又可恢复上网一段时间。

ARP病毒原理

    电脑中毒后会向同网段内所有计算机发ARP欺骗包,从而致使同一网段地址内的其它机器误将其作为网关,导致网络内其它电脑因网关物理地址被更改而无法上网,这就是为什么掉线时内网是互通的,计算机却不能上网的原因。

ARP病毒手动处理方法

    步骤一. 在能上网时,进入MS-DOS窗口,输入命令:arp –a,查看网关IP对应的正确MAC地址,将其记录下来。

    步骤二. 如果已经有网关的正确MAC地址,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令:arp –s 网关IP 网关MAC。

    例如:假设计算机所处网段的网关为218.197.192.254,本机地址为218.197.192.1在计算机上运行arp –a后输出如下:

    C:\Documents and Settings>arp -a

    Interface: 218.197.192.1 --- 0x2

    Internet Address Physical Address Type

    218.197.192.254 00-01-02-03-04-05 dynamic

    其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址,类型是动态(dynamic)的,因此是可被改变。

    被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC,如果大家希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找做准备。

    手工绑定的命令为:arp –s 218.197.192.254 00-01-02-03-04-05

    这时,类型变为静态(static),就不会再受攻击影响了。

    但是,需要说明的是,手工绑定在计算机关机重开机后就会失效,需要再绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,令其杀毒,方可解决。

ARP病毒专杀,防御工具下载

    Anti ARP Sniffer的下载地址ftp://ftp.gznet.edu.cn/pub2/AntiVirus/AntiArpSniffer3.zip

使用说明

    防御ARP欺骗:

    1、开启Anti ARP Sniffer 3,输入网关IP地址,点击[枚取MAC]如你网关填写正确将会显示出网关的MAC地址。

    2、点击 [自动保护] 即可保护当前网卡与网关的通信不会被第三方监听。

    追踪ARP攻击者:

    当局域网内有人试图与本机进行ARP欺骗,其数据会被Anti ARP Sniffer记录。请在欺骗数据详细记录表中选择需要追踪的行,然后点击[追捕欺骗机] ,追捕过程中需要几分钟时间,如果该ARP地址是真实的,也快就能追捕到攻击者。

    (追捕ARP攻击者时需要停止自动保护)

    解决的最基本的办法还是:

    1、用户要提高网络安全意识,不要轻易下载、使用盗版和存在安全隐患的软件;或浏览一些缺乏可信度的网站(网页);不要随便打开不明来历的电子邮件,尤其是邮件附件;不要随便共享文件和文件夹,以免个人计算机受到木马病毒的侵入。

    2、用户要及时下载和更新操作系统的补丁程序,安装正版的杀毒软件,增强个人计算机防御计算机病毒的能力。

更重要的是:务必请被中毒者积极配合!主动断网下线,离线杀毒,或重装操作系统,安装ARP防火墙等防病毒软件,确认无误后再联网。

上一条:电子邮件系统使用说明

关闭