近期,“ARP欺骗”木马在互联网上迅速扩散,很多计算机感染了此病毒,有的网络甚至因为它而全面瘫痪。
下面,就从ARP木马欺骗中毒现象、危害、成因、检测、处理和预防措施等几个方面人手,与大家共同探讨应对ARP欺
骗木马的方法。
ARP木马中毒现象
ARP欺骗木马的中毒现象表现为:使用校园网时会突然掉线,过一段时间后又会恢复正常。比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。如果校园网是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS—DoS窗口下运行命令arp-d后,又可恢复上网。
ARP木马破坏性分析
ARP欺骗木马十分猖狂,危害也特别大,各大学校园网、小区网、公司网和网吧等局域网都出现了不同程度的灾情,带来了网络大面积瘫痪的严重后果。ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。目前,已经发现一些用户密码被窃取的情况。
这次大面积的木马病毒不仅会影响用户自己的上网和网络安全,还会波及整个单位,对学校、公司的网络运行和安全构成了严重的威胁。
欺骗成因和攻击方式
该病毒主要通过A R P(Address Resolution Protocol,地址解析协议)欺骗实施攻击和破坏行为。它通过交换机的MAC地址学习机制,伪造网关。其原理是建立假的网关,让被它欺骗的计算机向假网关发送数据,而不是通过正常的路由器或交换机途径寻找网关,造成同一网关内的所有计算机无法访问网络。
以校园网为例,ARP欺骗问题一般是由传奇外挂携带的ARP木马攻击引起的。当有同学在校园网内使用上述传奇外挂时,外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上,向局域网内大量发送ARP数据包,从而致使同一网段地址内的其他机器误将其作为网关。这就是为什么掉线时内网是互通的,计算机却不能上网的原因。还有的ARP欺骗是有一定时间限制的,这也是网络时断时续的原因。
检测进程
方法一:
同时按住键盘上的“Ctrl+AIt+Del” 键,选择“任务管理器”,选中“进程”标签,察看其中是否有一个名为“MIR0。dat”进程。如果有,则说明已经中毒。
右键点击此进程后.选择“结
束进程 。
方法二:
如果用户突然发现无法上网,可以通过如下方法验证是否中此木马病毒:
(1)点“开始一运行 ,输入cmd,再输入arp—d,回车。
(2)重新尝试上网,若能短暂正常访问,则说明此次断网是受木马病毒影响。该病毒发作后,在系统进程
列表中会有“MIR0.dat 这个进程存在,可通过上述方法一来查看。
定位ARP欺骗
方法一:
对于利用三层交换机设备接入校园网的单位,可以检查其三层交换机设备上的ARP表。如果发现有多个IP地址对应同一MAC地址,则说明此MAC地址对应的计算机很可能中了此木马病毒。然后可通过下连的二层交换机的转发表查到此MAC对应的交换机端口,从而定位出有问题的计算机,关闭此端口,通知用户查杀病毒结束后再开放端口。
方法二:
在局域网内通过交换机端口镜像进行抓包,凡大量发送ARP请求的均可能是本木马感染者。立即关闭端口,通过交换端口确定上网用户, 通知用户查杀病毒后再开放端口。
方法三:
扫描本子网内的全部IP地址,然后再查ARP表。如果有一个IP地址对应的MAC与网关的MAC地址相同,那么这个IP地址和MAC地址就是中毒计算机的IP地址和MAC地址。
方法四:
检查网内感染“ARP欺骗木马染毒的计算机。在“开始一程序一附件菜单下调出“命令提示符 , 输入并执行ipconfig命令。记录网关I P 地址, 即“DefaUIt Gateway 对应的值,例如“192.168.1.1 。再输入并执行arp — a命令,在“Internet Add ress 下找到上步记录的网关IP地址,记录其对应的物理地址,即“Physical Address 值,例如“00-01-02-03-04-05 。在网络正常时,这就是网关的正确物理地址。在网络受“ARP欺骗木马影响而不正常时,它就是木马所在计算机的网卡物理地址。
处理方案
1.静态ARP绑定网关
步骤一:
在能正常上网时,进入MSDoS窗口,输入命令:arp —a,查看网关的IP对应的正确
MAC地址, 并将其记录下来。
步骤二:
如果计算机已经有网关的正确MAC地址,在不能上网只需手工将网关IP和正确的MAC地址绑定,即可确保计算机不再被欺骗攻击。要想手工绑定,可在MSDoS窗口下运行以下命令:
arp -s 网关ip 网关MAC
2.制作批处理文件
在客户端做对网关的arp绑定,具体操作步骤如下:
步骤一:
查找本网段的网关地址,比如192.168.1.1,以下以此网关为例。在正常上网时,“开始一运行一cmd一确定,输入:arp— a,点回车,查看网关对应的Physical Address。比如:网关192.168.1.1对应00 — 01 — 02 — 03 — 04 — 05。
步骤二:
编写一个批处理文件ra rp.bat, 内容如下:
@ecoh off
arp -d
arp -s 192.168.1.1 00-01-02-03-04-05
保存为:rarp.bat。
步骤三:
运行批处理文件将这个批处理文件拖到“Windows一开始一程序一启动” 中,如果需要立即生效,请运行此文件。注意:以上配置需要在网络正常时进行
3.利用安全工具软件及时下载A n t i A R P Sniffer软件保护本地计算机正常运行。具体使用方法可以在
网上搜索。如果已有病毒计算机的MAC地址,可使用NBTSCAN等软件找出网段内与该MAC地址对应
的lP,即感染病毒的计算机的lP地址,然后报告单位的网络中心对其进行查封。或者利用单位提供的集中网
络防病毒系统来统一查杀木马。另外还可以利用木马杀客等安全工具进行查杀。
4.应急方案
网络管理管理人员利用上面介绍的ARP木马检测方法在局域网的交换机上查出受感柊
最新评论