美高梅手机版登录4858-欢迎您

通知公告

当前位置: 美高梅手机版登录4858 >> 新闻中心 >> 通知公告 >> 正文

再发关于防范ARP病毒的公告

  出处:   日期: 2006-11-02 00:00:00

今年一种新的“ARP欺骗”木马病毒在互联网上扩散,我校校内也已发现多个楼栋感染此病毒,中毒用户会出现频繁断网的现象并导致其所属整个网段故障、 IE 浏览器频繁出错以及一些常用软件出现故障等问题。目前,已知传奇游戏的“传奇 2 冰橙子 1.14 ”和“及时雨 PK 破解版”两种外挂存在着这种木马。网络中心在今年六月份就发布过有关此病毒的公告。最近该病毒在校内蔓延较广,科技楼、文科楼、教二、草莓园八栋学生宿舍都发现此病毒,该病毒目前还无法用网络技术手段进行控制。

有上述故障现象的用户请将所在网段(校园网用户本机IP地址在点分十进制表示时的前三位即为所属网段)及时报告网络中心以利于我们尽快定位和排除故障。

为保证大多数人正常上网,本通知发出后,我中心将对感染该病毒并影响其它用户上网的计算机采取停止所在端口联网权限(2天以上直到查杀该病毒为止)的隔离措施。请用户互相转告。

一、故障原因及现象

局域网内有电脑使用ARP欺骗程序(比如:传奇、QQ盗号的软件等)发送ARP数据包,致使被攻击的电脑不能上网。

当局域网内某台电脑A向电脑B发送ARP欺骗数据包时,会欺骗电脑B将其通信的数据发向电脑A,电脑A通过对截获的数据进行分析,达到窃取数据(如用户账号)的目的。

被ARP欺骗的电脑会出现突然不能上网,重新连接后又能上网,但过会还是掉线的反复现象。

二、故障诊断

如果用户发现突然不能上网,可以通过如下操作进行诊断:

点击“开始”按钮->选择“运行”->输入“arp -d”->点击“确定”按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。

“arp -d”命令能清除本机的arp表,arp表被清除后接着系统会自动重建新的arp表,“arp -d”命令并不能抵御ARP欺骗,执行“arp -d”命令后仍有可能再次遭受ARP攻击。

三、故障处理

1. 杀毒。

(1)NOD32、卡巴斯基、瑞星等杀毒软件均可查杀此类病毒,注意:查杀病毒只能避免电脑主机成为ARP攻击方,并不能抵御ARP攻击。

(2)ARP病毒专杀工具下载。(ftp://ftp.hbut.edu.cn/pub/Kill-arp.rar)

下载后解压缩,运行包内TSC.exe文件,不要关让它一直运行完,最后查看report文档便知是否中毒。

2. 使用AntiArp软件抵御ARP攻击。 (下载AntiArp软件:ftp://ftp.hbut.edu.cn/pub/antiarp.exe)

先查明本机的网关IP地址,可通过以下操作获取:点击“开始”按钮->选择“运行”->输入“cmd”点击“确定”->输入“ipconfig”按回车,“Default ateway”后的IP地址就是网关地址。

运行AntiArp,在管理右栏那“网关地址”里填入刚才查到的IP地址,然后点击“获取MAC”,检查网关IP地址和MAC地址无误后,点击“自动保护”。

3. 除用AntiArp软件外,也可以用arp命令抵御ARP攻击:

先打开命令提示符窗口(方法如上),然后用“arp –a”命令查出默认网关和mac地址

运行arp –a 命令后会得出类似如下列表

Internet Address Physical Address Type

222.200.112.1 00-e0-fc-22-ab-c2 dynamic

其中Internet Address就是默认网关,Physical Address就是mac地址

然后就用“arp -s 默认网关 mac地址”进行绑定

例如: arp –s 222.200.112.1 00-e0-fc-22-ab-c2

不过因为这重启机后是不起作用的,如需开机就自行绑定arp,则需利用bat处理文件

该bat文件写法如下:

@echo off

arp -d

arp -s 网关IP地址 网关MAC地址

然后再将该bat文件加入“启动”项,系统启动后会自动执行arp命令绑定网关。

附录一 Anti Arp Sniffer 的用法

双击Anti Arp图表,出现图二所示对话框。

图二

输入网关地址(网关地址获取方式:[开始] -->[程序]--> [附件]菜单下调出“命令提示符”,输入ipconfig,其中Default Gateway即为网关地址);点击获取网关MAC地址,点击自动防护保证当前网卡与网关的通信不被第三方监听。

点击恢复默认,然后点击防止地址冲突,如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包。

右击[我的电脑]-->[管理]-->点击[事件查看器]-->点击[系统]-->查看来源为[TcpIP]--->双击事件可以看到显示地址发生冲突,并记录了该MAC地址,请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-),输入完成之后点击[防护地址冲突],为了使MAC地址生效请禁用本地网卡然后再启用网卡,在CMD命令行中输入Ipconfig /all,查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符,如果成功将不再会显示地址冲突。

注:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡;本软件不支持多网卡,部分网卡可能更改MAC会无效。



上一条:期刊社网站正式开通的公告
下一条:财务处网站正式开通的公告

关闭

XML 地图 | Sitemap 地图