ARP病毒专杀工具
局域网ARP攻击方法图解
1,攻击机:安装WinPcap2,攻击机:运行‘局域网终结者’,写入目标主机的IP,点‘添加到阻断列表’;3,目标机:网络连接被阻断;4,攻击机:取消选中地址;5,到目标机器上验证,网络通信应该恢复正常。
WinArpAttacker攻击WinArpAttacker的界面分为四块输出区域第一个区域:主机列表区,显示的信息有局域网内的机器IP、MAC、主机名、是否在线、是否在监听、是否处于被攻击状态。
另外,还有一些ARP数据包和转发数据包统计信息,如:ArpSQ:是该机器的发送ARP请求包的个数;ArpSP:是该机器的发送回应包个数;ArpRQ:是该机器的接收请求包个数;ArpRQ:是该机器的接收回应包个数;Packets:是转发的数据包个数,这个信息在进行SPOOF时才有用。
Traffic:转发的流量,是K为单位,这个信息在进行SPOOF时才有用。
第二个区域是检测事件显示区,在这里显示检测到的主机状态变化和攻击事件。
能够检测的事件列表请看英文说明文档。
主要有IP冲突、扫描、SPOOF监听、本地ARP表改变、新机器上线等。
当你用鼠标在上面移动时,会显示对于该事件的说明。
第三个区域显示的是本机的ARP表中的项,这对于实时监控本机ARP表变化,防止别人进行SPOOF攻击是很有好处的。
第四个区域是信息显示区,主要显示软件运行时的一些输出,如果运行有错误,则都会从这里输出。
一、扫描。
当点击“Scan”工具栏的图标时,软件会自动扫描局域网上的机器。
并且显示在其中。
当点击“Scan checked"时,要求在机器列表中选定一些机器才扫描,目的是扫描这些选定机器的情况。
当点击"Advanced"时,会弹出一个扫描框。
这个扫描框有三个扫描方式:第一个是扫描一个主机,获得其MAC地址。
第二个方式是扫描一个网络范围,可以是一个C类地址,也可以是一个B类地址,建议不要用B类地址扫描,因为太费时间,对网络有些影响。
Antiarp软件安装演示图
Antiarp软件安装演示图
由于8月1日ARP病毒防治软件(antiarp)版本更新,使管委会局域网内的各单位电脑先前安装的antiarp软件失效,至使部份电脑失去保护不能上网,请各单位及时下载新版本安装,以保证网络畅通。
请按如下步骤下载安装新版本ARP病毒防治软件:
一.登陆网站:, 点击“软件下载”,下载单机版如图
二.卸载先前安装的antiarp软件:请在“控制面板”----中找到antiarp软
件,点一下再点右铡的“删除”将其卸载。
三.安装新版本的antiarp软件:
1.将新下载的软件解压,双击安装文件
安装。
注意,安装前请关闭杀毒软件。
2.安装完成后,点击桌面图标,再点击屏幕右下角
红色图标,弹出ARP防火墙操作界面。
3.点击“设置”----,勾选此处的对号,
4.再点选,
管委会办公楼的电脑空格内填如图数值
,
保护局办公区的电脑空格内填如图数值
,
填好后再点确定完成设置。
注意,管委会办公楼的电脑和保护局办公楼的电脑填的数值是不一样的,不要填错了,否则上不了网。
四.软件安装设置完毕,此软件可有效保护网络,解决断网掉线问题。
电脑重做系统后请
一定安装此软件。
五.有时安装软件后,系统会提示ARP软件无法运行,那是因为软件要求首页设为百度,
而有的系统安装了雅虎助手等软件,这些软件禁止修改主页,导致ARP软件无法运行,这种情况把雅虎助手卸载,把首页改成百度,再把雅虎助手装上就好了。
360arp防火墙软件介绍
360arp防火墙软件介绍360arp防火墙是我们经常用到的,你具体的了解它是什么吗!不了解就跟着店铺一起前来了解了解吧!希望对你有用哦!360arp防火墙软件介绍如下:相信大家都知道360主打产品都是以免费为主,这款360ARP防火墙2.0是360公司推出的最新的ARP防火墙。
360ARP防火墙同样保证免费的原则让大家完全免费使用,通过360ARP防火墙可以拦截ARP攻击和保护作用。
是一款非常实用而且简单的一款ARP攻击拦截工具,有需要的可以自行下载。
主要特色功能1、内核层双向拦截本机和外部ARP攻击,及时查杀ARP木马2、精准追踪攻击源IP,方便网管及时查询攻击源3、拦截DNS欺骗、网关欺骗、IP冲突等多种攻击4、可自定义本机进程白名单5、拦截通知可自行选择是否提示,方便网吧用户使用6、全新界面,全新感受(采用与360安全卫士一样统一清新的风格)360ARP防火墙产品亮点1、内核层拦截ARP攻击在系统内核层拦截外部ARP攻击数据包,保障系统不受ARP欺骗、ARP攻击影响,保持网络畅通及通讯安全采用内核拦截技术,本机运行速度不受任何影响2、追踪攻击者发现攻击行为后,自动定位到攻击者IP地址和攻击机器名(有些网络条件下可能获取不成功)3、ARP缓存保护防止恶意攻击程序篡改本机ARP缓存软件评测优点简单易用具有查杀arp木马功能缺点要与360安全卫士一起配合使用其中最具特色的是查杀ARP木马,现在所有的ARP防火墙除了360ARP防火墙之外,都没查杀ARP木马功能,这项是360ARP防火墙的独特之处。
不过要注意,经测试,360ARP防火墙必须配合360安全卫士一起使用,并不能单独使用,并且安装完成之后,必须重启计算机。
而且经过测试,在ARP遭受攻击时,下载速度还是被限制了,并没有完全发挥出它的作用,谨慎推荐大家下载试用。
常见FAQ解答1、如何安装360ARP防火墙?请先去360官方网站下载该软件,下载后双击直接运行该安装程序,按照默认提示进行操作即可。
关于ARP病毒的防治
关于ARP病毒的防治近期国内很多单位的局域网爆发ARP病毒,具体表现为局域网内一些正在上网的电脑主机频繁掉线或是断线。
现我校也开始发现某些宿舍楼校园网用户出现掉线的故障,经调查发现,该故障应该是ARP 病毒所致。
一、故障原因及现象局域网内有电脑使用ARP欺骗程序(比如:传奇、QQ盗号的软件等)发送ARP数据包,致使被攻击的电脑不能上网。
当局域网内某台电脑A向电脑B发送ARP欺骗数据包时,会欺骗电脑B将其通信的数据发向电脑A,电脑A通过对截获的数据进行分析,达到窃取数据(如用户账号)的目的。
被ARP欺骗的电脑会出现突然不能上网,重新连接后又能上网,但过会还是掉线的反复现象。
二、故障诊断如果用户出现上述现象,可以通过如下操作进行诊断:点击“开始”按钮->选择“运行”->输入“arp -d”->点击“确定”按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。
“arp -d”命令能清除本机的arp表,arp表被清除后接着系统会自动重建新的arp表。
“arp -d”命令并不能抵御ARP欺骗,执行“arp -d”命令后仍有可能再次遭受ARP攻击。
三、故障处理1. 杀毒(1)诺顿、卡巴斯基、瑞星等杀毒软件均可查杀此类病毒,注意:查杀病毒能避免电脑主机成为ARP攻击方,并不能抵御ARP攻击。
(2)ARP病毒专杀工具下载(arpkiller)下载后解压缩,运行包内TSC.exe文件,不要关让它一直运行完,最后查看 report文档便知是否中毒。
2. 使用AntiArp软件抵御ARP攻击(下载AntiArp软件)先查明本机的网关IP地址,可通过以下操作获取:点击“开始”按钮-> 选择“运行”->输入“cmd”点击“确定”->输入“ipconfig”按回车。
“Default Gateway”后的IP地址就是网关地址。
安装并运行AntiArp,在右栏“网关地址”那里填入刚才查到的IP地址,然后点击“获取MAC”,检查网关IP地址和MAC地址无误后,点击“自动保护”。
揪出藏在局域中的ARP病毒 局域病毒专杀工具
使用“AntiArpSniffer”查找感染毒电脑时,启动该程序,随后小武 才行。通过“AntiArpSniffer”程序,小武已经获取了欺骗机的 MAC,这
在右侧的“关地址”项中输入该局域内的关 IP,随后单击“枚取 MAC”, 样只要找到该 MAC 对应的 IP 地址即可。获取 I P 地址,小武请来了管工
揪出藏在局域中的 ARP 病毒
第2页共2页
这时该软件会自动获取到关电脑卡的 MAC 地址。MAC 获取后单击“自动保 具“络执法官”(h t t p ://w w w .m y d o w n .c o m /s o f t /2 3
护”按钮,这样“AntiArpSniffer”便开始监视通过该关上的所有电脑了。 6 /2 3 6 6 7 9 .h t m l ),运行该软件后,在“指定监控范围”中输
片刻工夫,小武看到系统的任务栏中的“AntiArpSniffer”图标上弹
第1页共2页
本文格式为 Word 版P 地址段,随后单击“添加/修改”按钮,这样,刚刚添加 的 I P 地址段将被添加到下面的 I P 列表中。如果局域内有多段 I P, 还可以进行多次添加。
添加后,单击“确定”按钮,进入到程序主界面。“络执法官”开始 对局域内的所有电脑进行扫描,随后显示出所有在线电脑信息,其中包括 卡 MAC 地址、内 I P 地址、用户名、上线时间以及下线时间等。在这样 我就可以非常方便地通过 M AC 查找对应的 I P 地址了。
7 清除 ARP 病毒小武顺藤摸瓜,通过 I P 地址又找到了感染病毒 的电脑,小武第一反应就是将这台电脑断,随后在该电脑上运行“A R P 病 毒专杀”包中的“T S C .E X E ”程序(h t t p ://i t .w u s t .e d u .c n /s p k i l l /t s c .r a r ),该程序运行后,自动扫描电脑 中的 A R P 病毒,工夫不大就将该电脑上的 A R P 病毒清除了。小武折 腾了半天,终于将 A R P 病毒根除了,这下局域内又恢复了往日的平静, 同事们可以坐在自己的电脑前上办公了。
小草网管如何防止ARP欺骗、防范ARP攻击、ARP病毒专杀工具
二、防范电脑ARP攻击、防止局域网ARP欺骗的措施
1. 建立DHCP服务器(建议建在网关上,因为DHCP不占用多少CPU,而且ARP欺骗攻击一般总是先攻击网关,我们就是要让他先攻击网关,因为网关这里有监控程序的,网关地址建议选择192.168.10.2 ,把192.168.10.1留空,如果犯罪程序愚蠢的话让他去攻击空地址吧),另外所有客户机的IP地址及其相关主机信息,只能由网关这里取得,网关这里开通DHCP服务,但是要给每个网卡,绑定固定唯一IP地址。一定要保持网内的机器IP/MAC一一对应的关系。这样客户机虽然是DHCP取地址,但每次开机的IP地址都是一样的。
C的地址为:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC
正常情况下 C:\arp -a
Interface: 192.168.10.1 on Interface 0x1000003
Internet Address Physical Address Type
同时,小草网管软件还集成了强大的局域网上网控制功能、网络限制功能:禁止局域网P2P软件、过滤P2P视频、限制网络聊天、控制上网带宽、限制网络流量、监控网页访问、屏蔽视频网站、禁止网络视频、限制电脑游戏、禁止电脑代理上网等功能。欢迎去官网上了解!
小草网管软件如何防止ARP欺骗、防范ARP攻击、ARP病毒专杀工具
一、什么是ARP攻击?
当前局域网ARP攻击现象比较普遍,ARP攻击的危害性也人所共知:轻者导致局域网网速变慢、电脑上网速度慢,重则可以导致局域网大面积断网和掉线现象。由于ARP欺骗攻击是基于TCP通讯原理。因此,有效防范ARP攻击还必须知道其具体的实现原理,从而采取针对性的防范局域网ARP攻击的举措。
网络ARP病毒DIY攻克宝典
网络ARP病毒——DIY攻克宝典一、ARP病毒问题及攻克1、中毒现象计算机以前可正常上网的,突然出现不能上网的现象(无法ping通网关),或者上网的时候时断时通,重启机器或在MSDOS窗口下运行命令ARP -d后,又可恢复上网一段时间。
2、中毒原因这是APR病毒欺骗攻击造成的。
引起问题的原因一般是由传奇外挂携带的ARP木马攻击。
当有同学在宿舍局域网内使用上述外挂时,外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上,向局域网内大量发送ARP包,从而致使同一网段地址内的其它机器误将其作为网关,这就是为什么掉线时内网是互通的,计算机却不能上网的原因。
3、检查自己是否中毒检查本机的“ARP 欺骗”木马染毒进程同时按住键盘上的“CTRL ”和“ALT ”键再按“DEL ”键,选择“任务管理器”,点选“进程”标签。
察看其中是否有一个名为“MIR0.dat ”的进程。
如果有,则说明已经中毒。
右键点击此进程后选择“结束进程”。
并且查杀该病毒。
4、网络解毒剂DIY方法一:下载风云防火墙个人版V1.23软件并运行(下载网址:http://10.1.0.211/student/down.html),同时把此软件ARP功能启用。
方法二:步骤一、在能上网时(如果已经不能上网,则先运行一次命令arp -d将arp缓存中的内容删空),进入MS-DOS,输入命令:arp -a ,查看网关IP对应的正确MAC地址,将其记录下来。
步骤二:如已经有正确的网关MAC地址,手工绑定可在MS-DOS窗口下运行以下命令:Arp -s 网关IP 网关MAC但是,需要说明的是,手工绑定在计算机关机重开机后就会失效,需要再次绑定。
二、解毒DIY的“外援”对于感染病毒的计算机,如果严重的影响到网络通讯质量,造成恶劣影响的,学院网管中心有责任责令其杀毒,并对其采取断网的处理措施,直到其对网络无影响为止。
更重要的宜宾学院网管中心是,通过此次宣传,希望各位老师、同学能增强使用网络的安全意识,能主动安装查杀病毒软件和防火墙软件来保证本机的安全,同时这也是对保证大家共有网络的正常使用作出了贡献。
arp欺骗类型病毒处理方法及流程
ARP欺骗类型病毒处理方法及流程最近公司网络网络变满或者出现时断时续的情况经查明为多为ARP欺骗病毒:一、故障原因:ARP欺骗类型病毒感染方式较多,此病毒全称为PWsteal.lemir.gen的一种木马,此类型病毒主要针对传奇,魔兽世界,QQ等程序。
此木马存在多个变种,病毒名称只是通称,并且每个变种导致的现象都不一样。
为此,查询了此病毒的多个变种的危害,发现其中一个变种会在局域网中进行ARP欺骗,其发作从而导致对局域网的连通性(时断时续)照成重大影响。
二病毒原理:当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和交换机,让所有上网的流量必须经过病毒主机。
其他用户原来直接通过交换机上网现在转由通过病毒主机上网,由交换机切换到病毒主机的时候用户会断一次线。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。
当ARP欺骗的木马程序停止运行时,用户会恢复通过交换机上网(此时交换机MAC地址表正常),切换过程2.接到客户端的广播请求后,冒充网关进行回应MAC地址,但是此MAC地址为伪造3.客户端获得网关的MAC地址,试图进行通讯,但是此MAC为伪造,导致通讯失败4.客户端无法上网四、1.首先找到ARP欺骗病毒发作的网络,在3层交换机上察看arp表,如果能够发现很多ip被同一mac占用,基本可以肯定就是这个maco另外arp传播能力并不强,基本上杀一个少一个,也可以在交换机上监听看看到底哪个地址在不停的发arp的包,确定了这个地址就是病毒源。
2.找到网络中感染ARP病毒的机器后,使用杀毒软件(升级最新病毒库)或专杀工具查杀。
五、WIN2K对于此病毒解决办法:1.此病毒文件名为KB5786825.LOQ将自己存放在WINNT目录下,看上去类似windows安装补丁之后产生的LOG文件,事实上此病毒为dll文件,只不过被修改了后缀,并采用注入到其他程序运行而达到隐蔽自己的目的,并且在每次开机通过注册表键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\Applnit_DLLs 来加载自己,达到每次开机即运行的目的2.目前防病毒软件的病毒定义码已经可以识别此病毒,但是由于是DLL文件,所以可能无法清除,可以采用以下的手动清除方法3.册IJ 除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs 的内容,注意是删除内容,不是删除此键值4.重新启动计算机5.访问WINNT目录,手动删除KB5786825.LOG文件六、防范措施:1.在防火墙上作策略,将查出ARP欺骗包丢弃掉。
WinArpAttackerV3.5(ARP攻击工具)
WinArpAttackerV3.5(ARP攻击工具)绿色中文版转载自wuzhong369现在网上很多关于ARP攻击的文章,但多数是描述其原理,少数会以某个工具作为例子展开说明,但感觉说的还是不够详细,今天写个文章以实战介绍一个叫“WinArpAttacker”的工具。
WinArpAttacker是一个很出名的ARP攻击工具,功能也很强大,没有用过的朋友可以在上网搜一下,下载这里就不提供了。
这里先简单介绍一下这工具的基本用法(如果对于ARP攻击原理不熟悉的朋友可以先看看:>):1. 首先是下载软件,然后安装(废话...),注意一下:WinArpAttacker需要WinPcap作为支持,所以你的机器得先安装WinPcap,我现在装的是4.0.0,不知道还有没有更新的版本。
2. 运行WinArpAttacker.EXE,噢,开始了(这里的演示只是为学习之用,请各位不要大搞破坏,不然警察叔叔找你,我不负责!!!)。
首先,我们先来扫一下局域网的机器,如图:发现了不少机器~~呵呵~这次被攻击的苦主是我的另外一台机器,IP是192.168.56.178,如图:OK,一切都准备就绪了,现在正式介绍一下WinArpAttacker的功能:在ToolBar里面,可以看到Attack这个图标,里面有几个选项:1).Flood: 连续并且大量地发送“Ip Conflict”包(此功能有可能会导致对方DOWN机)。
2).BanGateway: 发包欺骗网关,告诉网关错误的目标机MAC地址,导致目标机无法接收到网关发送的包(这个功能我还没有研究透,因为对目标机器使用这种攻击,但它还是能上网,可能是公司的网关有ARP防火墙作保护)。
3).Ip Conflict: 发送一个IP一样但Mac地址不一样的包至目标机,导致目标机IP冲突。
(频繁发送此包会导致机器断网),这个和第一功能的效果我就不截图了,如果被攻击,效果很明显,在你机器的右下角会有个IP冲突的标志....这里就不多说了。
常见病毒专杀工具
CIH破坏的硬盘数据修复工具rav.rec的下载
/zsgj/rav.rec
Sircam(W32.Sircam.Worm)病毒的修复工具 /zsgj/RepairEXE.reg
斯文(Worm.Swen)病毒专杀工具 /zsgj/rssw.exe
V宝贝(Win32.Worm.BabyV)病毒专杀工具 /zsgj/ravbabyv.exe
SCO炸弹(Worm.Novarg)病毒专杀工具 /zsgj/RavNovarg.exe
爱情后门(Worm.LovGate)病毒专杀工具 /zsgj/
震荡波(Worm.Sasser)病毒专杀工具 /zsgj/RavSasser.exe
网络天空(sky)窃密者(TrojanSpy.Stock)专杀工具 /zsgj/ravstock.exe
MSN病毒(Worm.msn.funny)专杀工具 /zsgj/RavFunny.exe
求职信(Worm.Klez)系列病毒专杀工具 /zsgj/RS_klez.exe
求职信(Worm.Klez)文件恢复工具 /zsgj/RSRepair.exe
CIH破坏的硬盘数据修复工具Anticih.exe的下载
冲击波(Worm.Blaster)病毒专杀工具 /zsgj/ravblaster.exe
ADODB.Stream漏洞防范工具 /zsgj/Fix_ADODB.Stream.exe
怪物(Worm.Bugbear)病毒专杀工具 /zsgj/
泡沫人(Worm.P2p.Fizzer)病毒专杀工具 /zsgj/ravfizzer.exe
WYX引导区病毒专杀工具 /zsgj/ravwyx.exe
ARP病毒的彻底解决思路
ARP病毒的彻底解决思路ARP病毒的彻底解决思路写这个帖子有两个原因,第一、单位前一段时间中了这个病毒;第二看见还有好多人一直询问中了arp后怎么办。
首先开始之前假如几个数字;假如当前网关为:192.168.1.1 真实的mac地址是:00-00-00-00-00-01假如中毒的机子为:192.168.1.8 其真实mac地址为:00-00-00-00-00-08网络还同时存在主机:192.168.1.2 其真实mac地址为:00-00-00-00-00-02192.168.1.3 其真实mac地址为:00-00-00-00-00-03其中,中毒后,192.168.1.2和192.168.1.3的主机的arp缓存表中,网关的mac地址变成00-00-00-00-00-08,也就是被192.168.1.8的主机欺骗了。
以上只是为了方便说明情况,假如的几个数字。
如何判断局域网中了arp,这里就不说了~~下面提供三种解决思路:一、【原创】利用网关欺骗中毒的机子,从而找到中毒的机子这个方法是自己想的,也试验成功了,不知道别人有没有用过这个方法。
这个方法适用于大型的网络中,主机不好找的时候。
言归正传,在中毒后,网关的mac地址被欺骗,这个时候用mac地址扫描器,扫描网络中各个主机的mac地址和ip地址时就会发现,192.168.1.1和192.168.1.1.8的主机的mac地址相同。
那么我们可以利用,网关的arp缓存或者服务器的arp缓存表来欺骗中毒的机子,使这台机子脱离局域网,从而达到隔离中毒机子的目的。
查看网关或者服务器的arp缓存表。
(具体命令,怎么进入暂不说)在命令提示符状态下输入:========================命令提示符状态===================arp -d 192.168.1.8arp -s 192.168.1.8 00:50:50:50:50:50arp -s 192.168.230.230 00:00:00:00:00:08========================命令提示符状态===================上面的什么意思呢?第一行:arp -d 192.168.1.8即删除当前arp缓存表中,192.168.1.8的主机的信息。
彩影ARP防火墙 使用教程”
如果病毒在注册表或系统服务中添加了启动项目,还可以选择“清除注册表启动项”和“清除系统服务启动项”复选框,将病毒启动项目删除。
3.主动防御攻击
彩影ARP防火墙的保护功能可以设置得更强大,单击工具栏上的选项卡,选择其中的“当检测到来自非可信路由的IP包时启动主动防御”复选框,以保证IP包均来自网关并防范ARP欺骗的攻击。
此外,在“攻击拦截”选项卡中,还可以拦截本机对外的DOS攻击和ARP的发送,并且可以将“ARP抑制”设置为“安全模式”,以阻止一切来源于局域网内其他主机的不安全的网络数据交换。
2.攻击检测查杀
彩影ARP防火墙可以自动检测拦截由病毒引起的本机对外的ARP攻击,拦截到攻击后,选择“安全事件”选项卡,查看详细的攻击数据信息,可看到病毒攻击的时间与病毒进程名。
切换到“抑制发送ARP”选项卡,用鼠标右键单击病毒进程数据信息,在弹出的快捷菜单中选择【查杀恶意程序】命令,弹出“进程信息”对话框。在对话框中可以看到病毒进程的详细信息,选择右侧的“终止进程”和“删除文件”复选框,单击【确定】按钮即可清除ARP欺骗病毒。
然后选择“防御”选项卡,将“主动防御”功能设置为“警戒”,并选择“智能防御模式,检测到异常时自动启动”复选框,可以在安全防御ARP欺骗攻击的同时减少防御功能对系统资源的占用。
如果智能防御模式不能抵御ARP欺骗的攻击,那么可以将“主动防御”功能设置为“始终启用”来强制开启防御功能,在此模式下将会占用较大的系统资源
“彩影ARP防火墙 V5.0 beta 1”是一个ARP欺骗攻击扫描、检测、清除与防御的工具。该软件可以查杀正在对外攻击的ARP欺骗且无须升级病毒库特征,效率非常高。
1.安装开启
安装并运行“彩影ARP防火墙 V5.0 beta 1”,单击【开始】按钮,软件即可自动检测拦截由病毒引起的本机对外的ARP攻击
浅谈计算机网络故障及分析
浅谈计算机网络故障及分析摘要:随着计算机及网络技术的发展与普及,计算机已经成为人们日常生活及工作必不可少的工具,网络故障也极为普遍,网络故障的种类也多种多样、千奇百怪,而解决这些问题的方法也各有不同,因此,本文重要针对计算机网络存在的各种故障提出相应的处理方法与策略,以便人们在使用网络过程更加快捷、更方便、更畅通。
关键词:计算机网络故障维护解决方法随着网络技术的普及,在给人们的生活和工作带来便捷的同时,我们也应该意识到,这种积极的效果背后依然隐藏着风险,一旦网络瘫痪或者运行状态不佳,关键数据将不能得到有效的共享和传递,最终将导致工作效率降低,给整体工作带来巨大影响,因此网络维护已经成为计算机网络管理的重要内容,客观要求计算机网络能够正常、安全的运行和工作,从而保证网络的安全性、保密性、可靠性、合法性和有效性,充分发挥计算机网络应有的功能和作用。
在网络维护中,必须尽快找到网络故障点,针对存在的故障问题,采取相应的维护、改进和保证措施。
1 计算机网络常见故障分析计算机网络故障主要是指计算机无法实现联网或者无法实现全部联网。
当今社会计算机网络遍及世界各个角落,网络故障已经成为人们经常遇到的问题,虽然网络故障十分繁琐,但根据常见的网络问题来看,网络故障可分为物理故障与逻辑故障两种,也就是我们常说的硬件故障与软件故障。
下面我们介绍几种常见的网络故障。
1.1 网速变慢的问题在众多的网络故障中,最令人头疼的是网络是通的,但网速很慢。
遇到这类问题,我们可以考虑到病毒木马原因;使用了p2p下载软件导致占用带宽资源很大;多台电脑共享上网,可能共享网络中的电脑有ARP病毒;线路老化,或路由器坏了或质量差(电路板品质);电脑和网站处在不同网络环境,例如网通用户与电信网站之间的访问;网站自身的问题,网站所在的服务器很差,带宽有限导致的网速变慢;系统效率或硬件问题。
1.2 网线问题双绞线是由四对线严格而合理地紧密绕合在一起的,以减少背景噪音的影响。
ARP病毒攻击
解读APR病毒将ARP一网打尽时间:2008-08-18 00:00来源:中国网管联盟作者:bitsCN整理点击:3083次一、ARP病毒网管联盟ARP地址欺骗类病毒(以下简称ARP病毒)是一类特殊的病毒,该病毒一般属于木马(Trojan)病毒,不具备主动传播的特性,不会自我复制。
但是由于其发作的时候会向全网发送伪造的ARP数据包,干扰全网的运行,因此它的危害比一些蠕虫还要严重得多。
中国网管联盟www、bitsCN、com二、ARP病毒发作时的现象网管联盟网络掉线,但网络连接正常,内网的部分PC机不能上网,或者所有电脑不能上网,无法打开网页或打开网页慢,局域网时断时续并且网速较慢等。
中国网管联盟www、bitsCN、com三、ARP病毒原理中国网管联盟3.1 网络模型简介网管网众所周知,按照OSI (Open Systems Interconnection Reference Model 开放系统互联参考模型) 的观点,可将网络系统划分为7层结构,每一个层次上运行着不同的协议和服务,并且上下层之间互相配合,完成网络数据交换的功能,如图1:网管网中国网管联盟www、bitsCN、com网管网bitsCN_com然而,OSI的模型仅仅是一个参考模型,并不是实际网络中应用的模型。
实际上应用最广泛的商用网络模型即TCP/IP体系模型,将网络划分为四层,每一个层次上也运行着不同的协议和服务,如图2。
网管联盟网管网bitsCN_com图2 TCP/IP四层体系模型及其配套协议中国网管联盟www、bitsCN、com上图中,蓝色字体表示该层的名称,绿色字表示运行在该层上的协议。
由图2可见,我们即将要讨论的ARP协议,就是工作在网际层上的协议。
中国网管论坛3.2 ARP协议简介中国网管联盟我们大家都知道,在局域网中,一台主机要和另一台主机进行通信,必须要知道目标主机的IP地址,但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的,只能识别其硬件地址即MAC地址。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ARP病毒专杀工具,ARP病毒入侵原理和解决方案【故障原因】局域网内有人使用ARP欺骗的木马程序(比如:传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序)。
【故障原理】要了解故障原理,我们先来了解一下ARP协议。
在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。
ARP协议对网络安全具有重要的意义。
通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。
在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。
在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。
但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。
所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下表所示。
主机IP地址MAC地址A 192.168.16.1 aa-aa-aa-aa-aa-aaB 192.168.16.2 bb-bb-bb-bb-bb-bbC 192.168.16.3 cc-cc-cc-cc-cc-ccD 192.168.16.4 dd-dd-dd-dd-dd-dd我们以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例。
当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。
如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。
这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。
同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。
ARP 缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。
对目标A进行欺骗,A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。
如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-DD,于是A发送到C上的数据包都变成发送给D的了。
这不正好是D 能够接收到A发送的数据包了么,嗅探成功。
A对这个变化一点都没有意识到,但是接下来的事情就让A产生了怀疑。
因为A和C 连接不上了。
D对接收到A发送给C的数据包可没有转交给C。
做“man in the middle”,进行ARP重定向。
打开D的IP转发功能,A发送过来的数据包,转发给C,好比一个路由器一样。
不过,假如D发送ICMP重定向的话就中断了整个计划。
D直接进行整个包的修改转发,捕获到A发送给C的数据包,全部进行修改后再转发给C,而C接收到的数据包完全认为是从A发送来的。
不过,C发送的数据包又直接传递给A,倘若再次进行对C的ARP欺骗。
现在D就完全成为A与C的中间桥梁了,对于A 和C之间的通讯就可以了如指掌了。
【故障现象】当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。
其他用户原来直接通过路由器上网现在转由通过病毒主机上,切换的时候用户会断一次线。
切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。
当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。
【HiPER用户快速发现ARP欺骗木马】在路由器的“系统历史记录”中看到大量如下的信息(440以后的路由器软件版本中才有此提示):MAC Chged 10.128.103.124MAC Old 00:01:6c:36:d1:7fMAC New 00:05:5d:60:c7:18这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址),同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。
如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时,主机在路由器上恢复其真实的MAC地址)。
【在局域网内查找病毒主机】在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址,那么我们就可以使用NBTSCAN(下载地址:/upload/nbtscan.rar)工具来快速查找它。
NBTSCAN可以取到PC的真实IP地址和MAC地址,如果有”传奇木马”在做怪,可以找到装有木马的PC的IP/和MAC地址。
命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段,即192.168.16.25-192.168.16.137。
输出结果第一列是IP地址,最后一列是MAC地址。
NBTSCAN的使用范例:假设查找一台MAC地址为“000d870d585f”的病毒主机。
1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。
2)在Windows开始—运行—打开,输入cmd(windows98输入“command”),在出现的DOS 窗口中输入:C:btscan -r 192.168.16.1/24(这里需要根据用户实际网段输入),回车。
C:Documents and SettingsALAN>C:btscan -r 192.168.16.1/24Warning: -r option not supported under Windows. Running without it.Doing NBT name scan for addresses from 192.168.16.1/24IP address NetBIOS Name Server User MAC address---------------------------------------------------------------------------192.168.16.0 Sendto failed: Cannot assign requested address192.168.16.50 SERVER 00-e0-4c-4d-96-c6192.168.16.111 LLF ADMINISTRATOR 00-22-55-66-77-88192.168.16.121 UTT-HIPER 00-0d-87-26-7d-78192.168.16.175 JC 00-07-95-e0-7c-d7192.168.16.223 test123 test123 00-0d-87-0d-58-5f3)通过查询IP--MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。
【解决思路】:1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。
2、设置静态的MAC-->IP对应表,不要让主机刷新你设定好的转换表。
3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
4、使用ARP服务器。
通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。
确保这台ARP服务器不被黑。
5、使用""proxy""代理IP的传输。
6、使用硬件屏蔽主机。
设置好你的路由,确保IP地址能到达合法的路径。
(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。
8、管理员定期轮询,检查主机上的ARP缓存。
9、使用防火墙连续监控网络。
注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
【HiPER用户的解决方案】建议用户采用双向绑定的方法解决并且防止ARP欺骗。
1、在PC上绑定路由器的IP和MAC地址:1)首先,获得路由器的内网的MAC地址(例如HiPER网关地址192.168.16.254的MAC 地址为0022aa0022aa局域网端口MAC地址>)。
2)编写一个批处理文件rarp.bat内容如下:@echo offarp -darp -s 192.168.16.254 00-22-aa-00-22-aa将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。
将这个批处理软件拖到“windows--开始--程序--启动”中。
使用方法:1、填入网关IP地址,点击[获取网关地址]将会显示出网关的MAC地址。
点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。
注意:如出现ARP欺骗提示,这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包,如果您想追踪攻击来源请记住攻击者的MAC地址,利用MAC地址扫描器可以找出IP 对应的MAC地址.2、IP地址冲突如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包,才会出现IP冲突的警告,利用Anti ARP Sniffer可以防止此类攻击。
3、您需要知道冲突的MAC地址,Windows会记录这些错误。
查看具体方法如下:右击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来源为[TcpIP]---双击事件可以看到显示地址发生冲突,并记录了该MAC地址,请复制该MAC地址并填入Anti ARP Sniffer 的本地MAC地址输入框中(请注意将:转换为-),输入完成之后点击[防护地址冲突],为了使MAC地址生效请禁用本地网卡然后再启用网卡,在CMD命令行中输入Ipconfig /all,查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符,如果更改失败请与我联系。