查中了木马电脑方法(精)

一、 ARP 地址及工作原理
ARP协议 (Address Resolution Protocol , 地址解析协议是 TCP/IP底层协议。

通常用在网络故障进行诊断的时候,也是最常用的一种底层协议。

它属于 TCP/IP(通常划分为 7层的低层协议,负责将 IP 地址解析成对应的 MAC 地址。

当一个使用TCP/IP协议进行数据交换或传输的应用程序需要从一台主机发送数据给另一台主机时,它把信息分割并封装成包, 附上目的主机的 IP 地址。

然后, 根据 IP 地址寻找实际 MAC 地址的映射, 这就需要发送 ARP 广播。

当 ARP 找到了目的主机 MAC 地址后,就可以形成待发送帧的完整以太网帧头。

最后,协议栈将 IP 包封装到以太网帧中进行传送。

用语言表述以上的内容枯燥而乏味,其实简单地理解,就是根据 IP 地址与 MAC 的映射关系,为要发送的信息加上正确的,也是唯一的地址。

为了节省 ARP 缓冲区内存,被解析过的 ARP 信息的保存周期都是有限的。

如果一段时间内该信息没有被参考过,则信息将被自动删除。

若计算机使用的是 Windows 操作系统, ARP 信息的存活周期是 2分钟, 而在大部分交换机中,该值一般都是 5分钟。

二、 ARP 工作的其他几种形式
1、反向 ARP :反向 ARP (Reverse ARP, RARP 用于把 MAC 地址转换成对应的 IP 地址。

通常这种形式主要使用在系统自身无法保存 IP 地址的环境里,例如无盘站就是典型的例子。

2、代理 ARP :代理 ARP (PROXY ARP,一般被路由器这样的网络设备使用,用来代替处于其他网段的主机回答本网段主机的 ARP 请求。

3、无为 ARP :无为(Gratuitous ARP , GARP ARP 也称为无故 ARP , 就是计算机使用本机的 IP 地址作为目标地址发送 ARP 请求。

无为 ARP 主要有两种用途, 一个作用是根据收到 ARP响应的话, 说明网络中存在重复的 IP 地址;另外一个作用是用来声明一个新的数据链路标识。

当一个网络设备收到一个 arp 请求时,如果发现 arp 缓冲区中已经存在发送者的 IP 地址,则更新此 IP 地址所对应的 MAC 地址信息。

三、 ARP 欺骗的表现
ARP 欺骗一般分为两种,一种是对路由器 ARP 表的欺骗;另一种是对内网 PC 的网关欺骗。

第一种 ARP 欺骗是截获网关数据,它通知路由器一系列错误的局域网MAC 地址,并按照一定的频率不断的更新学习进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送到错误的 MAC 地址,造成正常的计算机无法收到信息。

第二种 ARP 欺骗是通过交换机的 MAC 地址学习机制, 伪造网关。

它的原理是建立假的网关,让被它欺骗的计算机向假网关发送数据,而不是通过正常的路由器或交换途径寻找网关,造成在同一网关的所有计算机无法访问网络。

现在企业内部的局域网越来越普及, 其中接入 Internet 的企业也日益增加。

但是由于很多企业缺乏专业的网管人员,而网络管理的制度更是缺乏, 这就造成了局域网内电脑感染 ARP 地址欺骗病毒的几率非常高。

ARP 地址欺骗的危害主要表现如下:
1、网络访问时断时继,掉线频繁,网络访问速度越来越慢,有时则长时间不能上网,双击任务栏中的本地连接图标,显示为已经连接,并且发现发送的数据包明显少于接收的数据包;
2、同一网段的所有上网机器均无法正常连接网络;
3、打开·windows任务管理器,出现可疑进程,如”MIE0.dat”等进程;
4、如果是中了 ARP 欺骗病毒的话,病毒发作时除了会导致同一局域网内的其他用户出现时断时续外,还可能会窃取用户密码(如 QQ、网上银行以及其它脆弱系统帐号等,这是木马的惯用伎俩;
5、打开路由器的系统历史记录中看到大量的 MAC 更换信息。

四、 ARP 病毒(或木马的检测方法
1、已知中毒机器的 MAC 地址的情况下,可用 NBTSCAN (下载地址:
/download/nbtscan.rar 工具快速查找。

NBTSCAN 可以取到PC 的真实 IP 地址和 MAC 地址,如果有”传奇木马” 在做怪, 可以找到装有木马的PC 的 IP/和 MAC 地址。

命令:“nbtscan -r 192.168.2.0/24”(搜索整个 192.168.2.0/24网段 , 即 192.168.2.1-192.168.2.254;或“nbtscan 192.168.2.25-127”搜索 192.168.2.25-127 网段,即 192.168.2.25-192.168.2.127。

输出结果第一列是 IP 地址,最后一列是MAC 地址。

NBTSCAN的使用范例:
假如查找一台 MAC 地址为“00-0C-76-93-89-C2”的中毒主机, 可以使用如下步骤完成查找:
1 将文件包中的 nbtscan.exe 和 cygwin1.dll 解压缩放到 c:\根目录下。

2运行 cmd ,在出现的 DOS 窗口中输入:
C:\nbtscan -r 192.168.2.1/24(这里需要根据用户实际网段输入, 回车。

C:\Documents and Settings\me>C:\nbtscan -r 192.168.2.1/24 Warning: -r option not supported under Windows. Running without it.
Doing NBT name scan for addresses from 192.168.2.1/24
IP address NetBIOS Name Server User MAC address
-------------------------------------------
192.168.2.0 Sendto failed: Cannot assign requested address 192.168.2.50 SERVER 00-11-09-EC-92-91
192.168.2.111 LLF
192.168.2.121 UTT-HIPER 00-13-46-E2-78-F9
192.168.2.175 JC 00-0B-2F-07-D5-AE
192.168.2.223 test123
3通过查询 IP--MAC 对应表,查出“00-0C-76-93-89-C2”的病毒主机的 IP 地址为“192.168.2.223”。

2、 MSS 用户查找法:
在 MSS 服务器管理内, “安全设置”->“MAC -IP 地址安全”, 使用“全网扫描”功能可得到当前 MSS 服务器上 ARP 地址的缓存表,在 ARP 欺骗病毒 (或木马开始运行的时候, 局域网内所有或部分主机的 MAC 地址更新为病毒主机的 MAC 地址(也就是扫描出的列表中,所有或部分主机的的 MAC 地址与病毒主机的 MAC 地址相同
五、 ARP 病毒(或木马的预防或解决措施
1、清空 ARP 缓存 : 大家可能都曾经有过使用 ARP 的指令法解决过 ARP 欺骗问题,该方法是针对 ARP 欺骗原理进行解决的。

一般来说 ARP 欺骗都是通过发送虚假的 MAC 地址与 IP地址的对应 ARP 数据包来迷惑网络设备,用虚假的或错误
的 MAC 地址与 IP 地址对应关系取代正确的对应关系。

若是一些初级的 ARP 欺骗,可以通过 ARP的指令来清空本机的 ARP 缓存对应关系,让网络设备从网络中重新
获得正确的对应关系,具体解决过程如下:
第一步:通过点击桌面上任务栏的“开始” ->“运行”,然后输入 cmd 后回车,进入cmd(黑色背景命令行模式;
第二步:在命令行模式下输入 arp -a 命令来查看当前本机储存在本地系统 ARP 缓存中 IP 和 MAC 对应关系的信息;
第三步:使用 arp -d 命令,将储存在本机系统中的 ARP 缓存信息清空,这样错误的 ARP 缓存信息就被删除了,本机将重新从网络中获得正确的 ARP 信息,达到局域网机器间互访和正常上网的目的。

如果是遇到使用 ARP 欺骗工具来进行攻击的情况, 使用上述的方法完全
可以解决。

但如果是感染 ARP 欺骗病毒，病毒每隔一段时间自动发送 ARP 欺骗数据包，这时使用清空 ARP 缓存的方法将无能为力了。

下面将接收另外一种，可以解决感染 ARP 欺骗病毒的方法。

2、指定 ARP 对应关系：其实该方法就是强制指定 ARP 对应关系。

由于绝大部分 ARP 欺骗病毒都是针对网关 MAC 地址进行攻击的，使本机上 ARP 缓存中存储的网关设备的信息出现紊乱，这样当机器要上网发送数据包给网关时就会因为地址错误而失败，造成计算机无法上网。

第一步：我们假设网关地址的 MAC 信息为 00-14-78-a7-77-5c，对应的 IP 地址为192.168.2.1。

指定 ARP 对应关系就是指这些地址。

在感染了病毒的机器上，点击桌面->任务栏的“开始”->“运行”，输入 cmd 后回车，进入 cmd 命令行模式；第二步：使用 arp -s 命令来添加一条 ARP 地址对应关系，例如 arp -s 192.168.2.1 00-14-78-a7-77-5c 命令。

这样就将网关地址的 IP 与正确的 MAC 地址绑定好了，本机网络连接将恢复正常了；第三步：因为每次重新启动计算机的时候， ARP 缓存信息都会被全部清除。

所以我们应该把这个 ARP 静态地址添加指令写到一个批处理文件（例如：bat）中，然后将这个文件放到系统的启动项中。

当程序随系统的启动而加载的话，就可以免除因为 ARP 静态映射信息丢失的困扰了。

3、添加路由信息应对 ARP 欺骗：一般的 ARP 欺骗都是针对网关的，那么我们是否可以通过给本机添加路由来解决此问题呢。

只要添加了路由，那么上网时都通过此路由出去即可，自然也不会被 ARP 欺骗数据包干扰了。

第一步：先通过点击桌面上任务栏的“开始”->“运行”，然后输入 cmd 后回车，进入 cmd(黑色背景命令行模式；第二步：手动添加路由，详细的命令如下：删除默认的路由: route delete 0.0.0.0; 添加路由: metric 1; 确认修改: route change route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.254 此方法对网关固定的情况比较适合，如果将来更改了网关，那么就需要更改所有的客户端的路由配置了。

4、安装杀毒软件：安装杀毒软件并及时升级，另外建议有条件的企业可以使用网络版的防病毒软件，例如趋势、诺顿等。

单机用户可以考虑瑞星、卡巴司基等单机版的杀毒软件，查杀效果都还不错；
5、使用 ARP 类专杀工具查杀：
下载并安装防止 ARP 地址欺骗软件 ANTIARP，下载地址如下：
/ 6、追根溯源：大部分 arp 欺骗软件都会使用一个叫winpcap 的驱动，因此避免该程序的安装就可以从源头防止 arp 欺骗。

但是由于此方法需要将网络配置成域环境，然而很多企业的网络并没有配置成域，所以并不此适用方法，在这里不再详细介绍了，各位如果感兴趣，可以上网查阅相关的资料。