中APR病毒了,急...高手请进

2024-11-27 14:35:29
推荐回答(2个)
回答(1):

ARP病毒
ARP病毒
传奇外挂携带的ARP木马攻击,当局域网内使用外挂时,外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上,向局域网内大量发送ARP包,致同一网段地址内的其它机器误将其作为网关,掉线时内网是互通的,计算机却不能上网。方法是在能上网时,进入MS-DOS窗口,输入命令:arp –a查看网关IP对应的正确MAC地址,将其记录,如果已不能上网,则先运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网,一旦能上网就立即将网络断掉,禁用网卡或拔掉网线,再运行arp –a。
如已有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。可在MS-DOS窗口下运行以下命令:arp –s 网关IP 网关MAC。如被攻击,用该命令查看,会发现该MAC已经被替换成攻击机器的MAC,将该MAC记录,以备查找。找出病毒计算机:如果已有病毒计算机的MAC地址,可使用NBTSCAN软件找出网段内与该MAC地址对应的IP,即病毒计算机的IP地址。

〇故障原因

主要原因是在局域网中有人使用了ARP欺骗的木马程序,比如一些盗号的软件。

〇故障现象

当局域网内有某台电脑运行了此类ARP欺骗的木马的时候,其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。

切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。

由于ARP欺骗的木马发作的时候会发出大量的数据包导致局域网通讯拥塞,用户会感觉上网速度越来越慢。当木马程序停止运行时,用户会恢复从路由器上网,切换中用户会再断一次线。

〇解决思路

不要把你的网络安全信任关系建立在IP基础上或MAC基础上。
设置静态的MAC-->IP对应表,不要让主机刷新你设定好的转换表。
除非必要,否则停止ARP使用,把ARP做为永久条目保存在对应表中。
使用ARP服务器。确保这台ARP服务器不被黑。
使用"proxy"代理IP传输。
使用硬件屏蔽主机。
定期用响应的IP包中获得一个rarp请求,检查ARP响应的真实性。
定期轮询,检查主机上的ARP缓存。
使用防火墙连续监控网络。
〇解决方案

建议采用双向绑定解决和防止ARP欺骗。在电脑上绑定路由器的IP和MAC地址

首先,获得路由器的内网的MAC地址(例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa局域网端口MAC地址>)。
编写一个批处理文件rarp.bat内容如下:
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa

将网关IP和MAC更改为您自己的网关IP和MAC即可,让这个文件开机运行(拖到“开始-程序-启动”)。

ARP攻击时的主要现象:
1、网上银行、游戏及QQ账号的频繁丢失
一些人为了获取非法利益,利用ARP欺骗程序在网内进行非法活动,此类程序的主要目的在于破解账号登陆时的加密解密算法,通 过截取局域网中的数据包,然后以分析数据通讯协议的方法截获用户的信息。运行这类木马病毒,就可以获得整个局域网中上网用 户账号的详细信息并盗取。
2、网速时快时慢,极其不稳定,但单机进行光纤数据测试时一切正常
当局域内的某台计算机被ARP的欺骗程序非法侵入后,它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包, 阻塞网络通道,造成网络设备的承载过重,导致网络的通讯质量不稳定。
3、局域网内频繁性区域或整体掉线,重启计算机或网络设备后恢复正常
当带有ARP欺骗程序的计算机在网内进行通讯时,就会导致频繁掉线,出现此类问题后重启计算机或禁用网卡会暂时解决问题,但掉 线情况还会发生。
参考资料:百度百科

回答(2):

故障现象】

中毒的计算机会修改网关或其他计算机的网卡MAC地址为中毒机器网卡的MAC地址,在主机,进入dos窗口,用arp –a命令有时可以看到两条或两条以上的MAC记录。

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从交换机上网。

近来已经有很多单位中了这种病毒攻击。有两种典型情况:

1、 中毒的源机器,会把同网段的其他机器的MAC修改成了跟它一样的MAC。在路由器上查看arp表,会发现很多不同ip对应同一MAC的情况。

2、 中毒的源机器,把网关的MAC修改成了自己的MAC或伪造出来的MAC。其他机器误以为它是网关,数据都发送给它。

两种情况都会造成网速变慢、掉线、网络中断。

【解决方法】

1.使用由信息网络中心提供的正版瑞星杀毒软件,下在地址: http://192.168.0.254

下载安装客户端软件(输入正确的中心IP地址192.168.0.254)。我局使用的瑞星杀毒软件(网络版)可实现自动升级,全网定时杀毒,自动对下载的计算机操作系统进行漏洞扫描及打补丁处理。

2.从高关水库网站上下载批处理文件(后缀是bat)(也可从附件下载),点击“开始”,进入“程序”项中,按鼠标左键双击“启动”项,将对应的批处理文件复制到启动项中(如下图)。这样每次开机时,系统都会自动刷新ARP表。如果有人刷新了你的ARP缓存表,你也可点击运行此bat文件再次恢复。

3.提醒用户不要运行从网站下载或通过BT、QQ等传播的软件,提高用户的安全防范意识。

可以去这里看看http://www.auyou.com/myweb/web15/wdwzinfo.asp?c_uid=szjun&auto_id=100615