ARP防火墻綁定網(wǎng)關(guān)MAC地址預(yù)防ARP攻擊和P2P終結(jié)者
【故障原理】
要了解故障原理,我們先來了解一下ARP協(xié)議。
在局域網(wǎng)中,通過ARP協(xié)議來完成IP地址轉(zhuǎn)換為第二層物理地址(即MAC地址)的。ARP協(xié)議對網(wǎng)絡(luò)安全具有重要的意義。通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙,能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞。
ARP協(xié)議是“Address Resolution Protocol”(地址解析協(xié)議)的縮寫。在局域網(wǎng)中,網(wǎng)絡(luò)中實際傳輸?shù)氖?ldquo;幀”,幀里面是有目標主機的MAC地址的。在以太網(wǎng)中,一個主機要和另一個主機進行直接通信,必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢?它就是通過地址解析協(xié)議獲得的。所謂“地址解析”就是主機在發(fā)送幀前將目標IP地址轉(zhuǎn)換成目標MAC地址的過程。ARP協(xié)議的基本功能就是通過目標設(shè)備的IP地址,查詢目標設(shè)備的MAC地址,以保證通信的順利進行。
每臺安裝有TCP/IP協(xié)議的電腦里都有一個ARP緩存表,表里的IP地址與MAC地址是一一對應(yīng)的,如下所示。
主機 IP地址 MAC地址
A 192.168.16.1 aa-aa-aa-aa-aa-aa
B 192.168.16.2 bb-bb-bb-bb-bb-bb
C 192.168.16.3 cc-cc-cc-cc-cc-cc
D 192.168.16.4 dd-dd-dd-dd-dd-dd
我們以主機A(192.168.16.1)向主機B(192.168.16.2)發(fā)送數(shù)據(jù)為例。當發(fā)送數(shù)據(jù)時,主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了,也就知道了目標MAC地址,直接把目標MAC地址寫入幀里面發(fā)送就可以了;如果在ARP緩存表中沒有找到相對應(yīng)的IP地址,主機A就會在網(wǎng)絡(luò)上發(fā)送一個廣播,目標MAC地址是“FF.FF.FF.FF.FF.FF”,這表示向同一網(wǎng)段內(nèi)的所有主機發(fā)出這樣的詢問:“192.168.16.2的MAC地址是什么?”網(wǎng)絡(luò)上其他主機并不響應(yīng)ARP詢問,只有主機B接收到這個幀時,才向主機A做出這樣的回應(yīng):“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。這樣,主機A就知道了主機B的MAC地址,它就可以向主機B發(fā)送信息了。同時它還更新了自己的ARP緩存表,下次再向主機B發(fā)送信息時,直接從ARP緩存表里查找就可以了。ARP緩存表采用了老化機制,在一段時間內(nèi)如果表中的某一行沒有使用,就會被刪除,這樣可以大大減少ARP緩存表的長度,加快查詢速度。
從上面可以看出,ARP協(xié)議的基礎(chǔ)就是信任局域網(wǎng)內(nèi)所有的人,那么就很容易實現(xiàn)在以太網(wǎng)上的ARP欺騙。對目標A進行欺騙,A去Ping主機C卻發(fā)送到了DD-DD-DD-DD-DD-DD這個地址上。如果進行欺騙的時候,把C的MAC地址騙為DD-DD-DD-DD-DD-DD,于是A發(fā)送到C上的數(shù)據(jù)包都變成發(fā)送給D的了。這不正好是D能夠接收到A發(fā)送的數(shù)據(jù)包了么,嗅探成功。
A對這個變化一點都沒有意識到,但是接下來的事情就讓A產(chǎn)生了懷疑。因為A和C連接不上了。D對接收到A發(fā)送給C的數(shù)據(jù)包可沒有轉(zhuǎn)交給C。
做“man in the middle”,進行ARP重定向。打開D的IP轉(zhuǎn)發(fā)功能,A發(fā)送過來的數(shù)據(jù)包,轉(zhuǎn)發(fā)給C,好比一個路由器一樣。不過,假如D發(fā)送ICMP重定向的話就中斷了整個計劃。
D直接進行整個包的修改轉(zhuǎn)發(fā),捕獲到A發(fā)送給C的數(shù)據(jù)包,全部進行修改后再轉(zhuǎn)發(fā)給C,而C接收到的數(shù)據(jù)包完全認為是從A發(fā)送來的。不過,C發(fā)送的數(shù)據(jù)包又直接傳遞給A,倘若再次進行對C的ARP欺騙。現(xiàn)在D就完全成為A與C的中間橋梁了,對于A和C之間的通訊就可以了如指掌了。#p#
【故障現(xiàn)象】
當局域網(wǎng)內(nèi)某臺主機運行ARP欺騙的木馬程序時,會欺騙局域網(wǎng)內(nèi)所有主機和路由器,讓所有上網(wǎng)的流量必須經(jīng)過病毒主機。其他用戶原來直接通過路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過病毒主機上網(wǎng),切換的時候用戶會斷一次線。
切換到病毒主機上網(wǎng)后,如果用戶已經(jīng)登陸了傳奇服務(wù)器,那么病毒主機就會經(jīng)常偽造斷線的假像,那么用戶就得重新登錄傳奇服務(wù)器,這樣病毒主機就可以盜號了。
由于ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制,用戶會感覺上網(wǎng)速度越來越慢。當ARP欺騙的木馬程序停止運行時,用戶會恢復(fù)從路由器上網(wǎng),切換過程中用戶會再斷一次線。
【HiPER用戶快速發(fā)現(xiàn)ARP欺騙木馬】
在路由器的“系統(tǒng)歷史記錄”中看到大量如下的信息(440以后的路由器軟件版本中才有此提示):
MAC Chged 10.128.103.124
MAC Old 00:01:6c:36:d1:7f
MAC New 00:05:5d:60:c7:18
這個消息代表了用戶的MAC地址發(fā)生了變化,在ARP欺騙木馬開始運行的時候,局域網(wǎng)所有主機的MAC地址更新為病毒主機的MAC地址(即所有信息的MAC New地址都一致為病毒主機的MAC地址),同時在路由器的“用戶統(tǒng)計”中看到所有用戶的MAC地址信息都一樣。
如果是在路由器的“系統(tǒng)歷史記錄”中看到大量MAC Old地址都一致,則說明局域網(wǎng)內(nèi)曾經(jīng)出現(xiàn)過ARP欺騙(ARP欺騙的木馬程序停止運行時,主機在路由器上恢復(fù)其真實的MAC地址)。#p#
【在局域網(wǎng)內(nèi)查找病毒主機】
在上面我們已經(jīng)知道了使用ARP欺騙木馬的主機的MAC地址,那么我們就可以使用NBTSCAN(下載地址:http://www.utt.com.cn/upload/nbtscan.rar)工具來快速查找它。
NBTSCAN可以取到PC的真實IP地址和MAC地址,如果有”傳奇木馬”在做怪,可以找到裝有木馬的PC的IP/和MAC地址。
命令:“nbtscan -r 192.168.16.0/24”(搜索整個192.168.16.0/24網(wǎng)段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 網(wǎng)段,即192.168.16.25-192.168.16.137。輸出結(jié)果第一列是IP地址,最后一列是MAC地址。
NBTSCAN的使用范例:
假設(shè)查找一臺MAC地址為“000d870d585f”的病毒主機。
1)將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下。
2)在Windows開始—運行—打開,輸入cmd(windows98輸入“command”),在出現(xiàn)的DOS窗口中輸入:C: btscan -r 192.168.16.1/24(這里需要根據(jù)用戶實際網(wǎng)段輸入),回車。
3)通過查詢IP--MAC對應(yīng)表,查出“000d870d585f”的病毒主機的IP地址為“192.168.16.223”。
【解決思路】
1、不要把你的網(wǎng)絡(luò)安全信任關(guān)系建立在IP基礎(chǔ)上或MAC基礎(chǔ)上,(rarp同樣存在欺騙的問題),理想的關(guān)系應(yīng)該建立在IP+MAC基礎(chǔ)上。
2、設(shè)置靜態(tài)的MAC-->IP對應(yīng)表,不要讓主機刷新你設(shè)定好的轉(zhuǎn)換表。
3、除非很有必要,否則停止使用ARP,將ARP做為永久條目保存在對應(yīng)表中。
4、使用ARP服務(wù)器。通過該服務(wù)器查找自己的ARP轉(zhuǎn)換表來響應(yīng)其他機器的ARP廣播。確保這臺ARP服務(wù)器不被黑。
5、使用"proxy"代理IP的傳輸。
6、使用硬件屏蔽主機。設(shè)置好你的路由,確保IP地址能到達合法的路徑。(靜態(tài)配置路由ARP條目),注意,使用交換集線器和網(wǎng)橋無法阻止ARP欺騙。
7、管理員定期用響應(yīng)的IP包中獲得一個rarp請求,然后檢查ARP響應(yīng)的真實性。
8、管理員定期輪詢,檢查主機上的ARP緩存。
9、使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)。注意有使用SNMP的情況下,ARP的欺騙有可能導(dǎo)致陷阱包丟失。#p#
【HiPER用戶的解決方案】
建議用戶采用雙向綁定的方法解決并且防止ARP欺騙。
1、在PC上綁定路由器的IP和MAC地址:
1)首先,獲得路由器的內(nèi)網(wǎng)的MAC地址(例如HiPER網(wǎng)關(guān)地址192.168.16.254的MAC地址為0022aa0022aa)。
2)編寫一個批處理文件rarp.bat內(nèi)容如下:
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa
將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為您自己的網(wǎng)關(guān)IP地址和MAC地址即可。
將這個批處理軟件拖到“windows--開始--程序--啟動”中。
3)如果是網(wǎng)吧,可以利用收費軟件服務(wù)端程序(pubwin或者萬象都可以)發(fā)送批處理文件rarp.bat到所有客戶機的啟動目錄。Windows2000的默認啟動目錄為“C:\Documents and SettingsAll Users「開始」菜單程序啟動”。
2、在路由器上綁定用戶主機的IP和MAC地址(440以后的路由器軟件版本支持):
在HiPER管理界面--高級配置--用戶管理中將局域網(wǎng)每臺主機均作綁定。
例
一、有人惡意破壞網(wǎng)絡(luò)。
這種事情,一般會出現(xiàn)在網(wǎng)吧,或是一些人為了找到更好的網(wǎng)吧上網(wǎng)座位,強行讓別人斷線。
又或是通過ARP欺騙偷取內(nèi)網(wǎng)帳號密碼。
二,病毒木馬
如:傳奇網(wǎng)吧殺手等,通過ARP欺騙網(wǎng)絡(luò)內(nèi)的機器,假冒網(wǎng)關(guān)。從而偷取對外連接傳奇服務(wù)器的密碼。
ARP欺騙的原理如下:
假設(shè)這樣一個網(wǎng)絡(luò),一個交換機接了3臺機器
HostA HostB HostC 其中
A的地址為:IP:192.168.1.1 MAC: AA-AA-AA-AA-AA-AA ---------網(wǎng)關(guān)
B的地址為:IP:192.168.1.2 MAC: BB-BB-BB-BB-BB-BB -------- 黑客
C的地址為:IP:192.168.1.3 MAC: CC-CC-CC-CC-CC-CC ---------被欺騙者
正常情況下 C:\arp -a
Interface: 192.168.1.3 on Interface 0x1000003
Internet Address Physical Address Type
192.168.1.1 BB-BB-BB-BB-BB-BB dynamic
現(xiàn)在假設(shè)HostB開始了罪惡的ARP欺騙:假冒A像c發(fā)送ARP欺騙包
B向C發(fā)送一個自己偽造的ARP欺騙包,而這個應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.1.1(網(wǎng)關(guān)的IP地址),MAC地址
是BB-BB-BB-BB-BB-BB (A的MAC地址本來應(yīng)該是AA-AA-AA-AA-AA-AA,這里被偽造了)。當C接收到B偽造的ARP應(yīng)答,就會更新
本地的ARP緩存(C可不知道被偽造了)。而且C不知道其實是從B發(fā)送過來的,這樣C就受到了B的欺騙了,凡是發(fā)往A的數(shù)據(jù)就會發(fā)往B,
這時候那么是比較可怕的,你的上網(wǎng)數(shù)據(jù)都會先流向B,在通過B去上網(wǎng),如果這時候B上裝了SNIFFER軟件,那么你的所有出去的密碼都將被截獲。
為了以后出現(xiàn)問題的時候好查找,我建議大家平時建立一個MAC和IP的對應(yīng)表,把局域網(wǎng)內(nèi)所有網(wǎng)卡的MAC地址和IP、地理位置統(tǒng)統(tǒng)裝入數(shù)據(jù)庫
,以便當以后發(fā)現(xiàn)ARP 欺騙時找出欺騙者的機器。#p#
二、防范措施和解決方法。
方法一
通過arp –s 來綁定網(wǎng)關(guān)的MAC 地址和IP 地址。
這種方法對于XP 和2003系統(tǒng)是有用的,使用arp –s 來綁定的話。那么在ARP表中顯示的是一條靜態(tài)的記錄。
這樣就不會被動態(tài)的ARP 欺騙包給欺騙,而修改。
那么在2000的系統(tǒng)上也是可以使用arp -s來進行綁定得,在SP4的2000系統(tǒng)上需要下載2000 Rollup v2更新補丁包,ARP的補丁已經(jīng)包含在里面 了,大小應(yīng)該在38MB那樣。
http://download.microsoft.com/download/7/e/9/7e969f31-e33d-45a2-9d1a-fecbcde29a0e/Windows2000-KB891861-v2-x86-CHS.EXE
并且裝好后,下面幾個文件不能小于下面的版本號。
Date Time Version Size File name
--------------------------------------------------------
19-Jun-2003 20:05 5.0.2195.6602 108,816 Msafd.dll
02-Jun-2004 22:44 5.0.2195.6938 318,832 Tcpip.sys
19-Jun-2003 20:05 5.0.2195.6601 17,680 Wshtcpip.dll
19-Jun-2003 20:05 5.0.2195.6687 120,240 Afd.sys
19-Jun-2003 20:05 5.0.2195.6655 16,240 Tdi.sys
相關(guān)文章,大家可以看微軟的KB .http://support.microsoft.com/kb/842168
例:arp -s 192.168.1.1 00-0B-AD-DD-22-35
方法二
有些木馬或是一些駭客總是使用本地網(wǎng)卡上的網(wǎng)關(guān)來做欺騙。網(wǎng)關(guān)是通往外網(wǎng)或是和不同網(wǎng)絡(luò)互聯(lián)的一個中間設(shè)備。
而通過添加路由表中的記錄,設(shè)置優(yōu)先級高于網(wǎng)關(guān)默認路由,那么網(wǎng)關(guān)的路由在級別高的路由可用時將不會生效。
施行方法:1.先手動修改客戶機的網(wǎng)關(guān)地址為任意ip地址,最好是同一網(wǎng)段中,沒使用的一個IP,以免被懷疑。
2.手動添加或是通過批處理,或是腳本來添加永久對出口路由。
此中方法可以欺騙過大部份,菜鳥或是所謂的駭客和大部份ARP欺騙木馬。
缺點是: 如果以后網(wǎng)關(guān)以后網(wǎng)卡或是機器改變。那么以后還得重新修改已有得路由。
route delete 0.0.0.0 -----刪除到默認得路由
route add 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1 --- 添加路由
route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1 ------參數(shù)-p 就是添加永久的記錄。
route change --修改路由
http://www.99191.com/dispbbs.asp?BoardID=33&ID=2631&replyID=6840&skin=1
方法 三
1. 如果你但前使用得交換機器有網(wǎng)卡和MAC地址綁定功能,那么將你所在得網(wǎng)得IP地址和MAC 地址進行綁定。
但有時候,我們可能沒有這些設(shè)備那么要想做就很困難了。
另類方法思路--如何全面解決讓ARP欺騙,ARP木馬無法在本機器安裝,運行。
大部分監(jiān)控,arp 欺騙軟件,都會使用到一個winpcap驅(qū)動。那么現(xiàn)在的思路就是讓其無法在本地計算機安裝。
這樣arp欺騙軟件就無法被使用了使用了,此方法可以用于任何程序的安裝。
需要的條件:
1.所在的系統(tǒng)盤為NTFS 分區(qū)格式。
2.知道所要安裝的文件所要在系統(tǒng)中生成的文件。
3.使用注冊表和文件安裝監(jiān)視軟件來監(jiān)視安裝所生成的文件。
方法四:
利用些別人做好的ARP 監(jiān)控工具。
。
實驗:
作業(yè):
1.使用arp -s 來添加一條arp靜態(tài)記錄,使用arp -a 查看添加的記錄。使用arp -d 來刪除剛添加的那條記錄
2.使用route print 來查看現(xiàn)有的路由表,使用route add -p 來添加一條永久記錄,最后使用route delete來刪除剛建的那條記錄。
3.使用組策略禁止本地系統(tǒng)中的記事本程序。
4.利用注冊表和文件安裝監(jiān)視軟件,來查找組策略中設(shè)置后,對注冊表中鍵值的修改。
并通過修改注冊表,禁止記事本軟件(notepad.exe)的執(zhí)行。#p#
如何檢查和處理“ ARP 欺騙”木馬的方法
1 .檢查本機的“ ARP 欺騙”木馬染毒進程
同時按住鍵盤上的“ CTRL ”和“ ALT ”鍵再按“ DEL ”鍵,選擇“任務(wù)管理器”,點選“進程”標簽。察看其中是否有一個名為“ MIR0.dat ”的進程。如果有,則說明已經(jīng)中毒。右鍵點擊此進程后選擇“結(jié)束進程”。參見右圖。
2 .檢查網(wǎng)內(nèi)感染“ ARP 欺騙”木馬染毒的計算機
在“開始” - “程序” - “附件”菜單下調(diào)出“命令提示符”。輸入并執(zhí)行以下命令:
ipconfig
記錄網(wǎng)關(guān) IP 地址,即“ Default Gateway ”對應(yīng)的值,例如“ 59.66.36.1 ”。再輸入并執(zhí)行以下命令:
arp –a
在“ Internet Address ”下找到上步記錄的網(wǎng)關(guān) IP 地址,記錄其對應(yīng)的物理地址,即“ Physical Address ”值,例如“ 00-01-e8-1f-35-54 ”。在網(wǎng)絡(luò)正常時這就是網(wǎng)關(guān)的正確物理地址,在網(wǎng)絡(luò)受“ ARP 欺騙”木馬影響而不正常時,它就是木馬所在計算機的網(wǎng)卡物理地址。
也可以掃描本子網(wǎng)內(nèi)的全部 IP 地址,然后再查 ARP 表。如果有一個 IP 對應(yīng)的物理地址與網(wǎng)關(guān)的相同,那么這個 IP 地址和物理地址就是中毒計算機的 IP 地址和網(wǎng)卡物理地址。
3 .設(shè)置 ARP 表避免“ ARP 欺騙”木馬影響的方法
本方法可在一定程度上減輕中木馬的其它計算機對本機的影響。用上邊介紹的方法確定正確的網(wǎng)關(guān) IP 地址和網(wǎng)關(guān)物理地址,然后在 “命令提示符”窗口中輸入并執(zhí)行以下命令:
arp –s 網(wǎng)關(guān) IP 網(wǎng)關(guān)物理地址
4.態(tài)ARP綁定網(wǎng)關(guān)
步驟一:
在能正常上網(wǎng)時,進入MS-DOS窗口,輸入命令:arp -a,查看網(wǎng)關(guān)的IP對應(yīng)的正確MAC地址, 并將其記錄下來。
注意:如果已經(jīng)不能上網(wǎng),則先運行一次命令arp -d將arp緩存中的內(nèi)容刪空,計算機可暫時恢復(fù)上網(wǎng)(攻擊如果不停止的話)。一旦能上網(wǎng)就立即將網(wǎng)絡(luò)斷掉(禁用網(wǎng)卡或拔掉網(wǎng)線),再運行arp -a。
步驟二:
如果計算機已經(jīng)有網(wǎng)關(guān)的正確MAC地址,在不能上網(wǎng)只需手工將網(wǎng)關(guān)IP和正確的MAC地址綁定,即可確保計算機不再被欺騙攻擊。
要想手工綁定,可在MS-DOS窗口下運行以下命令:
arp -s 網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC
例如:假設(shè)計算機所處網(wǎng)段的網(wǎng)關(guān)為192.168.1.1,本機地址為192.168.1.5,在計算機上運行arp -a后輸出如下:
Cocuments and Settings>arp -a
Interface:192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 dynamic
其中,00-01-02-03-04-05就是網(wǎng)關(guān)192.168.1.1對應(yīng)的MAC地址,類型是動態(tài)(dynamic)的,因此是可被改變的。
被攻擊后,再用該命令查看,就會發(fā)現(xiàn)該MAC已經(jīng)被替換成攻擊機器的MAC。如果希望能找出攻擊機器,徹底根除攻擊,可以在此時將該MAC記錄下來,為以后查找該攻擊的機器做準備。
手工綁定的命令為:
arp -s 192.168.1.1 00-01-02-03-04-05
綁定完,可再用arp -a查看arp緩存:
Cocuments and Settings>arp -a
Interface: 192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 static
這時,類型變?yōu)殪o態(tài)(static),就不會再受攻擊影響了。
但是,需要說明的是,手工綁定在計算機關(guān)機重啟后就會失效,需要再次重新綁定。所以,要徹底根除攻擊,只有找出網(wǎng)段內(nèi)被病毒感染的計算機,把病毒殺掉,才算是真正解決問題。#p#
5 .作批處理文件
在客戶端做對網(wǎng)關(guān)的arp綁定,具體操作步驟如下:
步驟一:
查找本網(wǎng)段的網(wǎng)關(guān)地址,比如192.168.1.1,以下以此網(wǎng)關(guān)為例。在正常上網(wǎng)時,“開始→運行→cmd→確定”,輸入:arp -a,點回車,查看網(wǎng)關(guān)對應(yīng)的Physical Address。
比如:網(wǎng)關(guān)192.168.1.1 對應(yīng)00-01-02-03-04-05。
步驟二:
編寫一個批處理文件rarp.bat,內(nèi)容如下:
@echo off
arp -d
arp -s 192.168.1.1 00-01-02-03-04-05
保存為:rarp.bat。
步驟三:
運行批處理文件將這個批處理文件拖到“Windows→開始→程序→啟動”中,如果需要立即生效,請運行此文件。
注意:以上配置需要在網(wǎng)絡(luò)正常時進行
6.使用安全工具軟件
及時下載Anti ARP Sniffer軟件保護本地計算機正常運行。具體使用方法可以在網(wǎng)上搜索。
如果已有病毒計算機的MAC地址,可使用NBTSCAN等軟件找出網(wǎng)段內(nèi)與該MAC地址對應(yīng)的IP,即感染病毒的計算機的IP地址,然后報告單位的網(wǎng)絡(luò)中心對其進行查封。
或者利用單位提供的集中網(wǎng)絡(luò)防病毒系統(tǒng)來統(tǒng)一查殺木馬。另外還可以利用木馬殺客等安全工具進行查殺。
7.應(yīng)急方案
網(wǎng)絡(luò)管理管理人員利用上面介紹的ARP木馬檢測方法在局域網(wǎng)的交換機上查出受感染該病毒的端口后,立即關(guān)閉中病毒的端口,通過端口查出相應(yīng)的用戶并通知其徹底查殺病毒。而后,做好單機防范,在其徹底查殺病毒后再開放相應(yīng)的交換機端口,重新開通上網(wǎng)。
附錄一
清華大學(xué)校園網(wǎng)絡(luò)安全響應(yīng)小組編的一個小程序
下載地址: ftp://166.111.8.243/tools/ArpFix.rar
清華大學(xué)校園網(wǎng)絡(luò)安全響應(yīng)小組編了一個小程序,它可以保護您的計算機在同一個局域網(wǎng)內(nèi)部有ARP欺騙木馬計算機的攻擊時,保持正常上網(wǎng)。具體使用方法:
1、 程序運行后請先選擇網(wǎng)卡,選定網(wǎng)卡后點擊“選定”按鈕。
2、 選定網(wǎng)卡后程序會自動獲取您機器的網(wǎng)關(guān)地址。
3、獲得網(wǎng)關(guān)地址后請點擊獲取MAC地址按鈕獲取正確的網(wǎng)關(guān)MAC地址。
4、 確認網(wǎng)關(guān)的MAC地址后請點擊連接保護,程序開始保護您的機器。
5、 點擊程序右上角的叉,程序自動隱藏到系統(tǒng)托盤內(nèi)。
6、要完全退出程序請在系統(tǒng)托盤中該程序圖標上點擊右鍵選擇EXIT。
注意:
1、這個程序只是一個ARP攻擊保護程序,即受ARP木馬攻擊時保持自己計算機的MAC地址不被惡意篡改,從而在遭受攻擊時網(wǎng)絡(luò)不會中斷。本程序并不能清除已經(jīng)感染的ARP木馬,要預(yù)防感染或殺除木馬請您安裝正版的殺毒軟件!
附錄二
Anti Arp Sniffer 的用法
下載地址:http://www.wipe.edu.cn/Files/wlzx/Antiarp.rar
