局域網內(指某壹網段,比如:10.48.123這壹段)有電腦使用ARP欺騙程序(比如:傳奇、QQ盜號的軟件等)發送ARP數據包,致使被攻擊的該網段內的電腦不能上網,如果是非該網段電腦也不能上網,那麽另外的網段中可能也有部分電腦中了ARP病毒。
當局域網內某臺電腦A向電腦B發送ARP欺騙數據包時,會欺騙電腦B將其通信的數據發向電腦A,電腦A通過對截獲的數據進行分析,達到竊取數據(如用戶賬號)的目的。
被ARP欺騙的電腦會出現突然不能上網,過壹段時間又能上網,反復掉線的現象。
二、故障診斷
如果用戶發現突然不能上網,可以通過如下操作進行診斷:
點擊"開始"按鈕->選擇"運行"->輸入"arp
-d"->點擊"確定"按鈕,然後重新嘗試上網,如果能恢復正常,則說明此次掉線可能是受ARP欺騙所致。
"arp
-d"命令能清除本機的arp表,arp表被清除後接著系統會自動重建新的arp表,"arp
-d"命令並不能抵禦ARP欺騙,執行"arp
-d"命令後仍有可能再次遭受ARP攻擊。
三、故障處理
1.
使用AntiArp軟件抵禦ARP攻擊。
點擊這裏下載AntiArp軟件
運行AntiArp,輸入本網段的網關ip地址後,點擊"獲取網關MAC地址",檢查網關IP地址和MAC地址無誤後,點擊"自動保護"。
若不知道網關IP地址,可通過以下操作獲取:點擊"開始"按鈕->選擇"運行"->輸入"cmd"點擊"確定"->輸入"ipconfig"按回車,"Default
Gateway"後的IP地址就是網關地址。
AntiArp軟件會在提示框內出現病毒主機的MAC地址。
2.
利用MAC地址,使用nbtscan工具找到病毒主機地址。
點擊這裏下載nbtscan軟件
在上面我們已經知道了使用ARP欺騙木馬的主機的MAC地址,那麽我們就可以使用NBTSCAN工具來快速查找木馬主機的ip地址。
NBTSCAN可以取到PC的真實IP地址和MAC地址,命令:"nbtscan
-r
192.168.1.0/24"(搜索整個192.168.1.0/24網段,
即192.168.1.1-192.168.1.254);或"nbtscan
192.168.1.25-127"搜索192.168.1.25-127
網段,即192.168.1.25-192.168.1.127。輸出結果第壹列是IP地址,最後壹列是MAC地址。
NBTSCAN的使用範例:
假設查找壹臺MAC地址為"000d870d585f"的病毒主機。
1)將壓縮包中的nbtscan.exe
和cygwin1.dll解壓縮放到c:\下。
2)在Windows開始
運行
打開,輸入cmd(windows98輸入"command"),在出現的DOS窗口中輸入:C:\nbtscan
-r
192.168.1.1/24(這裏需要根據用戶實際網段輸入),回車。
C:\Documents
and
Settings\ly>C:\nbtscan
-r
192.168.1.1/24
Warning:
-r
option
not
supported
under
Windows.
Running
without
it.
Doing
NBT
name
scan
for
addresses
from
192.168.1.1/24
IP
address
NetBIOS
Name
Server
User
MAC
address
192.168.1.0
Sendto
failed:
Cannot
assign
requested
address
192.168.1.50
SERVER
00-e0-4c-4d-96-c6
192.168.1.111
LLF
192.168.1.121
UTT-HIPER
00-0d-87-26-7d-78
192.168.1.175
JC
00-07-95-e0-7c-d7
192.168.1.223
test123
3)通過查詢IP--MAC對應表,查出"000d870d585f"的病毒主機的IP地址為"192.168.1.223"。
3、清除病毒主機的病毒。
1)使用專用軟件清除木馬(不壹定能完全清除)。
點擊這裏下載 木馬殺客 軟件
2)完全格式化,重新安裝系統。