ARP病毒的本機(jī)檢測方法和工具
學(xué)術(shù)部專家團(tuán)隊(duì) 供搞
病毒發(fā)作癥狀:計(jì)算機(jī)網(wǎng)絡(luò)連接正常,能PING通樓內(nèi)機(jī)器卻無法PING通網(wǎng)關(guān)、無法打開網(wǎng)頁;或由于ARP欺騙的木馬程序(病毒)發(fā)作時(shí)發(fā)出大量的數(shù)據(jù)包,導(dǎo)致網(wǎng)絡(luò)運(yùn)行不穩(wěn)定,頻繁斷網(wǎng)、 IE 瀏覽器頻繁出錯(cuò)以及一些常用軟件出現(xiàn)故障等問題。
網(wǎng)絡(luò)中斷原因:當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)感染了ARP病毒時(shí),會(huì)向本局域網(wǎng)內(nèi)(指某一網(wǎng)段,比如:172.16.24.0這一段)所有主機(jī)發(fā)送ARP欺騙攻擊,讓原本流向網(wǎng)絡(luò)中心的流量改道流向病毒主機(jī),并通過病毒主機(jī)代理上網(wǎng)。因客戶端具有防代理功能,造成受害者無法通過病毒主機(jī)上網(wǎng)。
由于病毒發(fā)作時(shí)發(fā)出大量數(shù)據(jù)包會(huì)將網(wǎng)絡(luò)擁塞,大家會(huì)感覺上網(wǎng)速度越來越慢。中毒者同樣如此,受其自身處理能力的限制,感覺運(yùn)行速度很慢時(shí),可能會(huì)采取重新啟動(dòng)或其他措施。此時(shí)病毒短時(shí)間停止工作,大家會(huì)感到網(wǎng)絡(luò)恢復(fù)正常。如此反復(fù),就造成網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)。
故障診斷辦法:如果用戶發(fā)現(xiàn)以上疑似情況,可以通過如下操作進(jìn)行診斷:點(diǎn)擊"開始"按鈕->選擇"運(yùn)行"->輸入"arp -d"->點(diǎn)擊"確定"按鈕,然后重新嘗試上網(wǎng),如果能恢復(fù)正常則說明此次掉線可能是受ARP欺騙所致。("arp -d"命令用于清除并重建本機(jī)arp表并不能抵御ARP欺騙,執(zhí)行后仍有可能再次遭受ARP攻擊。
本網(wǎng)檢測工具:下載并運(yùn)行AntiArp程序。輸入本網(wǎng)段的網(wǎng)關(guān)ip地址后,點(diǎn)擊"獲取網(wǎng)關(guān)MAC地址",檢查網(wǎng)關(guān)IP地址和MAC地址無誤后,點(diǎn)擊"自動(dòng)保護(hù)"。若不知道網(wǎng)關(guān)IP地址,可通過以下操作獲。狐c(diǎn)擊"開始"按鈕->選擇"運(yùn)行"->輸入"cmd"點(diǎn)擊"確定"->輸入"ipconfig"按回車,"Default Gateway"后的IP地址就是網(wǎng)關(guān)地址。AntiArp軟件會(huì)在提示框內(nèi)出現(xiàn)病毒主機(jī)的MAC地址。
本機(jī)查殺工具:下載并運(yùn)行TSC.EXE程序。運(yùn)行過程中不要關(guān)讓它一直運(yùn)行到自動(dòng)關(guān)閉,最后查看report文檔便知是否中毒。若中毒則建議重新安裝操作系統(tǒng)。