怎么对付arp欺骗?
近期,一种新的“ARP欺骗”木马病毒在互联网上扩散,我校校内也已发现数台机器感染此病毒,中毒用户会出现频繁断网的现象并导致其所属整个网段故障。请校园网用户及时更新病毒库和安装系统补丁,提高防范措施。 有经验的用户和网络管理员也可以通过检查系统进程表和 ARP 表进行感染判断和处理,具体过程和方法见附录。
避免类似网络安全问题的根本解决办法是定期更新操作系统和安装防病毒软件。保证计算机系统安全的意义不仅仅在于对个人隐私和信息资料的保护,更重要的是不对网络和他人权益构成损害。
为了保证大多数用户的上网质量,自本通知发出之日起,将对感染病毒并对其他用户造成影响的网络端口和网络账号进行隔离处理,时间为 3-5 天。
*部分用户反映开机后会出现空白记事本程序,该问题是中了USBSpy蠕虫病毒,此病毒通过USB存储设备(U盘、MP3等)大面积传染,请用户尽快升级防病毒软件,进行查杀。
附录:
1 .检查本机的“ ARP 欺骗”木马染毒进程
同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键,选择“任务管理器”,点选“进程”标签。察看其中是否有一个名为“ MIR0.dat ”的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。
2 .检查网内感染“ ARP 欺骗”木马染毒的计算机
在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令:
ipconfig
记录网关 IP 地址,即“ Default Gateway ”对应的值,例如“ 59.66.36.1 ”。再输入并执行以下命令:
arp –a
在“ Internet Address ”下找到上步记录的网关 IP 地址,记录其对应的物理地址,即“ Physical Address ”值,例如“ 00-01-e8-1f-35-54 ”。在网络正常时这就是网关的正确物理地址,在网络受“ ARP 欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。
Internet Address Physical Address Type
218.194.XX.189 000e.a654.0bab dynamic
218.194.XX.131 000e.a654.0bab dynamic
218.194.XX.133 000e.a654.0bab dynamic
218.194.XX.132 000e.a654.0bab dynamic
218.194.XX.139 000e.a654.0bab dynamic
218.194.XX.136 000e.a654.0bab dynamic
218.194.XX.143 000e.a654.0bab dynamic
218.194.XX.142 000e.a654.0bab dynamic
也可以扫描本子网内的全部 IP 地址,然后再查 ARP 表。如果有一个 IP 对应的物理地址与网关的相同,那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。
http://www.onlinedown.net/soft/2985.htm
木马克星iparmor 5.50 简体版
http://oildfish.cnyys.net/bbs/
注册后
http://oildfish.cnyys.net/bbs/dispbbs.asp?boardID=27ID=660page=1
里面有升级破解!!!
金山毒霸破解第三版
http://down.fzqk.com/spbbs/duba3.rar
什么是arp欺骗
网上流传很多防ARP木马的方法,比如绑定IP了什么的,这样很费事,几百台、上千台都一个个绑定?
只有杀掉木马才是根本!!!
据说目前只有卡巴司基和瑞星能杀这个木马;
我这里有手工杀法!!
试过绝对简单有效!
1)首先须判断哪个机子中了木马
下载AntiArp软件(http://www.gsrtvu.cn/jszx/UploadSoft/AntiArp.rar),这个软件既可以绑定本机IP,又可以发现局域网里哪台机子中毒了!(气泡提示既是)
2)使用AntiArp方法:
本机的网关地址获取的具体方法是:点开始-点运行-输入cmd 回车进入dos窗口-输入ipconfig /all 回车,Physical Address即本机的物理地址(本机网关地址)。
3)找到局域网的这台中毒机子,进入安全模式手工杀吧!
4) 该木马一共有三个文件,分别是:
C:\WINNT\System32\LOADHW.EXE ,C:\WINNT\System32\msitinit.dll ,
C:\WINNT\System32\drivers\npf.sys。
点开始里的搜索查找Loadhw.exe,Msitinit.dll,Npf.sys文件,找到了就删除。
5)运行regedit,查找注册表的loadhw.exe,Msitinit.dll,Npf.sys找到了就删除。OK了!
6)木马病毒说明如下:
LOADHW.EXE是一个安装文件,在会把自己注册在: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
如果它被删除掉,并不影响木马的运行,只是在开机时会报该文件不存在。
msitinit.dll是常驻内存的,但注册表中并没有记录它(很狡猾)。
npf.sys注册为一个服务程序,且在“控制面板-管理工具-服务”中看不到,要在注册表中才能看到:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf
引用别人的,希望可以看明白吧。
近期,一种新的“ARP欺骗”木马病毒在互联网上扩散,我校校内也已发现数台机器感染此病毒,中毒用户会出现频繁断网的现象并导致其所属整个网段故障。请校园网用户及时更新病毒库和安装系统补丁,提高防范措施。 有经验的用户和网络管理员也可以通过检查系统进程表和 ARP 表进行感染判断和处理,具体过程和方法见附录。
避免类似网络安全问题的根本解决办法是定期更新操作系统和安装防病毒软件。保证计算机系统安全的意义不仅仅在于对个人隐私和信息资料的保护,更重要的是不对网络和他人权益构成损害。
为了保证大多数用户的上网质量,自本通知发出之日起,将对感染病毒并对其他用户造成影响的网络端口和网络账号进行隔离处理,时间为 3-5 天。
*部分用户反映开机后会出现空白记事本程序,该问题是中了USBSpy蠕虫病毒,此病毒通过USB存储设备(U盘、MP3等)大面积传染,请用户尽快升级防病毒软件,进行查杀。
附录:
1 .检查本机的“ ARP 欺骗”木马染毒进程
同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键,选择“任务管理器”,点选“进程”标签。察看其中是否有一个名为“ MIR0.dat ”的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。
2 .检查网内感染“ ARP 欺骗”木马染毒的计算机
在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令:
ipconfig
记录网关 IP 地址,即“ Default Gateway ”对应的值,例如“ 59.66.36.1 ”。再输入并执行以下命令:
arp –a
在“ Internet Address ”下找到上步记录的网关 IP 地址,记录其对应的物理地址,即“ Physical Address ”值,例如“ 00-01-e8-1f-35-54 ”。在网络正常时这就是网关的正确物理地址,在网络受“ ARP 欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。
Internet Address Physical Address Type
218.194.XX.189 000e.a654.0bab dynamic
218.194.XX.131 000e.a654.0bab dynamic
218.194.XX.133 000e.a654.0bab dynamic
218.194.XX.132 000e.a654.0bab dynamic
218.194.XX.139 000e.a654.0bab dynamic
218.194.XX.136 000e.a654.0bab dynamic
218.194.XX.143 000e.a654.0bab dynamic
218.194.XX.142 000e.a654.0bab dynamic
也可以扫描本子网内的全部 IP 地址,然后再查 ARP 表。如果有一个 IP 对应的物理地址与网关的相同,那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。
http://www.onlinedown.net/soft/2985.htm
木马克星iparmor 5.50 简体版
http://oildfish.cnyys.net/bbs/
注册后
http://oildfish.cnyys.net/bbs/dispbbs.asp?boardID=27ID=660page=1
里面有升级破解!!!
金山毒霸破解第三版
http://down.fzqk.com/spbbs/duba3.rar
我的电脑现在已经中了ARP欺骗木马程序!有谁知道该怎么把木马删除啊??非常紧急!
一种新型的“
arp
欺骗”木马病毒正在校园网中扩散,严重影响了校园网的正常运行。感染此木马的计算机试图通过“
arp
欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。具体表现为用户频繁断网、
ie
浏览器频繁出错以及一些常用软件出现故障等问题。目前,已知传奇游戏的“传奇
2
冰橙子
1.14
”和“及时雨
pk
破解版”两种外挂存在着这种木马。此木马的手工查杀比较困难,用户可以通过检查系统进程表和
arp
表进行感染判断和处理,具体过程和方法如下:一
.
用户检查和处理“
arp
欺骗”木马的方法
1
.检查本机的“
arp
欺骗”木马染毒进程
同时按住键盘上的“
ctrl
”和“
alt
”键再按“
del
”键,选择“任务管理器”,点选“进程”标签。察看其中是否有一个名为“
mir0.dat
”的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。
2
.检查网内感染“
arp
欺骗”木马染毒的计算机
在“开始”
-
“程序”
-
“附件”菜单下调出“命令提示符”。输入并执行以下命令:
ipconfig
记录网关
ip
地址,即“
default
gateway
”对应的值,例如“
192.168.8.123”。再输入并执行以下命令:
arp
–a
在“
internet
address
”下找到上步记录的网关
ip
地址,记录其对应的物理地址,即“
physical
address
”值,例如“
00-e0-fc-3e-13-b4
”,将该值报告给网络中心。在网络正常时这就是网关的正确物理地址,在网络受“
arp
欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。
也可以扫描本子网内的全部
ip
地址,然后再查
arp
表。如果有一个
ip
对应的物理地址与网关的相同,那么这个
ip
地址和物理地址就是中毒计算机的
ip
地址和网卡物理地址。
二
解决“
arp
欺骗”木马的方法
1.设置
arp
表避免“
arp
欺骗”木马影响的方法
本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上述介绍的方法确定正确的网关
ip
地址和网关物理地址,然后在
“命令提示符”窗口中输入并执行以下命令:
arp
–s
网关ip
网关mac地址
如:arp
-s
192.168.8.123
00-e0-fc-3e-13-b4
也可将此命令写入一个".bat"文件并放在"启动"中,使得系统每次启动就生效。2.将系统重新启动到安全模式,查找以下三个文件:kb4813541.log、loadhw.exe、
msitinit.dll,并将其删除,重新启动计算机即可。
被ARP攻击怎么办 求高人相助
arp攻击(可恶之极)的目的无外乎:断别人的网(一般使用软件:网络执法官)限别人的速(一般使用软件:P2P终结者)
1、对于断网,(一般都是个人攻击,arp病毒可能性极小,怎么判断呢?如果不间断的受到攻击,那就是病毒,通过聚生网管监控查出IP地址,进而找到主机,让他杀毒。如果时而受到攻击那就是人为的,方法就是予以反击)
目前没有简单有效的防御和清除arp工具,所以采用的还击策略就是以其人之道还其人之身!他不让你上网,你也别人他上网,一旦他上不了网,他就会体会到和平共处的重要性,立马改邪归正。
如何断它的网呢?下载《聚生网管》(网络执法官破解版不太好用,所以推荐聚生网管)地址http://www.ciwfans.com/Soft/UploadSoft/security/wangguan.rar (直接使用下载工具下载)按部就班,根据里面的说明安装(当然是完美破解哦!)
启动监控后,扫描主机就能看到网络中的全部电脑IP地址,一旦你被断线,立马点击右键选择中断其它主机网络连接,这样他们也上不去网了,哈哈,这样他们就尝到了恶有恶报的结果,过几分钟,恢复连接,再看看你还上去上不去网,相信肯定能上,因为坏人在受到打击之后也会变好的!!!肯定会把对你的网络限制取消,否则陪他玩玩,一直给他断下去,大不了大家都上不去。
2、对于限速,使用反P2P终结者予以清除。下载地址:
http://www.kk16.cn/ruanjian/ShowSoftDown.asp?UrlID=1SoftID=253 (直接使用下载工具下载)
提示:这两款软件都要用到WinPcap_3_0(下载包里有),如运行有问题,请安装WinPcap_3_0。
俺的回答就目前的情况而言,应该是全面简单有效的,对个人用户而言够用了。
内网中的内网ARP问题
ARP是别人电脑上中毒了 你杀你的毒当然杀不出来了 下面是在网上找的 我们宿舍也是中了ARP都半年多了还是有 没办法 这个东西是中了ARP的电脑本身不掉线 只是速度慢
什么是ARP?
ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。
什么是ARP欺骗?
从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。
近期,一种新型的“ ARP 欺骗”木马病毒正在校园网中扩散,严重影响了校园网的正常运行。感染此木马的计算机试图通过“ ARP 欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。ARP欺骗木马的中毒现象表现为:使用校园网时会突然掉线,过一段时间后又会恢复正常。比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。如果校园网是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp -d后,又可恢复上网。ARP欺骗木马十分猖狂,危害也特别大,各大学校园网、小区网、公司网和网吧等局域网都出现了不同程度的灾情,带来了网络大面积瘫痪的严重后果。ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。
如何检查和处理“ ARP 欺骗”木马的方法
1 .检查本机的“ ARP 欺骗”木马染毒进程
同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键,选择“任务管理器”,点选“进程”标签。察看其中是否有一个名为“ MIR0.dat ”的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。参见右图。
2 .检查网内感染“ ARP 欺骗”木马染毒的计算机
在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令:
ipconfig
记录网关 IP 地址,即“ Default Gateway ”对应的值,例如“ 59.66.36.1 ”。再输入并执行以下命令:
arp –a
在“ Internet Address ”下找到上步记录的网关 IP 地址,记录其对应的物理地址,即“ Physical Address ”值,例如“ 00-01-e8-1f-35-54 ”。在网络正常时这就是网关的正确物理地址,在网络受“ ARP 欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。
也可以扫描本子网内的全部 IP 地址,然后再查 ARP 表。如果有一个 IP 对应的物理地址与网关的相同,那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。
3 .设置 ARP 表避免“ ARP 欺骗”木马影响的方法
本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关 IP 地址和网关物理地址,然后在 “命令提示符”窗口中输入并执行以下命令:
arp –s 网关 IP 网关物理地址
4.态ARP绑定网关
步骤一:
在能正常上网时,进入MS-DOS窗口,输入命令:arp -a,查看网关的IP对应的正确MAC地址, 并将其记录下来。
注意:如果已经不能上网,则先运行一次命令arp -d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话)。一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp -a。
步骤二:
如果计算机已经有网关的正确MAC地址,在不能上网只需手工将网关IP和正确的MAC地址绑定,即可确保计算机不再被欺骗攻击。
要想手工绑定,可在MS-DOS窗口下运行以下命令:
arp -s 网关IP 网关MAC
例如:假设计算机所处网段的网关为192.168.1.1,本机地址为192.168.1.5,在计算机上运行arp -a后输出如下:
Cocuments and Settingsarp -a
Interface:192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 dynamic
其中,00-01-02-03-04-05就是网关192.168.1.1对应的MAC地址,类型是动态(dynamic)的,因此是可被改变的。
被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC。如果希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找该攻击的机器做准备。
手工绑定的命令为:
arp -s 192.168.1.1 00-01-02-03-04-05
绑定完,可再用arp -a查看arp缓存:
Cocuments and Settingsarp -a
Interface: 192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 static
这时,类型变为静态(static),就不会再受攻击影响了。
但是,需要说明的是,手工绑定在计算机关机重启后就会失效,需要再次重新绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,把病毒杀掉,才算是真正解决问题。
5 .作批处理文件
在客户端做对网关的arp绑定,具体操作步骤如下:
步骤一:
查找本网段的网关地址,比如192.168.1.1,以下以此网关为例。在正常上网时,“开始→运行→cmd→确定”,输入:arp -a,点回车,查看网关对应的Physical Address。
比如:网关192.168.1.1 对应00-01-02-03-04-05。
步骤二:
编写一个批处理文件rarp.bat,内容如下:
@echo off
arp -d
arp -s 192.168.1.1 00-01-02-03-04-05
保存为:rarp.bat。
步骤三:
运行批处理文件将这个批处理文件拖到“Windows→开始→程序→启动”中,如果需要立即生效,请运行此文件。
注意:以上配置需要在网络正常时进行
6.使用安全工具软件
及时下载Anti ARP Sniffer软件保护本地计算机正常运行。具体使用方法可以在网上搜索。
如果已有病毒计算机的MAC地址,可使用NBTSCAN等软件找出网段内与该MAC地址对应的IP,即感染病毒的计算机的IP地址,然后报告单位的网络中心对其进行查封。
或者利用单位提供的集中网络防病毒系统来统一查杀木马。另外还可以利用木马杀客等安全工具进行查杀。
7.应急方案
网络管理管理人员利用上面介绍的ARP木马检测方法在局域网的交换机上查出受感染该病毒的端口后,立即关闭中病毒的端口,通过端口查出相应的用户并通知其彻底查杀病毒。而后,做好单机防范,在其彻底查杀病毒后再开放相应的交换机端口,重新开通上网。
附录一
清华大学校园网络安全响应小组编的一个小程序
下载地址: ftp://166.111.8.243/tools/ArpFix.rar
清华大学校园网络安全响应小组编了一个小程序,它可以保护您的计算机在同一个局域网内部有ARP欺骗木马计算机的攻击时,保持正常上网。具体使用方法:
1、 程序运行后请先选择网卡,选定网卡后点击“选定”按钮。
2、 选定网卡后程序会自动获取您机器的网关地址。
3、获得网关地址后请点击获取MAC地址按钮获取正确的网关MAC地址。
4、 确认网关的MAC地址后请点击连接保护,程序开始保护您的机器。
5、 点击程序右上角的叉,程序自动隐藏到系统托盘内。
6、要完全退出程序请在系统托盘中该程序图标上点击右键选择EXIT。
注意:
1、这个程序只是一个ARP攻击保护程序,即受ARP木马攻击时保持自己计算机的MAC地址不被恶意篡改,从而在遭受攻击时网络不会中断。本程序并不能清除已经感染的ARP木马,要预防感染或杀除木马请您安装正版的杀毒软件!
附录二
Anti Arp Sniffer 的用法
下载地址:http://www.wipe.edu.cn/Files/wlzx/Antiarp.rar
双击Antiarp文件,出现图二所示对话框。
图二
输入网关地址(网关地址获取方式:[开始] --[程序]-- [附件]菜单下调出“命令提示符”,输入ipconfig,其中Default Gateway即为网关地址);点击获取网关MAC地址,点击自动防护保证当前网卡与网关的通信不被第三方监听。
点击恢复默认,然后点击防止地址冲突,如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包。
右击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来源为[TcpIP]---双击事件可以看到显示地址发生冲突,并记录了该MAC地址,请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-),输入完成之后点击[防护地址冲突],为了使MAC地址生效请禁用本地网卡然后再启用网卡,在CMD命令行中输入Ipconfig /all,查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符,如果成功将不再会显示地址冲突。
注:1、如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡;本软件不支持多网卡,部分网卡可能更改MAC会无效。
ARP病毒猖獗不衰,传统的双向绑定的方法不足以应付新的变种,为了探讨和研究解决ARP病毒的方法,偶建了一个群给,群号是27425242,QQ群共享里有一些文章和软件,欢迎各位网友加入!
各位朋友,偶其实是菜鸟哦,新出来的ARP病毒在我所在的校园网还没有出现过,所以我也就不晓得如何对付啦,呵呵,想不到这篇文章受到这么多人的关注,希望能对大家多少点帮助