论文部分内容阅读
【摘 要】现如今的网络世界里,病毒可谓层出不穷,各种防毒软件数不胜数,但真正能有效拒毒于“门外”的还真不多见,真是防不胜防,故人们谈毒色变,上网提心吊胆、如履薄冰,特别是ARP病毒更是让人伤透脑筋,可本人觉得它是只纸老虎,并不可怕,只要我们对症下药,问题就会迎刃而解。
【关键词】ARP病毒;认识;预防;清除
什么是ARP病毒呢?ARP病毒并不是某一种病毒的名称,而是对利用ARP协议的漏洞进行传播的一类病毒的总称。通常此类攻击的手段有两种:路由欺骗和网关欺骗。是一种入侵电脑的木马病毒。对电脑用户私密信息的威胁很大。此类病毒会将该机器的MAC地址映射到网关的IP地址上,向局域网内大量发送ARP包,致同一网段地址内的其它机器误将其作为网关,掉线时内网是互通的,计算机却不能上网。
ARP病毒发作时有什么迹象呢?本人管理的学生机房最近就遭遇了ARP病毒,一开始的迹象是这样的:(1)大部分的电脑都提示IP冲突,包括主机(双网卡))在内,部分学生机能上网,主机能上网,但学生抱怨网速慢,很卡。(2)电子教室里的学生机经常掉线,登录的学生机或多或少。(3)IE 浏览器在使用过程中频繁出错或自动关闭网页。甚至只有发送没有接收的数据包!(4)如果只开启某一台学生机,却又是能上网的。(5)将机房电源切断再启后,重启交换机、主机和所有学生机,情况有所好转,又能全部上网,但没过几分钟又提示IP地址冲突。本人立即预感到不妙,这是管理机房这么多年以来从没遇到过的。经查看学生机的IP地址设置并无错误,脑中立刻闪过两字——病毒,而且是ARP病毒,惊得本人一身冷汗啊。切莫笑话,本人因为水平有限,偌大的机房,学生每天又要上机,这样大面积的中毒,处理起来确实感到压力好大,但是经过本人的努力,很快机房就又风平浪静,相安无事了,没让教学秩序受到半点影响。下面就将本人的处理方法介绍给大家,希望各位同仁在面对ARP病毒这只纸老虎时能一笑置之,手到擒来。
1.有效认识ARP病毒
ARP病毒也叫ARP地址欺骗类病毒,这是一类特殊的病毒。该病毒一般属于木马病毒,不具备主动传播的特性,不会自我复制,但是由于其发作的时候会向全网发送伪造的ARP数据包,严重干扰全网的正常运行,其危害甚至比一些蠕虫病毒还要严重得多。
ARP病毒发作时,通常会造成网络掉线,但网络连接正常,内网的部分电脑不能上网,或者所有电脑均不能上网,无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象,严重影响到企业网络、网吧、校园网络等局域网的正常运行。
2.预防很重要
(1)查杀病毒和木马。采用杀毒软件(需更新至最新病毒库)、采用最新木马查杀软件进行在安全模式下彻底查杀(计算机启动时按F8可进入安全模式)。
(2)不使用不良网管软件。
(3)不使用软件更改自己的MAC地址。
(4)发现别人恶意攻击或有中毒迹象(例如发现ARP攻击地址为某台计算机的MAC地址),及时告知和制止。
3.发现清除ARP病毒
3.1检查本机的“ ARP 欺骗”木马染毒进程
点选“进程”标签。察看其中是否有一个名为“ MIR0.dat ”的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。
3.2检查网内感染“ ARP 欺骗”木马染毒的计算机
(1)在“开始” “运行”输入CMD后确定。
(2)在弹出的命令提示符框中输入并执行以下命令IPCONFIG 。
(3)记录网关 IP 地址,即“ Default Gateway ”对应的值,例如“ 192.168.1.1”。
(4)再输入并执行以下命令:ARP -a
(5)在“ Internet Address ”下找到上一步记录的网关 IP 地址,记录其对应的物理地址,即“ Physical Address ”值,例如“ 00-e0-4c-f4-92-cd ”。在网络正常时这就是网关的正确物理地址,在网络受ARP 病毒木马影响而不正常时,它就是木马所在计算机的网卡物理地址。
3.3静态ARP绑定网关
步骤一:
在能正常上网时,进入MS-DOS窗口,输入命令:ARP-a,查看网关的IP对应的正确MAC地址,并将其记录下来。
注意:如果已经不能上网则输入一次命令ARP-d将ARP缓存中的内容删除,计算机可暂时恢复上网(攻击如果不停止的话)。一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行ARP-a。
步骤二:
如果计算机已经有网关的正确MAC地址,而不能上网。只需手工将网关IP和正确的MAC地址绑定,即可确保计算机不再被欺骗攻击。
要想手工绑定,可在MS-DOS窗口下运行以下命令:
ARP-s 网关IP 网关MAC
如:ARP-s 192.168.1.1 00-e0-4c-f4-92-cd
注意MAC地址里的“-”不能省略,否则无法绑定。
3.4绑定本机IP和MAC地址
可用绑定网关的方法,也可用编写批处理文件rarp.bat的方法,且让这个文件开机运行(拖到“开始-程序-启动”)。内容如下:
@echo off
Arp-d
Arp-s 本机IP 网关MAC
3.5对已中毒电脑的处理
(1)删除:windowsSystem32LOADHW.EXE (有些电脑可能没有)
(2)a.在設备管理器中, 单击“查看—显示隐藏的设备”
b.在设备树结构中,打开“非即插即用设备”
c.找到 “NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter”。
d.右点击,“卸载”
e.重启系统
(3)删除: windowsSystem32drivers pf.sys
(4)删除:windowsSystem32msitinit.dll(有些电脑可能没有)
(5)删除注册表服务项:开始〉运行〉regedit〉打开,进入注册表,全注册表搜索npf.sys,把文件所在文件夹Npf整个删除.(应该有2个).至此ARP病毒清除。
(6)根据经验,该病毒会下载大量病毒,木马及恶意软件,并修改winsocks,导致不能打开网页,不能打开netmeeting等,为此还需要做下面几步工作:
①用杀毒软件清理恶意软件,木马.
②检查并删除下列文件和相关启动项:
a.windowsSystem32 wizwmgjs.exe(一般杀毒软件会隔离)
b.windowsSystem32 wizwmgjs.dll(一般杀毒软件会隔离)
c.windowsSystem32 avzt.exe(一般杀毒软件会隔离)
d.windowsSystem32 avzt.date.windowsSystem32googleon.exe
③重置winsocks(可以用软件修复,下面介绍一个比较简单的办法):
开始>运行>CMD,进入命令提示符,输入cd.回车,一直退出至c盘根目录,在C:>下输入netsh winsock reset回车,然后按提示重启计算机。
3.6下载下列其中一款ARP防御软件,并给所有学生机安装
(1)金山ARP防火墙beta。
双向拦截ARP攻击、支持Vista、初级用户零设置+丰富的高级设置、安装免重启、低资源占用。
(2)360ARP防火墙。
(3)彩影ARP防火墙单机个人版V6.0.2【合作版(免费)】。
以上是本人对ARP病毒的一些见解和处理方法,如有不到之处请各位同仁及专家多加指正。
【参考文献】
[1]ARP病毒百度百科.http://baike.baidu.com/view/726493.htm.
[2]方刚,于晓宝.计算机机房管理[M].北京:清华大学出版社.
【关键词】ARP病毒;认识;预防;清除
什么是ARP病毒呢?ARP病毒并不是某一种病毒的名称,而是对利用ARP协议的漏洞进行传播的一类病毒的总称。通常此类攻击的手段有两种:路由欺骗和网关欺骗。是一种入侵电脑的木马病毒。对电脑用户私密信息的威胁很大。此类病毒会将该机器的MAC地址映射到网关的IP地址上,向局域网内大量发送ARP包,致同一网段地址内的其它机器误将其作为网关,掉线时内网是互通的,计算机却不能上网。
ARP病毒发作时有什么迹象呢?本人管理的学生机房最近就遭遇了ARP病毒,一开始的迹象是这样的:(1)大部分的电脑都提示IP冲突,包括主机(双网卡))在内,部分学生机能上网,主机能上网,但学生抱怨网速慢,很卡。(2)电子教室里的学生机经常掉线,登录的学生机或多或少。(3)IE 浏览器在使用过程中频繁出错或自动关闭网页。甚至只有发送没有接收的数据包!(4)如果只开启某一台学生机,却又是能上网的。(5)将机房电源切断再启后,重启交换机、主机和所有学生机,情况有所好转,又能全部上网,但没过几分钟又提示IP地址冲突。本人立即预感到不妙,这是管理机房这么多年以来从没遇到过的。经查看学生机的IP地址设置并无错误,脑中立刻闪过两字——病毒,而且是ARP病毒,惊得本人一身冷汗啊。切莫笑话,本人因为水平有限,偌大的机房,学生每天又要上机,这样大面积的中毒,处理起来确实感到压力好大,但是经过本人的努力,很快机房就又风平浪静,相安无事了,没让教学秩序受到半点影响。下面就将本人的处理方法介绍给大家,希望各位同仁在面对ARP病毒这只纸老虎时能一笑置之,手到擒来。
1.有效认识ARP病毒
ARP病毒也叫ARP地址欺骗类病毒,这是一类特殊的病毒。该病毒一般属于木马病毒,不具备主动传播的特性,不会自我复制,但是由于其发作的时候会向全网发送伪造的ARP数据包,严重干扰全网的正常运行,其危害甚至比一些蠕虫病毒还要严重得多。
ARP病毒发作时,通常会造成网络掉线,但网络连接正常,内网的部分电脑不能上网,或者所有电脑均不能上网,无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象,严重影响到企业网络、网吧、校园网络等局域网的正常运行。
2.预防很重要
(1)查杀病毒和木马。采用杀毒软件(需更新至最新病毒库)、采用最新木马查杀软件进行在安全模式下彻底查杀(计算机启动时按F8可进入安全模式)。
(2)不使用不良网管软件。
(3)不使用软件更改自己的MAC地址。
(4)发现别人恶意攻击或有中毒迹象(例如发现ARP攻击地址为某台计算机的MAC地址),及时告知和制止。
3.发现清除ARP病毒
3.1检查本机的“ ARP 欺骗”木马染毒进程
点选“进程”标签。察看其中是否有一个名为“ MIR0.dat ”的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。
3.2检查网内感染“ ARP 欺骗”木马染毒的计算机
(1)在“开始” “运行”输入CMD后确定。
(2)在弹出的命令提示符框中输入并执行以下命令IPCONFIG 。
(3)记录网关 IP 地址,即“ Default Gateway ”对应的值,例如“ 192.168.1.1”。
(4)再输入并执行以下命令:ARP -a
(5)在“ Internet Address ”下找到上一步记录的网关 IP 地址,记录其对应的物理地址,即“ Physical Address ”值,例如“ 00-e0-4c-f4-92-cd ”。在网络正常时这就是网关的正确物理地址,在网络受ARP 病毒木马影响而不正常时,它就是木马所在计算机的网卡物理地址。
3.3静态ARP绑定网关
步骤一:
在能正常上网时,进入MS-DOS窗口,输入命令:ARP-a,查看网关的IP对应的正确MAC地址,并将其记录下来。
注意:如果已经不能上网则输入一次命令ARP-d将ARP缓存中的内容删除,计算机可暂时恢复上网(攻击如果不停止的话)。一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行ARP-a。
步骤二:
如果计算机已经有网关的正确MAC地址,而不能上网。只需手工将网关IP和正确的MAC地址绑定,即可确保计算机不再被欺骗攻击。
要想手工绑定,可在MS-DOS窗口下运行以下命令:
ARP-s 网关IP 网关MAC
如:ARP-s 192.168.1.1 00-e0-4c-f4-92-cd
注意MAC地址里的“-”不能省略,否则无法绑定。
3.4绑定本机IP和MAC地址
可用绑定网关的方法,也可用编写批处理文件rarp.bat的方法,且让这个文件开机运行(拖到“开始-程序-启动”)。内容如下:
@echo off
Arp-d
Arp-s 本机IP 网关MAC
3.5对已中毒电脑的处理
(1)删除:windowsSystem32LOADHW.EXE (有些电脑可能没有)
(2)a.在設备管理器中, 单击“查看—显示隐藏的设备”
b.在设备树结构中,打开“非即插即用设备”
c.找到 “NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter”。
d.右点击,“卸载”
e.重启系统
(3)删除: windowsSystem32drivers pf.sys
(4)删除:windowsSystem32msitinit.dll(有些电脑可能没有)
(5)删除注册表服务项:开始〉运行〉regedit〉打开,进入注册表,全注册表搜索npf.sys,把文件所在文件夹Npf整个删除.(应该有2个).至此ARP病毒清除。
(6)根据经验,该病毒会下载大量病毒,木马及恶意软件,并修改winsocks,导致不能打开网页,不能打开netmeeting等,为此还需要做下面几步工作:
①用杀毒软件清理恶意软件,木马.
②检查并删除下列文件和相关启动项:
a.windowsSystem32 wizwmgjs.exe(一般杀毒软件会隔离)
b.windowsSystem32 wizwmgjs.dll(一般杀毒软件会隔离)
c.windowsSystem32 avzt.exe(一般杀毒软件会隔离)
d.windowsSystem32 avzt.date.windowsSystem32googleon.exe
③重置winsocks(可以用软件修复,下面介绍一个比较简单的办法):
开始>运行>CMD,进入命令提示符,输入cd.回车,一直退出至c盘根目录,在C:>下输入netsh winsock reset回车,然后按提示重启计算机。
3.6下载下列其中一款ARP防御软件,并给所有学生机安装
(1)金山ARP防火墙beta。
双向拦截ARP攻击、支持Vista、初级用户零设置+丰富的高级设置、安装免重启、低资源占用。
(2)360ARP防火墙。
(3)彩影ARP防火墙单机个人版V6.0.2【合作版(免费)】。
以上是本人对ARP病毒的一些见解和处理方法,如有不到之处请各位同仁及专家多加指正。
【参考文献】
[1]ARP病毒百度百科.http://baike.baidu.com/view/726493.htm.
[2]方刚,于晓宝.计算机机房管理[M].北京:清华大学出版社.