外掛攜帶的ARP木馬攻擊,當局域網內使用外掛時,外掛攜帶的病毒會將該機器的MAC地址映射到網關的IP地址上,向局域網內大量發送ARP包,致同壹網段地址內的其它機器誤將其作為網關,掉線時內網是互通的,計算機卻不能上網。方法是在能上網時,進入MS-DOS窗口,輸入命令:arp –a查看網關IP對應的正確MAC地址,將其記錄,如果已不能上網,則先運行壹次命令arp –d將arp緩存中的內容刪空,計算機可暫時恢復上網,壹旦能上網就立即將網絡斷掉,禁用網卡或拔掉網線,再運行arp –a。
如已有網關的正確MAC地址,在不能上網時,手工將網關IP和正確MAC綁定,可確保計算機不再被攻擊影響。可在MS-DOS窗口下運行以下命令:arp –s 網關IP 網關MAC。如被攻擊,用該命令查看,會發現該MAC已經被替換成攻擊機器的MAC,將該MAC記錄,以備查找。找出病毒計算機:如果已有病毒計算機的MAC地址,可使用NBTSCAN軟件找出網段內與該MAC地址對應的IP,即病毒計算機的IP地址。
〇故障原因
主要原因是在局域網中有人使用了ARP欺騙的木馬程序,比如壹些盜號的軟件。
〇故障現象
當局域網內有某臺電腦運行了此類ARP欺騙的木馬的時候,其他用戶原來直接通過路由器上網現在轉由通過病毒主機上網,切換的時候用戶會斷壹次線。
切換到病毒主機上網後,如果用戶已經登陸了傳奇服務器,那麽病毒主機就會經常偽造斷線的假像,那麽用戶就得重新登錄傳奇服務器,這樣病毒主機就可以盜號了。
由於ARP欺騙的木馬發作的時候會發出大量的數據包導致局域網通訊擁塞,用戶會感覺上網速度越來越慢。當木馬程序停止運行時,用戶會恢復從路由器上網,切換中用戶會再斷壹次線。
〇解決思路
不要把妳的網絡安全信任關系建立在IP基礎上或MAC基礎上。
設置靜態的MAC-->IP對應表,不要讓主機刷新妳設定好的轉換表。
除非必要,否則停止ARP使用,把ARP做為永久條目保存在對應表中。
使用ARP服務器。確保這臺ARP服務器不被黑。
使用"proxy"代理IP傳輸。
使用硬件屏蔽主機。
定期用響應的IP包中獲得壹個rarp請求,檢查ARP響應的真實性。
定期輪詢,檢查主機上的ARP緩存。
使用防火墻連續監控網絡。
〇解決方案
建議采用雙向綁定解決和防止ARP欺騙。在電腦上綁定路由器的IP和MAC地址
首先,獲得路由器的內網的MAC地址(例如HiPER網關地址192.168.16.254的MAC地址為0022aa0022aa局域網端口MAC地址>)。
編寫壹個批處理文件rarp.bat內容如下:
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa
將網關IP和MAC更改為您自己的網關IP和MAC即可,讓這個文件開機運行(拖到“開始-程序-啟動”)。
ARP攻擊時的主要現象:
1、網上銀行、遊戲及QQ賬號的頻繁丟失
壹些人為了獲取非法利益,利用ARP欺騙程序在網內進行非法活動,此類程序的主要目的在於破解賬號登陸時的加密解密算法,通 過截取局域網中的數據包,然後以分析數據通訊協議的方法截獲用戶的信息。運行這類木馬病毒,就可以獲得整個局域網中上網用 戶賬號的詳細信息並盜取。
2、網速時快時慢,極其不穩定,但單機進行光纖數據測試時壹切正常
當局域內的某臺計算機被ARP的欺騙程序非法侵入後,它就會持續地向網內所有的計算機及網絡設備發送大量的非法ARP欺騙數據包, 阻塞網絡通道,造成網絡設備的承載過重,導致網絡的通訊質量不穩定。
3、局域網內頻繁性區域或整體掉線,重啟計算機或網絡設備後恢復正常
當帶有ARP欺騙程序的計算機在網內進行通訊時,就會導致頻繁掉線,出現此類問題後重啟計算機或禁用網卡會暫時解決問題,但掉 線情況還會發生。