arp病毒介绍及处理

 

故障现象 ：
    机器以前可正常上网的，突然出现不能上网的现象（无法ping通网关），重启机器或在MSDOS窗口下运行命令ARP -d后，又可恢复上网一段时间。
故障原因：这是APR病毒欺骗攻击造成的。
　　引起问题的原因一般是由同网段内某台携带的ARP木马病毒的攻击造成。中毒计算机向局域网内大量发送ARP包，从而致使同一网段地址内的其它机器误将其作为网关，这就是为什么掉线时内网是互通的，计算机却不能上网的原因。 
  
临时处理对策：
　　 步骤一. 在能上网时，进入MS-DOS窗口，输入命令：arp –a 查看网关IP对应的正确MAC地址，将其记录下来。
      注：如果已经不能上网，则先运行一次命令arp –d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话），一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp –a。
   步骤二. 如果已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令： arp –s 网关IP 网关MAC
例如：假设计算机所处网段的网关为218.195.33.254，本机地址为218.195.33.1在计算机上运行arp –a后输出如下：
C:\Documents and Settings>arp -a
Interface: 218.195.33.1 --- 0x2
Internet Address Physical Address Type
218.195.33.254 00-01-02-03-04-05 dynamic
其中00-01-02-03-04-05就是网关218.195.33.254对应的MAC地址，类型是动态（dynamic）的，因此是可被改变。
被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC，如果大家希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找做准备。
手工绑定的命令为：
arp –s 218.195.33.254 00-01-02-03-04-05 （注意这里只是举例，各用户按自己的网关IP填写）
绑定完，可再用arp –a查看arp缓存，
C:\Documents and Settings>arp -a
Interface: 218.195.33.1 --- 0x2
Internet Address Physical Address Type
218.195.33.254 00-01-02-03-04-05 static
这时，类型变为静态（static），就不会再受攻击影响了。但是，需要说明的是，手工绑定在计算机关机重开机后就会失效，需要再绑定。 
有效处理：

下载地址1：Anti ARP Sniffer 

下载地址2：Anti ARP Sniffer

   Anti ARP Sniffer 使用说明
一、功能说明:
    使用Anti ARP Sniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包。
二、使用说明：
    1、ARP欺骗：
     填入网关IP地址，点击［获取网关mac地址］将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。
    注意：如出现ARP欺骗提示，这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包，如果您想追踪攻击来源请记住攻击者的MAC地址，利用MAC地址扫描器可以找出IP 对应的MAC地址。
     2、IP地址冲突
     首先点击“恢复默认”然后点击“防护地址冲突”。     
     如频繁的出现IP地址冲突，这说明攻击者频繁发送ARP欺骗数据包，才会出现IP冲突的警告，利用Anti ARP Sniffer可以防止此类攻击。