【故障现象】

     当局域网内某台主机运行ARP欺骗的***程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。切换到病毒主机上网后,如果用户已经登陆了服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录服务器,这样病毒主机就可以盗号了。由于ARP欺骗的***程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的***程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。

 ARP***病毒解决方法:

《一》:临时应急型,可暂时解决不能上网的问题,而不是彻底清除病毒:只需使用Windows系统自带的arp命令即可完成。方法如下:点击开始,运行,输入“arp -s 网关地址 网关MAC地址”,这样即可使网关地址与真正的网关MAC地址绑定,使得局域网内病毒主机无法再进行干扰!但问题是此方法在计算机重启后自动失效,想再次使用必须重复上述操作。《arp -a 命令来查看mac地址表,此时出现的mac地址并不一定是网关的mac地址,随着arp的不断变种,出现的mac地址表很有可能是内网中其他计算机的mac地址。(想查看局域网电脑的其他电脑的mac地址,可以先ping它的ip地址,然后用arp -a、或者使用第三方ip-mac地址扫描工具)

arp -d  清空ARP缓存 
arp -s   绑定网关,格式为   arp -s ip mac   :ARP -S 网关IP 网关MAC》

要想手工绑定,可在MS-DOS窗口下运行以下命令:
arp -s 网关IP 网关MAC
例如:假设计算机所处网段的网关为192.168.1.1,本机地址为192.168.1.5,在计算机上运行arp -a后输出如下:Cocuments and Settings>arp -a
Interface:192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.100-01-02-03-04-05 dynamic
其中,00-01-02-03-04-05就是网关192.168.1.1对应的MAC地址,类型是动态(dynamic)的,因此是可被改变的。(arp -a  查看网关的IP对应的正确MAC地址,并将其记录下来,类型是动态(dynamic))
被***后,再用该命令查看,就会发现该MAC已经被替换成***机器的MAC。如果希望能找出***机器,彻底根除***,可以在此时将该MAC记录下来,为以后查找该***的机器做准备。
手工绑定的命令为:
arp -s 192.168.1.100-01-02-03-04-05
绑定完,可再用arp -a查看arp缓存:
Cocuments and Settings>arp -a
Interface: 192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.100-01-02-03-04-05 static
这时,类型变为静态(static),就不会再受***影响了。
但是,需要说明的是,手工绑定在计算机关机重启后就会失效,需要再次重新绑定。所以,要彻底根除***,只有找出网段内被病毒感染的计算机,把病毒杀掉,才算是真正解决问题。

 作批处理文件
在客户端做对网关的arp绑定,具体操作步骤如下:
步骤一:
查找本网段的网关地址,比如192.168.1.1,以下以此网关为例。在正常上网时,“开始→运行→cmd→确定”,输入:arp -a,点回车,查看网关对应的Physical Address。
比如:网关192.168.1.1 对应00-01-02-03-04-05。
步骤二:
编写一个批处理文件rarp.bat,内容如下:
@echo off
arp -d
arp -s192.168.1.100-01-02-03-04-05
保存为:rarp.bat。
步骤三:
运行批处理文件将这个批处理文件拖到“Windows→开始→程序→启动”中,如果需要立即生效,请运行此文件。注意:以上配置需要在网络正常时进行)

《二》:二是彻底清除型,此方法必须将网内受感染的病毒主机找出,若局域网只连几台电脑,则查找难度则很低,只要将病毒主机查出并杀毒即可解决问题。但局域网若是带了几十甚至几百台电脑主机时,查找的难度则会增加很多…… 问题既然找出,下一步就要搜查病毒主机了。但使用arp -a命令时发现总有一个IP地址会出现(此IP既不是我电脑的,也不是网关的),我由此怀疑这个IP地址就是一切故障的始作蛹者,于是我坚决地在集线器(或者交换机)上找到了这个IP对应的网线并将之拨掉,果然在没有这台病毒主机干扰后,网络终于恢复了正常。
 

【HiPER用户快速发现ARP欺骗***】在路由器的“系统历史记录”中看到大量如下的信息(440以后的路由器软件版本中才有此提示):

MAC Chged 10.128.103.124
MAC Old 00:01:6c:36:d1:7f
MAC New 00:05:5d:60:c7:18

这个消息代表了用户的MAC地址发生了变化,在ARP欺骗***开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址),同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。
如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的***程序停止运行时,主机在路由器上恢复其真实的MAC地址)。

【在局域网内查找病毒主机】

        在上面我们已经知道了使用ARP欺骗***的主机的MAC地址,那么我们就可以使用NBTSCAN工具来快速查找它。NBTSCAN可以取到PC的真实IP地址和MAC地址,如果有”ARP***”在做怪,可以找到装有ARP***的PC的IP/和MAC地址。

        命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段,即192.168.16.25-192.168.16.137。输出结果第一列是IP地址,最后一列是MAC地址。

      NBTSCAN的使用范例:

假设查找一台MAC地址为“000d870d585f”的病毒主机。

1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。

2)在Windows开始—运行—打开,输入cmd(windows98输入“command”),在出现的DOS窗口中输入:C: btscan -r 192.168.16.1/24(这里需要根据用户实际网段输入),回车。

3)通过查询IP--MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。

【解决思路】

 

1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。2、设置静态的MAC-->IP对应表,不要让主机刷新你设定好的转换表。3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。5、使用"proxy"代理IP的传输。6、使用硬件屏蔽主机。设置好你的路由,确保IP地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。7、管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。8、管理员定期轮询,检查主机上的ARP缓存。9、使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。

【HiPER用户的解决方案】:建议用户采用双向绑定的方法解决并且防止ARP欺骗。1、在PC上绑定路由器的IP和MAC地址:1)首先,获得路由器的内网的MAC地址(例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa)。2)编写一个批处理文件rarp.bat内容如下:
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa

将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。将这个批处理软件拖到“windows--开始--程序--启动”中。3)如果是网吧,可以利用收费软件服务端程序(pubwin或者万象都可以)发送批处理文件rarp.bat到所有客户机的启动目录。Windows2000的默认启动目录为“C:\Documents and SettingsAll Users「开始」菜单程序启动”。2、在路由器上绑定用户主机的IP和MAC地址(440以后的路由器软件版本支持):在HiPER管理界面--高级配置--用户管理中将局域网每台主机均作绑定。

【相关软件】:

《1》:冰盾ARP防火墙

《2》:金山ARP防火墙

《3》:趋势科技SysClean工具

(sysclean软件下载地址为:

http://www.trendmicro.com/download/sysclean.asp)软件下载以后,不能直接运行,需要获得病毒特征库和间谍软件特征库。

最新的病毒特征库 "lpt$***.XXX"可以从此地址下载:http://support.trendmicro.com.cn/Anti-Virus/China-Pattern/Pattern/将lptXXX.zip解压即可得到,这是针对专门中国地区的特征码。

间谍软件特征库文件ssapiptn.dat5地址:
http://www.trendmicro.com/download/spywarepattern.asp
下载ssapiptnXXX.zip文件解压后即为ssapiptn.dat5:

将下载的文件解压缩到sysclean同一文件夹下,其中XXX为版本号。下载以上特征库后运行sysclean就可以了,如果不需要图形界面,可以运行 sysclean /nogui /y 。运行时最好关闭所有正在运行的窗口和程序,其中要注意防毒软件的实时防毒也需关闭。如果无法清除病毒,可以在安全模式下运行此工具试试。该工具会在自己的目录下产生日志(log)文sysclean.log,记录查杀过程。可以使用记事本打开查看。)

《4》:Antiarp

Anti Arp Sniffer 的用法
下载地址:http://www.wipe.edu.cn/Files/wlzx/Antiarp.rar