arp病毒查杀_arp杀毒软件那个好_360清除arp病毒

ARP病毒。arp病毒并不是某一种病毒的名称。

而是对利用arp协议的漏洞进行传播的一类病毒的总称。arp协议是TCP/IP协议组的一个协议。能够把网络地址翻译成物理地址。通常此类攻击的手段有两种：路由欺骗和网关欺骗。是一种入侵电脑的木马病毒。对电脑用户私密信息的威胁很大。

中文名,ARP病毒。原理,利用arp协议的漏洞。危害,电脑用户私密信息。途径,路由欺骗和网关欺骗。原因,在局域网中有人使用了ARP欺骗。

故障原因。主要原因是在局域网中有人使用了ARP欺骗的木马程序,比如一些盗号的软件。

传奇外挂携带的ARP木马攻击,当局域网内使用外挂时。外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上。向局域网内大量发送ARP包。致同一网段地址内的其它机器误将其作为网关。掉线时内网是互通的。计算机却不能上网。方法是在能上网时。进入MS-DOS窗口。输入命令：arp –a查看网关IP对应的正确MAC地址。将其记录。

如果已不能上网。则先运行一次命令arp –d将arp缓存中的内容删空。计算机可暂时恢复上网。一旦能上网就立即将网络断掉。禁用网卡或拔掉网线。再运行arp –a。如已有网关的正确MAC地址。在不能上网时。手工将网关IP和正确MAC绑定。可确保计算机不再被攻击影响。可在MS-DOS窗口下运行以下命令：arp –s 网关IP 网关MAC。如被攻击。用该命令查看。会发现该MAC已经被替换成攻击机器的MAC。

将该MAC记录。以备查找。找出病毒计算机：如果已有病毒计算机的MAC地址。可使用NBTSCAN软件找出网段内与该MAC地址对应的IP。即病毒计算机的IP地址。

故障现象。当局域网内有某台电脑运行了此类ARP欺骗的木马的时候。

其他用户原来直接通过路由器上网现在转由通过病毒主机上网。切换的时候用户会断一次线。切换到病毒主机上网后。如果用户已经登陆了传奇服务器。那么病毒主机就会经常伪造断线的假像。那么用户就得重新登录传奇服务器。这样病毒主机就可以盗号了。由于ARP欺骗的木马发作的时候会发出大量的数据包导致局域讯拥塞。用户会感觉上网速度越来越慢。当木马程序停止运行时。

用户会恢复从路由器上网。切换中用户会再断一次线。该机一开机上网就不断发Arp欺骗报文。即以假冒的网卡物理地址向同一子网的其它机器发送Arp报文。甚至假冒该子网网关物理地址蒙骗其它机器。使网内其它机器改经该病毒主机上网。这个由真网关向假网关切换的过程中其它机器会断一次网。倘若该病毒机器突然关机或离线。则其它机器又要重新搜索真网关。于是又会断一次网。所以会造成某一子网只要有一台或一台以上这样的病毒机器。

就会使其他人上网断断续续。严重时将使整个网络瘫痪。这种病毒除了影响他人上网外。也以窃取病毒机器和同一子网内其它机器上的用户帐号和密码为目的。而且它发的是Arp报文。具有一定的隐秘性。如果占系统资源不是很大。又无防病毒软件监控。一般用户不易察觉。这种病毒开学初主要发生在学生宿舍。据最近调查。现在已经在向办公区域和教工住宅区域蔓延。而且呈越演越烈之势。经抽样测试。学校提供的赛门铁克防病毒软件企业版10.0能有效查杀已知的Arp欺骗病毒病毒。

恶意软件由于国际上未有明确界定。目前暂无一款防病毒软件能提供100%杜绝其发作的解决方案。需要借助某些辅助工具进行清理。

解决思路。不要把你的网络安全信任关系建立在IP基础上或MAC基础上。

设置静态的MAC-->IP对应表。不要让主机刷新你设定好的转换表。除非必要。否则停止ARP使用。把ARP做为永久条目保存在对应表中。使用ARP服务器。确保这台ARP服务器不被黑。使用"proxy"代理IP传输。使用硬件屏蔽主机。定期用响应的IP包中获得一个rarp请求。检查ARP响应的真实性。定期轮询。检查主机上的ARP缓存。使用防火墙连续监控网络。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-40046-1.html