該病毒發(fā)作時(shí)癥狀表現(xiàn)為： 
1）計(jì)算機(jī)網(wǎng)絡(luò)連接正常，但無法上網(wǎng)或者時(shí)通時(shí)斷，經(jīng)常掉線；
2）用戶私密信息（如QQ、網(wǎng)游等帳號(hào)）被竊??；
3）局域網(wǎng)內(nèi)出現(xiàn)網(wǎng)絡(luò)擁塞，甚至造成一些網(wǎng)絡(luò)設(shè)備當(dāng)機(jī)；
基本概念： 

為了能夠說明問題，有必要先來介紹一些基本概念，知者略過。
首先來說IP地址，大家應(yīng)該都很熟悉了，我們知道，IP地址是一段32位（二進(jìn)制）的無符號(hào)整數(shù)，例如：192.168.110.1，其最基本的作用就是在（IP）網(wǎng)絡(luò)中唯一標(biāo)識(shí)一臺(tái)特定的主機(jī)。在Internet上，我們正是憑借IP地址來定位其他主機(jī)或者設(shè)備并進(jìn)行相互通訊的。需要注意的是，IP協(xié)議位于OSI參考模型的第三層，即網(wǎng)絡(luò)層，我們通常所說的路由器就工作在這一層。
然后來說MAC地址，也稱物理地址，通常由網(wǎng)絡(luò)設(shè)備制造商向 IEEE申請獲得，并將其燒入設(shè)備（比如網(wǎng)卡）的EPROM芯片中，這是一段48位的無符號(hào)整數(shù)（二進(jìn)制），正常情況下是全球唯一的，例如：00-E0- FC-28-AF-36，（注：在2000/XP中，通過點(diǎn)擊“開始”，選擇“運(yùn)行”，輸入“cmd”調(diào)出命令提示符，然后再輸入“ipconfig /all”回車，就可以查看自己的MAC地址了）。需要注意的是，MAC的實(shí)現(xiàn)是在OSI參考模型的第二層，即數(shù)據(jù)鏈路層，傳統(tǒng)的（二層）交換機(jī)就工作在這一層。
在以太網(wǎng)（Ethernet）中，一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信，除了要知道目標(biāo)主機(jī)的IP地址外，還必須要知道目標(biāo)主機(jī)的MAC地址。因?yàn)樵诰W(wǎng)絡(luò)底層的傳輸過程中，正是通過物理地址來識(shí)別主機(jī)或者設(shè)備的。因此，必須把目的IP地址轉(zhuǎn)換成目的MAC地址，才能保證通信的順利進(jìn)行。
那么目標(biāo)MAC地址是如何獲得的呢？這就要通過ARP來實(shí)現(xiàn)了，“ARP”全稱是“Address Resolution Protocol”，即“地址解析協(xié)議”。具體來說，ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址。
ARP協(xié)議的工作原理  

在每臺(tái)安裝有TCP/IP協(xié)議的電腦里，都有一個(gè)ARP緩存表，表里的IP地址與MAC地址是一一對應(yīng)的。（注：從Windows 98起，正確安裝網(wǎng)絡(luò)適配器后，系統(tǒng)會(huì)自動(dòng)為其安裝TCP/IP協(xié)議）
1. 正常啟動(dòng)計(jì)算機(jī)后，每臺(tái)主機(jī)都會(huì)在自己的ARP緩沖區(qū)中建立一個(gè) ARP列表，以表示IP地址和MAC地址的對應(yīng)關(guān)系（注：通過命令arp –a可以看到當(dāng)前列表信息）。
2. 當(dāng)源主機(jī)需要將一個(gè)數(shù)據(jù)包要發(fā)送到目的主機(jī)時(shí)，會(huì)首先檢查自己 ARP列表中是否存在該 IP地址對應(yīng)的MAC地址，如果有，就直接將數(shù)據(jù)包發(fā)送到這個(gè)MAC地址；如果沒有，就向本地網(wǎng)段發(fā)起一個(gè)ARP請求的廣播包，查詢此目的主機(jī)對應(yīng)的MAC地址。此ARP請求數(shù)據(jù)包里包括源主機(jī)的IP地址、硬件地址、以及目的主機(jī)的IP地址。
3. 網(wǎng)絡(luò)中所有的主機(jī)收到這個(gè)ARP請求后，會(huì)檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此數(shù)據(jù)包；如果相同，該主機(jī)首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中；如果ARP表中已經(jīng)存在該IP的信息，則將其覆蓋；隨后，目的主機(jī)會(huì)給源主機(jī)發(fā)送一個(gè)ARP響應(yīng)數(shù)據(jù)包，附上自己的MAC地址，告訴對方自己是它正在查找的主機(jī)。
4. 當(dāng)源主機(jī)收到這個(gè)ARP響應(yīng)數(shù)據(jù)包后，將得到的目的主機(jī)的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息封裝數(shù)據(jù)幀，開始數(shù)據(jù)的傳輸。如果源主機(jī)一直沒有收到ARP響應(yīng)數(shù)據(jù)包，表示ARP查詢失敗。
ARP欺騙的原理： 

外因：一般是由傳奇外掛等程序，攜帶和傳播該病毒進(jìn)入企業(yè)內(nèi)網(wǎng)；
內(nèi)因：在企業(yè)局域網(wǎng)內(nèi)，一般都是采用通過網(wǎng)關(guān)來實(shí)現(xiàn)上網(wǎng)的方式；所謂的ARP欺騙又大致分兩種：一種是對網(wǎng)關(guān)進(jìn)行欺騙——原理是通知網(wǎng)關(guān)一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址，并按一定頻率使網(wǎng)關(guān)不斷的進(jìn)行學(xué)習(xí)和更新，從而導(dǎo)致真實(shí)的地址信息無法保存在網(wǎng)關(guān)的ARP列表中。結(jié)果網(wǎng)關(guān)就會(huì)把所有的數(shù)據(jù)發(fā)送給錯(cuò)誤的并不存在的地址去，造成正常的客戶端無法收到信息，所以內(nèi)網(wǎng)的PC就無法上網(wǎng)；另一種是對內(nèi)網(wǎng)PC的欺騙——原理是通過發(fā)布假的ARP信息偽造網(wǎng)關(guān)，誤導(dǎo)其他的PC向假網(wǎng)關(guān)發(fā)送數(shù)據(jù)，而不是通過正常的路由進(jìn)行外網(wǎng)訪問的，造成在同一網(wǎng)關(guān)的所有PC都無法訪問外網(wǎng)。目前好像這種情況更多一些。
如何防范和應(yīng)對： 

一、關(guān)于防范務(wù)必落到實(shí)處。
1．增強(qiáng)安全意識(shí)，不要瀏覽一些缺乏可信度的網(wǎng)站；
2．不要輕易下載和安裝盜版的、不可信任的軟件或者程序；
3．不要隨便打開不明來歷的電子郵件，尤其是郵件附件；
4．不要隨便點(diǎn)擊打開QQ、MSN等聊天工具上發(fā)來的鏈接信息；
5．不要隨便共享文件，如果確實(shí)需要最好設(shè)置權(quán)限，指定訪問，建議不可寫入；
6．及時(shí)修補(bǔ)系統(tǒng)漏洞（比如，打上ARP補(bǔ)丁KB842168等等）； 

7．修復(fù)不安全的設(shè)置（比如，為系統(tǒng)設(shè)置強(qiáng)密碼，即長度不少于七位，使用大寫字母、
小寫字母、阿拉伯?dāng)?shù)字和特殊符號(hào)三種以上的組合）；
8．關(guān)閉不必要的系統(tǒng)服務(wù)；
9．安裝正版的殺毒軟件網(wǎng)絡(luò)版，經(jīng)常更新病毒庫
二、臨時(shí)處理對策：　　  

步驟一. 在能上網(wǎng)時(shí)，進(jìn)入MS-DOS窗口，輸入命令：arp –a 查看網(wǎng)關(guān)IP對應(yīng)的正確MAC地址，將其記錄下來。 注：如果已經(jīng)不能上網(wǎng)，則先運(yùn)行一次命令arp –d將arp緩存中的內(nèi)容刪空，計(jì)算機(jī)可暫時(shí)恢復(fù)上網(wǎng)（攻擊如果不停止的話），一旦能上網(wǎng)就立即將網(wǎng)絡(luò)斷掉（禁用網(wǎng)卡或拔掉網(wǎng)線），再運(yùn)行arp –a。 

步驟二. 如果已經(jīng)有網(wǎng)關(guān)的正確MAC地址，在不能上網(wǎng)時(shí)，手工將網(wǎng)關(guān)IP和正確MAC綁定，可確保計(jì)算機(jī)不再被攻擊影響。 

手工綁定可在MS-DOS窗口下運(yùn)行以下命令： arp –s 、網(wǎng)關(guān)IP、 網(wǎng)關(guān)MAC。 例如：假設(shè)計(jì)算機(jī)所處網(wǎng)段的網(wǎng)關(guān)為218.197.192.254，本機(jī)地址為218.197.192.1在計(jì)算機(jī)上運(yùn)行arp –a后輸出如下： C:\Documents and Settings>arp -a Interface: 218.197.192.1 --- 0x2 Internet Address Physical Address Type 218.197.192.254 00-01-02-03-04-05 dynamic 其中00-01-02-03-04-05就是網(wǎng)關(guān)218.197.192.254對應(yīng)的MAC地址類型是動(dòng)態(tài)（dynamic）的，因此是可被改變。被攻擊后，再用該命令查看，就會(huì)發(fā)現(xiàn)該MAC已經(jīng)被替換成攻擊機(jī)器的MAC，如果大家希望能找出攻擊機(jī)器，徹底根除攻擊，可以在此時(shí)將該MAC記錄下來，為以后查找做準(zhǔn)備。 手工綁定的命令為： arp –s 218.197.192.254 00-01-02-03-04-05 綁定完，可再用arp –a查看arp緩存， C:\Documents and Settings>arp -a Interface: 218.197.192.1 --- 0x2 Internet Address Physical Address Type 218.197.192.254 00-01-02-03-04-05 static 這時(shí)，類型變?yōu)殪o態(tài)（static），就不會(huì)再受攻擊影響了。 

但是，需要說明的是，手工綁定在計(jì)算機(jī)關(guān)機(jī)重開機(jī)后就會(huì)失效，需要再綁定。所以，要徹底根除攻擊，只有找出網(wǎng)段內(nèi)被病毒感染的計(jì)算機(jī)，令其殺毒或從做系統(tǒng)方可解決。 

找出病毒計(jì)算機(jī)的方法： 

如果已有病毒計(jì)算機(jī)的MAC地址，可使用NBTSCAN或Anti ARP Sniffer軟件找出網(wǎng)段內(nèi)與該MAC地址對應(yīng)的IP，即病毒計(jì)算機(jī)的IP地址，然后可報(bào)告校網(wǎng)絡(luò)中心對其進(jìn)行查封。 NBTSCAN的使用方法：下載nbtscan.rar到硬盤后解壓，然后將cygwin1.dll和nbtscan.exe兩文件拷貝到c:\windows\system32(或system)下，進(jìn)入MSDOS窗口就可以輸入命令： nbtscan -r 218.197.192.0/24 （假設(shè)本機(jī)所處的網(wǎng)段是218.197.192，掩碼是255.255.255.0；實(shí)際使用該命令時(shí)，應(yīng)將斜體字部分改為正確的網(wǎng)段） 。 注：使用nbtscan時(shí)，有時(shí)因?yàn)橛行┯?jì)算機(jī)安裝防火墻軟件，nbtscan的輸出不全，但在計(jì)算機(jī)的arp緩存中卻能有所反應(yīng)，所以使用nbtscan時(shí)，還可同時(shí)查看arp緩存，就能得到比較完全的網(wǎng)段內(nèi)計(jì)算機(jī)IP與MAC的對應(yīng)關(guān)系。 

Anti ARP Sniffer 使用說明 

一、功能說明: 使用Anti ARP Sniffer可以防止利用ARP技術(shù)進(jìn)行數(shù)據(jù)包截取以及防止利用ARP技術(shù)發(fā)送地址沖突數(shù)據(jù)包。 

二、使用說明： 

 1、ARP欺騙： 填入網(wǎng)關(guān)IP地址，點(diǎn)擊［獲取網(wǎng)關(guān)mac地址］將會(huì)顯示出網(wǎng)關(guān)的MAC地址。點(diǎn)擊[自動(dòng)防護(hù)]即可保護(hù)當(dāng)前網(wǎng)卡與該網(wǎng)關(guān)的通信不會(huì)被第三方監(jiān)聽。 注意：如出現(xiàn)ARP欺騙提示，這說明攻擊者發(fā)送了ARP欺騙數(shù)據(jù)包來獲取網(wǎng)卡的數(shù)據(jù)包，如果您想追蹤攻擊來源請記住攻擊者的MAC地址，利用MAC地址掃描器可以找出IP 對應(yīng)的MAC地址。 

2、IP地址沖突 首先點(diǎn)擊“恢復(fù)默認(rèn)”然后點(diǎn)擊“防護(hù)地址沖突”。 如頻繁的出現(xiàn)IP地址沖突，這說明攻擊者頻繁發(fā)送ARP欺騙數(shù)據(jù)包，才會(huì)出現(xiàn)IP沖突的警告，利用Anti ARP Sniffer可以防止此類攻擊。 首先您需要知道沖突的MAC地址，Windows會(huì)記錄這些錯(cuò)誤。查看具體方法如下： 右擊[我的電腦]-->[管理]-->點(diǎn)擊[事件查看器]-->點(diǎn)擊[系統(tǒng)]-->查看來源為[TcpIP]--->雙擊事件可以看到顯示地址發(fā)生沖突，并記錄了該MAC地址，請復(fù)制該MAC地址并填入Anti ARP Sniffer的本地MAC地址輸入框中(請注意將:轉(zhuǎn)換為-)，輸入完成之后點(diǎn)擊[防護(hù)地址沖突]，為了使MAC地址生效請禁用本地網(wǎng)卡然后再啟用網(wǎng)卡，在CMD命令行中輸入Ipconfig /all，查看當(dāng)前MAC地址是否與本地MAC地址輸入框中的MAC地址相符。如果成功將不再會(huì)顯示地址沖突。 注意:如果您想恢復(fù)默認(rèn)MAC地址,請點(diǎn)擊[恢復(fù)默認(rèn)],為了使MAC地址生效請禁用本地網(wǎng)卡然后再啟用網(wǎng)卡。

最新評(píng)論