校内ARP故障原因
发表时间:2023-07-16 来源:明辉站整理相关软件相关文章人气:
[摘要]附注:ARP故障原因 主要原因是在局域网中有人使用了ARP欺骗的木马程序,比如一些盗号的软件。 传奇外挂携带的ARP木马攻击,当局域网内使用外挂时, 外挂携带的病毒会将该机器的MAC地址映射...
附注:
ARP故障原因
主要原因是在局域网中有人使用了ARP欺骗的木马程序,比如一些盗号的软件。
传奇外挂携带的ARP木马攻击,当局域网内使用外挂时, 外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上, 向局域网内大量发送ARP包, 致同一网段地址内的其它机器误将其作为网关, 掉线时内网是互通的, 计算机却不能上网。 方法是在能上网时, 进入MS-DOS窗口, 输入命令:arp –a查看网关IP对应的正确MAC地址, 将其记录, 如果已不能上网, 则先运行一次命令arp –d将arp缓存中的内容删空, 计算机可暂时恢复上网, 一旦能上网就立即将网络断掉, 禁用网卡或拔掉网线, 再运行arp –a。
如已有网关的正确MAC地址, 在不能上网时, 手工将网关IP和正确MAC绑定, 可确保计算机不再被攻击影响。 可在MS-DOS窗口下运行以下命令:arp –s 网关IP 网关MAC。 如被攻击, 用该命令查看, 会发现该MAC已经被替换成攻击机器的MAC, 将该MAC记录, 以备查找。 找出病毒计算机:如果已有病毒计算机的MAC地址, 可使用NBTSCAN软件找出网段内与该MAC地址对应的IP, 即病毒计算机的IP地址。
故障现象
当局域网内有某台电脑运行了此类ARP欺骗的木马的时候, 其他用户原来直接通过路由器上网现在转由通过病毒主机上网, 切换的时候用户会断一次线。
切换到病毒主机上网后, 如果用户已经登陆了传奇服务器, 那么病毒主机就会经常伪造断线的假像, 那么用户就得重新登录传奇服务器, 这样病毒主机就可以盗号了。
由于ARP欺骗的木马发作的时候会发出大量的数据包导致局域网通讯拥塞, 用户会感觉上网速度越来越慢。 当木马程序停止运行时, 用户会恢复从路由器上网, 切换中用户会再断一次线。
该机一开机上网就不断发Arp欺骗报文, 即以假冒的网卡物理地址向同一子网的其它机器发送Arp报文, 甚至假冒该子网网关物理地址蒙骗其它机器, 使网内其它机器改经该病毒主机上网, 这个由真网关向假网关切换的过程中其它机器会断一次网。 倘若该病毒机器突然关机或离线, 则其它机器又要重新搜索真网关, 于是又会断一次网。 所以会造成某一子网只要有一台或一台以上这样的病毒机器, 就会使其他人上网断断续续, 严重时将使整个网络瘫痪。 这种病毒(木马)除了影响他人上网外, 也以窃取病毒机器和同一子网内其它机器上的用户帐号和密码(如QQ和网络游戏等的帐号和密码)为目的, 而且它发的是Arp报文, 具有一定的隐秘性, 如果占系统资源不是很大, 又无防病毒软件监控, 一般用户不易察觉。 这种病毒开学初主要发生在学生宿舍, 据最近调查, 现在已经在向办公区域和教工住宅区域蔓延, 而且呈越演越烈之势。
经抽样测试, 学校提供的赛门铁克防病毒软件企业版10.0能有效查杀已知的Arp欺骗病毒(木马)病毒。 恶意软件由于国际上未有明确界定, 目前暂无一款防病毒软件能提供100%杜绝其发作的解决方案, 需要借助某些辅助工具进行清理。
上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。