| 网站首页 | 资讯 | 影音 | 图片 | 论坛 | 模拟驾考 | 免费取名算命 | 瓷都工具 | 留言本 | 域名 | 瓷都商城 | 汇款 | 
|
资讯首页
|
瓷都德化
|
站内新闻
|
影视剧情
|
汽车世界
|
网络文摘
|
周易八卦
|
教程技巧
|
房产信息
|
您现在的位置: 瓷都热线|诚信中国:“一就是一”(1941.CN) >> 资讯 >> 教程技巧0 >> 服务器类 >> 正文 登录 注册
专 题 栏 目
  • 四川汶川8.0级强震
  • 机动车驾驶员考试资料
  • 高考试题及答案
    		•
    最 新 热 门
     德化又添3个地理标志证明
     [组图]期待!德化龙门湖
     [组图]德化:“绿色动脉
     [图文]德化:造莲花美景
     [图文]德化:编织小网格
     [图文]德化龙门滩龙门湖
     [图文]福建德化县美湖镇
     德化白瓷艺术展亮相深圳
     [组图]“世界瓷都·润养
     德化:前妻婚内举债近8万
    最 新 推 荐
     [组图]期待!德化龙门湖
     [组图]德化:“绿色动脉
     [图文]德化龙门滩龙门湖
     [图文]福建德化县美湖镇
     [组图]德化各种花卉相继
     [组图]福建德化九仙山迎
     [图文]德化石牛山惊现双
     [组图]千年古瓷都德化的
     [组图]警方连捣5传销窝点
     [组图]福建民俗博物馆办
    相 关 文 章
    服务器被ARP攻击,网站被
    合理设置ARP维护局域网秩
    针对ARP病毒攻击防治进阶
    ARP监听渗透内网的方法
    揪出ARP欺骗本质 彻底防治         ★★★
    揪出ARP欺骗本质 彻底防治
    作者:未知 文章来源:315safe 更新时间:2007-7-4 16:04:31
    【声明:转载此信息在于传递更多信息,其内容表达的观点并不代表本站立场,由这些信息所产生的一切后果本站不负任何责任。如果您对本信息有什么意见,欢迎和本站联系,谢谢!】http://CiDu.Net
      最近一段时间,网络上正在不断扩散着一种新型的“ARP欺骗”木马病毒,严重地影响着我们正常的网络生活。究竟什么是“ARP欺骗”呢,它会给我们的生活带来什么样的影响呢?让我们先来解释一下什么是ARP。ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。那么“ ARP 欺骗”呢?从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。

      “ARP 欺骗”的影响

      当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和安全网关,让所有上网的流量必须经过病毒主机。其他用户原来直接通过安全网关上网现在转由通过病毒主机上网,切换的时候用户会断一次线。切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从安全网关上网,切换过程中用户会再断一次线。

      ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。

      1,检查本机的“ARP欺骗”木马染毒进程

      调出“任务管理器”,点选“进程”标签,察看其中是否有一个名为“MIR0.dat”的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。

      2,检查网内感染“ ARP 欺骗”木马染毒的计算机

      在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令:

      ipconfig

      记录网关IP地址,即“Default Gateway”对应的值,例如“59.66.36.1”。再输入并执行以下命令:

      arp –a

      在“Internet ADDRess”下找到上步记录的网关IP地址,记录其对应的物理地址,即“Physical Address”值,例如“00-01-e8-1f-35-54”。在网络正常时这就是网关的正确物理地址,在网络受“ARP 欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。也可以扫描本子网内的全部IP地址,然后再查ARP表。如果有一个IP对应的物理地址与网关的相同,那么这个IP地址和物理地址就是中毒计算机的IP地址和网卡物理地址。
      如果你的计算机已经受到攻击,我们可以选择下面的方法来解决。

      方法1,使用安全工具软件

      我们可以下载一款叫作Anti ARP Sniffer软件保护本地计算机正常运行。下载安装完之后,把软件设为自动启动,先把Antiarp.exe生成桌面快捷方式,点击"开始"中的"程序",之后双击"启动",再把桌面上Antiarp.exe快捷键拷到"启动"中,以保证下次开机自动运行,起到保护计算机的作用。

      方法2,作批处理文件

      在客户端做对网关的arp绑定,具体操作步骤如下:

      步骤一:

      查找本网段的网关地址,比如192.168.1.1,以下以此网关为例。在正常上网时,“开始→运行→cmd→确定”,输入:arp -a,点回车,查看网关对应的Physical ADDRess。

      比如:网关192.168.1.1 对应00-01-02-03-04-05。

      步骤二:

      编写一个批处理文件rarp.bat,内容如下:

       @echo off

       arp -d

       arp -s 192.168.1.1 00-01-02-03-04-05

      保存为:rarp.bat。

      步骤三:

      运行批处理文件将这个批处理文件拖到“Windows→开始→程序→启动”中,如果需要立即生效,请运行此文件。

      注意:以上配置需要在网络正常时进行。

      方法3,下载ARP免疫器

      局域网ARP攻击免疫器。将下载的压缩包里面3个dll文件复制到windows\systeM32中,将npf 这个文件复制到 windows\system32\drivers 里面,再将这4个文件在安全属性里改成只读,也就是不允许任何人修改。

      应急方案

      网络管理管理人员利用上面介绍的ARP木马检测方法在局域网的交换机上查出受感染该病毒的端口后,立即关闭中病毒的端口,通过端口查出相应的用户并通知其彻底查杀病毒。而后,做好单机防范,在其彻底查杀病毒后再开放相应的交换机端口,重新开通上网。

      安全防范建议  

      以上的问题能够解决,但用户还是要增强网络安全意识,不要轻易下载、使用盗版和存在安全隐患的软件;或浏览一些缺乏可信度的网站(网页);不要随便打开不明来历的电子邮件,尤其是邮件附件;及时下载和更新操作系统的补丁程序,安装正版的杀毒软件,增强个人计算机防御计算机病毒的能力;不要随便共享文件和文件夹,即使要共享,也得设置好权限,一般指定特定帐号或特定机器才能访问,另外不建议设置可写或可控制,以免个人计算机受到木马病毒的侵入给整个局域网的安全带来隐患。
    声明:以上信息资料大都是网上搜集而来,版权归作者,如有版权问题请留言告知我将马上改正。
    文中所提到的各种观点只是原文观点,各种说法未经一一确认。并不代表本站认可此观点!!
    资讯录入:admin    责任编辑:admin 
  • 上一篇资讯:

  • 下一篇资讯:
    • 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
    点击数:568
      网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)
        没有任何评论
    声明:本主页大部分的资料都是网上搜集而来,如有版权问题请留言告知我将马上改正。©cidu.net51La
    ©1999-2008 51La 电邮:cidunet#163.com(请将#换成@)
    地址:福建省德化县电力大厦 邮编:362500 电话:13506014708 汇款? 网站地图 站长:LiAhui(李辉煌)