查看文章 |
ARP病毒的查杀工具
2006-11-18 13:11
病毒发作症状:计算机网络连接正常,能PING通楼内机器却无法PING通网关、无法打开网页;或由于ARP欺骗的木马程序(病毒)发作时发出大量的数据包,导致网络运行不稳定,频繁断网、 IE 浏览器频繁出错以及一些常用软件出现故障等问题。
网络中断原因:当局域网内某台主机感染了ARP病毒时,会向本局域网内(指某一网段,比如:172.16.24.0这一段)所有主机发送ARP欺骗攻击,让原本流向网络中心的流量改道流向病毒主机,并通过病毒主机代理上网。因客户端具有防代理功能,造成受害者无法通过病毒主机上网。
由于病毒发作时发出大量数据包会将网络拥塞,大家会感觉上网速度越来越慢。中毒者同样如此,受其自身处理能力的限制,感觉运行速度很慢时,可能会采取重新启动或其他措施。此时病毒短时间停止工作,大家会感到网络恢复正常。如此反复,就造成网络时断时续。
故障诊断办法:如果用户发现以上疑似情况,可以通过如下操作进行诊断:点击"开始"按钮->选择"运行"->输入"arp -d"->点击"确定"按钮,然后重新尝试上网,如果能恢复正常则说明此次掉线可能是受ARP欺骗所致。("arp -d"命令用于清除并重建本机arp表并不能抵御ARP欺骗,执行后仍有可能再次遭受ARP攻击。)
本网检测工具:下载并运行AntiArp程序。输入本网段的网关ip地址后,点击"获取网关MAC地址",检查网关IP地址和MAC地址无误后,点击"自动保护"。若不知道网关IP地址,可通过以下操作获取:点击"开始"按钮->选择"运行"->输入"cmd"点击"确定"->输入"ipconfig"按回车,"Default Gateway"后的IP地址就是网关地址。AntiArp软件会在提示框内出现病毒主机的MAC地址。(SSR8600上的地址是00:E0:63:9A:5C:3D/RG3550上的是以00:D0:F8:开头的地址,除此之外检测到的就是ARP攻击地址,可上报网络中心进行屏蔽)
本机查杀工具:下载并运行TSC.EXE程序。运行过程中不要关让它一直运行到自动关闭,最后查看report文档便知是否中毒。若中毒则建议重新安装操作系统,(并不需要把整个磁盘都给格式化了哦).
|
最近读者:
