[会员中心]  [发布文章][发布软件]  [中文繁體] 
 文章·资料  电脑软件  手机软件  网站源码
   本 站 搜 索
[选项]
   推 荐 文 章       More...
华硕易电脑(ASUS Eee PC 1025C)驱动程序(Windows XP)安装参考(图) 华硕易电脑(ASUS Eee PC 1025C..
先来段开场白:为了外出携带方便..
Acronis True Image 使用说明 Acronis True Image 使用说明
  一款可以在Windows下使用..
Norton Ghost 使用详解 Norton Ghost 使用详解
一、分区备份   使用Ghost..
   阅 读 排 行
Windows 系统安装或备份时 ISO,GHO,WIM,ESD,PMF 都是什么文件类型 Windows 系统安装或备份时 ISO,GH..
【ISO 文件】 ISO 文件其实就..
使用“自动点击器”APP 在抖音直播间自动点赞 使用“自动点击器”APP 在抖音直..
看过抖音直播的朋友都知道,进入..
OPPO 手机的锁屏时间设置成横向显示 OPPO 手机的锁屏时间设置成横向..
第一次使用 OPPO 手机,桌面和锁..
电脑机箱(主板)前面板 USB 数据线的接线参考(图) 电脑机箱(主板)前面板 USB 数据..
  一、概述   因为每个 US..
抖音直播录屏的草稿保存位置 抖音直播录屏的草稿保存位置
抖音直播录屏,保存为“草稿”后,..
微信收到 flv 格式视频,如何播放? 微信收到 flv 格式视频,如何播放?
  微信上收到一个 flv 格式视频..
TrustAsia/DigiCert/Let s Encrypt 的免费 SSL 证书,多款网页浏览器都无法正常打开 TrustAsia/DigiCert/Let s Encryp..
云服务器安装了 Windows Server 2..
三星打印机(SCX-4521)提示“墨粉不足”设置 三星打印机(SCX-4521)提示“墨粉..
  三星打印机(SCX-4521)在添加..
文 章 信 息
网吧 ARP 问题说明
评论()][留言][收藏
[文章分类:电脑·手机·网络 / 网络安全·设置][阅读选项
ARP病毒实例 
关于网吧频繁掉线很快又恢复情况的说明 
最近很多网吧反映出现网络游戏等瞬间掉线,很快又能连接的情况,反复频繁发生,现说明如下: 
最近流行"传奇杀手"等病毒木马,一般此类木马随游戏外挂补丁等方式进入网吧客户机系统.当此类病毒发作时自动将客户机的IP或网卡MAC地址临时改成和客户机所设置的网关IP地址或MAC地址,此时客户机的IP地址和网关IP地址发生冲突, 导致网吧内所有机器全部掉线, 而很短的时间后病毒又把IP地址或MAC地址改会正常, 所有的机器又都能正常连接网络了. 
发现此类情况,建议用最新的杀毒软件扫描清除所有客户机系统, 最好将所有客户机系统恢复或重做. 
此类病毒木马作用的技术原理为ARP协议广播欺骗,即向局域网内广播信息声称内网网关IP地址的MAC地址为此感染病毒木马机器网卡的MAC地址,这样其他机器发往网关的数据包都发送到此台机器,此时病毒木马就可以进行侦听数据包抓取帐号密码的动作. 
此类问题可通过在每台客户机将内网网关的IP地址与其MAC地址静态绑定的办法解决,具体如下实施: 
1、在任意客户机开DOS窗口,例如网关IP为192.168.0.254,则使用命令 
ping 192.168.0.254 
arp -a 
注意返回的一行信息类似如下 
192.168.0.254 00-cc-aa-bb-3a-dd static 
然后做一快捷方式,命令行内容如下 
arp -s 192.168.0.254 00-cc-aa-bb-3a-dd 
将其在每台客户机系统的启动项目中设置为自动运行,这样每次客户机启动时都将内网网关的IP地址与其真实MAC地址静态绑定,病毒木马再发送虚假IP地址与MAC地址对应关系时客户机系统就不将理会,从而解决由于ARP协议欺骗而引起的整体掉线及游戏丢号情况。 
补充技巧: 
1、一般我们做是将arp列表做到一个BAT里,然后将这个BAT文件放到一个共享服务器上(比如电影服务器上的一个大家都可以用网络邻居访问到的地方),然后到下面的机器中 进入网络盘 在全路径的形式下建立bat文件的快捷方式xxx.pif(全路径就是类似\\server\files\1.bat这样形式的路径)方法是在BAT文件上点鼠标右键,选发送到桌面快捷方式,然后在开始菜单的位置点右键,选资源管理器,到程序中的启动组,将xxx.pif剪切到这个启动组里 这样每次机器启动都会到电影服务器里执行我们制作好的BAT文件了,以后有什么修改只要在电影服务器里修改一次就可以了,不必挨个机器去做还原了。 
2、按照最上边的方式基本可以避免arp攻击,但假设交换机带MAC学习功能或中ARP病毒的机器比较多的时候建议将网吧内全部机器的IP与MAC地址的对应关系都写到bat文件里。如果用户不知道网吧中MAC和IP地址的采集办法请联系我索取列表。 
以下为网络上收集的======================================== 
近段时间很多网吧反映频繁掉线,我公司多次检查,均排除网络故障引起。2月7日经过查处,确认目前引起网吧掉线的原因是病毒引起,该问题在全省均有发生,该病毒对主机代理和路由器代理的网吧均会造成影响。 
该病毒发作时候的特征为,中毒的机器会伪造某台电脑的MAC地址,如该伪造地址为网关服务器的地址,那么对整个网吧均会造成影响,用户表现为上网经常瞬断。 
一、在任意客户机上进入命令提示符(或MS-DOS方式),用arp –a命令查看: 
C:\WINNT\system32>arp -a 
Inte***ce: 192.168.0.193 on Inte***ce 0x1000003 
Internet Address Physical Address Type 
192.168.0.1 00-50-da-8a-62-2c dynamic 
192.168.0.23 00-11-2f-43-81-8b dynamic 
192.168.0.24 00-50-da-8a-62-2c dynamic 
192.168.0.25 00-05-5d-ff-a8-87 dynamic 
192.168.0.200 00-50-ba-fa-59-fe dynamic 

可以看到有两个机器的MAC地址相同,那么实际检查结果为 00-50-da-8a-62-2c为192.168.0.24的MAC地址,192.168.0.1的实际MAC地址为00-02-ba-0b-04-32,我们可以判定192.168.0.24实际上为有病毒的机器,它伪造了192.168.0.1的MAC地址。 
二、在192.168.0.24上进入命令提示符(或MS-DOS方式),用arp –a命令查看: 
C:\WINNT\system32>arp -a 
Inte***ce: 192.168.0.24 on Inte***ce 0x1000003 
Internet Address Physical Address Type 
192.168.0.1 00-02-ba-0b-04-32 dynamic 
192.168.0.23 00-11-2f-43-81-8b dynamic 
192.168.0.25 00-05-5d-ff-a8-87 dynamic 
192.168.0.193 00-11-2f-b2-9d-17 dynamic 
192.168.0.200 00-50-ba-fa-59-fe dynamic 
可以看到带病毒的机器上显示的MAC地址是正确的,而且该机运行速度缓慢,应该为所有流量在二层通过该机进行转发而导致,该机重启后网吧内所有电脑都不能上网,只有等arp刷新MAC地址后才正常,一般在2、3分钟左右。 
三、如果主机可以进入dos窗口,用arp –a命令可以看到类似下面的现象: 
C:\WINNT\system32>arp -a 
Inte***ce: 192.168.0.1 on Inte***ce 0x1000004 
Internet Address Physical Address Type 
192.168.0.23 00-50-da-8a-62-2c dynamic 
192.168.0.24 00-50-da-8a-62-2c dynamic 
192.168.0.25 00-50-da-8a-62-2c dynamic 
192.168.0.193 00-50-da-8a-62-2c dynamic 
192.168.0.200 00-50-da-8a-62-2c dynamic 
该病毒不发作的时候,在代理服务器上看到的地址情况如下: 
C:\WINNT\system32>arp -a 
Inte***ce: 192.168.0.1 on Inte***ce 0x1000004 
Internet Address Physical Address Type 
192.168.0.23 00-11-2f-43-81-8b dynamic 
192.168.0.24 00-50-da-8a-62-2c dynamic 
192.168.0.25 00-05-5d-ff-a8-87 dynamic 
192.168.0.193 00-11-2f-b2-9d-17 dynamic 
192.168.0.200 00-50-ba-fa-59-fe dynamic 
病毒发作的时候,可以看到所有的ip地址的mac地址被修改为00-50-da-8a-62-2c,正常的时候可以看到MAC地址均不会相同。 
解决办法: 
一、采用客户机及网关服务器上进行静态ARP绑定的办法来解决。 
1. 在所有的客户端机器上做网关服务器的ARP静态绑定。 
首先在网关服务器(代理主机)的电脑上查看本机MAC地址 
C:\WINNT\system32>ipconfig /all 
Ethernet adapter 本地连接 2: 
Connection-specific DNS Suffix . : 
Description . . . . . . . . . . . : Intel(R) PRO/100B PCI Adapter (TX) 
Physical Address. . . . . . . . . : 00-02-ba-0b-04-32 
Dhcp Enabled. . . . . . . . . . . : No 
IP Address. . . . . . . . . . . . : 192.168.0.1 
Subnet Mask . . . . . . . . . . . : 255.255.255.0 
然后在客户机器的DOS命令下做ARP的静态绑定 
C:\WINNT\system32>arp –s 192.168.0.1 00-02-ba-0b-04-3 
注:如有条,建议在客户机上做所有其他客户机的IP和MAC地址绑定。 
2. 在网关服务器(代理主机)的电脑上做客户机器的ARP静态绑定 
首先在所有的客户端机器上查看IP和MAC地址,命令如上。 
然后在代理主机上做所有客户端服务器的ARP静态绑定。如: 
C:\winnt\system32> arp –s 192.168.0.23 00-11-2f-43-81-8b 
C:\winnt\system32> arp –s 192.168.0.24 00-50-da-8a-62-2c 
C:\winnt\system32> arp –s 192.168.0.25 00-05-5d-ff-a8-87 
。。。。。。。。。 
3. 以上ARP的静态绑定最后做成一个windows自启动文件,让电脑一启动就执行以上操作,保证配置不丢失。 
二、有条件的网吧可以在交换机内进行IP地址与MAC地址绑定 
三、IP和MAC进行绑定后,更换网卡需要重新绑定,因此建议在客户机安装杀毒软件来解决此类问题:该网吧发现的病毒是变速齿轮2.04B中带的,病毒程序在 http://www.wgwang.com/list/3007.html 可下载到: 
1、 KAV(卡巴斯基),可杀除该病毒,病毒命名为:TrojanDropper.Win32.Juntador.c 
杀毒信息:07.02.2005 10:48:00 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\B005Z0K9\Gear_Setup[1].exe infected TrojanDropper.Win32.Juntador.c 
2、 瑞星可杀除该病毒,病毒命名为:TrojanDropper.Win32.Juntador.f 
3、 另:别的地市报金山毒霸和瑞星命名:“密码助手”木马病毒(Win32.Troj.Mir2)或Win32.Troj.Zypsw.33952的病毒也有类似情况。 
附:“密码助手”病毒及TrojanDropper.Win32.Juntador.c 病毒介绍地址: 
http://db.kingsoft.com/c/2004/11/22/152800.shtml 
http://www.pestpatrol.com/pest_info/zh/t/trojandropper 
ARP保护神.rar

文章作者:未知  更新日期:2006-05-09
[文章浏览:][打印文章][发送文章
阅读说明
·本站大部分文章转载于网络,如有侵权请留言告知,本站即做删除处理。
·本站法律法规类文章转载自[中国政府网(www.org.cn)],相关法律法规如有修订,请浏览[中国政府网]网站。
·本站转载的文章,不为其有效性,实效性,安全性,可用性等做保证。
·如果有什么问题,或者意见建议,请联系[网站管理员]
  原“浪人文章”和“浪人下载”网站已合并为“老若尔文章软件站”,域名:https://lre.cn
  本站使用【啊估文章软件站】网站系统    网站管理员留言簿〗〖捐助     闽ICP备08009617号