arp欺骗病毒ARP欺骗病毒

arp欺骗病毒时间:2021-01-05 阅读:()

怎么样才能防范ARP地址欺骗病毒

ARP病毒也叫ARP地址欺骗类病毒，这是一类特殊的病毒。

该病毒一般属于木马病毒，不具备主动传播的特性，不会自我复制，但是由于其发作的时候会向全网发送伪造的ARP数据包，严重干扰全网的正常运行，其危害甚至比一些蠕虫病毒还要严重得多。

　　ARP病毒发作时，通常会造成网络掉线，但网络连接正常，内网的部分电脑不能上网，或者所有电脑均不能上网，无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象，严重影响到企业网络、网吧、校园网络等局域网的正常运行。

　　以下六个步骤，即可有效防范ARP病毒：　　1、做好IP－MAC地址的绑定工作（即将IP地址与硬件识别地址绑定），在交换机和客户端都要绑定，这是可以使局域网免疫ARP病毒侵扰的好办法。

　　2、全网所有的电脑都打上MS06-014和MS07-017这两个补丁，这样可以免疫绝大多数网页木马，防止在浏览网页的时候感染病毒。

　　3、禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。

禁用Windows 系统的自动播放功能的方法：在运行中输入 gpedit.msc 后回车，打开组策略编辑器，依次点击：计算机配置－＞管理模板－＞系统－＞关闭自动播放－＞已启用－＞所有驱动器－＞确定。

　　4、在网络正常时候保存好全网的IP－MAC地址对照表，这样在查找ARP中毒电脑时很方便。

　　5、部署网络流量检测设备，时刻监视全网的ARP广播包，查看其MAC地址是否正确。

　　6、安装杀毒软件，及时升级病毒库，定期全网杀毒。

怎样清除欺骗型的ARP病毒

1、ARP病毒分析当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。

其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。

切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。

当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。

在路由器的“系统历史记录”中看到大量如下的信息： MAC Chged 10.128.103.124 MAC Old 00:01:6c:36:d1:7f MAC New 00:05:5d:60:c7:18 这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址（即所有信息的MAC New地址都一致为病毒主机的MAC地址），同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。

如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致，则说明局域网内曾经出现过ARP欺骗（ARP欺骗的木马程序停止运行时，主机在路由器上恢复其真实的MAC地址）。

BKDR_NPFECT.A病毒引起ARP欺骗之实测分析 Part1. 病毒现象中毒机器在局域网中发送假的APR应答包进行APR欺骗, 造成其他客户机无法获得网关和其他客户机的网卡真实MAC地址,导致无法上网和正常的局域网通信. Part2. 病毒原理分析: 病毒的组件本文研究的病毒样本有三个组件构成: %windows%SYSTEM32LOADHW.EXE (108,386 bytes) ….. ”病毒组件释放者” %windows%System32drivers pf.sys (119,808 bytes) ….. ”发ARP欺骗包的驱动程序” %windows%System32msitinit.dll (39,952 bytes) …”命令驱动程序发ARP欺骗包的控制者” 病毒运作基理: 1.LOADHW.EXE 执行时会释放两个组件npf.sys 和msitinit.dll . LOADHW.EXE释放组件后即终止运行. 注意: 病毒假冒成winPcap的驱动程序,并提供winPcap的功能. 客户若原先装有winPcap, npf.sys将会被病毒文件覆盖掉. 2.随后msitinit.dll将npf.sys注册(并监视)为内核级驱动设备: "NetGroup Packet Filter Driver" msitinit.dll 还负责发送指令来操作驱动程序npf.sys (如发送APR欺骗包, 抓包, 过滤包等) 以下从病毒代码中提取得服务相关值: BinaryPathName = "system32drivers pf.sys" StartType = SERVICE_AUTO_START ServiceType = SERVICE_KERNEL_DRIVER ess = SERVICE_ALL_ACCESS DisplayName = "NetGroup Packet Filter Driver" ServiceName = "Npf" 3. npf.sys 负责监护msitinit.dll. 并将LOADHW.EXE注册为自启动程序: [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce] dwMyTest =LOADHW.EXE 注: 由于该项位于RunOnce下,该注册表启动项在每次执行后,即会被系统