一、故障現象及原因分析
情況一、當局域網內某臺主機感染了ARP病毒時,會向本局域網內(指某一網段,比如:192.168.0.0這一段)所有主機發送ARP欺騙***,讓原本流向網絡中心的流量改道流向病毒主機,並通過病毒主機代理上網。因客戶端具有防代理功能,造成受害者無法通過病毒主機上網。由於病毒發作時發出大量數據包會將網絡擁塞,大家會感覺上網速度越來越慢。中毒者同樣如此,受其自身處理能力的限制,感覺運行速度很慢時,可能會採取重新啓動或其他措施。此時病毒短時間停止工作,大家會感到網絡恢復正常。如此反覆,就造成網絡時斷時續。
情況二、局域網內有某些用戶使用了ARP欺騙程序(如:網絡執法官、網絡剪刀手、傳奇***、QQ盜號軟件等)發送ARP欺騙數據包,致使被***的電腦出現突然不能上網,過一段時間又能上網,反覆掉線的現象。
二、故障防範及解決方法
(一)、故障診斷
如果用戶發現以上疑似情況,可以通過如下操作進行診斷:點擊"開始"按鈕->選擇"運行"->輸入"arp -d"->點擊"確定"按鈕,然後重新嘗試上網,如果能恢復正常,則說明此次掉線可能是受ARP欺騙所致。
注:"arp -d"命令用於清除並重建本機arp表。"arp -d"命令並不能抵禦ARP欺騙,執行後仍有可能再次遭受ARP***。
(二)、故障處理
1、中毒者:下載ARP病毒專殺工具,解壓後運行TSC.exe文件進行查殺,不要關讓它一直運行完,然後查看其中report文檔。
下載地址: [url]ftp://mex.xauat.cn/arp/arptsc.rar[/url]
2、受害者:可以下載 ARP防火牆(Anti ARP Sniffer)。ARP防火牆是一款通過在系統內核層攔截虛假ARP數據包以及主動通告網關本機正確的MAC地址,從而保障數據流向的正確,保證通訊數據安全、保證網絡暢通、保證通訊數據不受第三者控制,可以很好的保護本地計算機正常運行。
3、如運行ARP防火牆程序仍無效果,可下載系統補丁以作嘗試:
WINXP系統ARP病毒補丁下載地址: [url]http://www.xia123.cn/dowm311l33.asp?id=6203&no=1[/url]
WIN2000系統ARP病毒補丁下載地址:[url]ftp://mex.xauat.cn/arp/Win2000-KB891861-v2-x86-CHS.EXE[/url]
(三)、如何防範ARP病毒
ARP病毒***危害巨大,一般難以監控,還要靠防範爲主,防範措施有:
1、用戶要提高網絡安全意識,不要輕易下載、使用盜版和存在安全隱患的軟件;或瀏覽一些缺乏可信度的網站(網頁);不要隨便打開不明來歷的電子郵件,尤其是郵件附件;不要隨便共享文件和文件夾,以免個人計算機受到***病毒的侵入。
2、用戶要及時下載和更新操作系統的補丁程序,安裝正版的殺毒軟件,增強個人計算機防禦計算機病毒的能力。(補丁就是操作系統的疫苗,打一個就防一種威脅,打得越全越安全。)
注意:目前國內主流的計算機防毒軟件只能避免自己電腦主機感染ARP病毒,但無法抵禦同網段其它已感染ARP病毒的計算機的病毒***。
3、設置足夠強勁的密碼。脆弱的密碼是給別人開設的方便之門。正在用電腦的也許不只是坐在顯示器前的您。
4、網絡安全靠大家。局域網是公共服務設施,保障網絡安全不僅是網絡中心的工作,更是每位網絡用戶應盡的義務。只有依靠大家羣策羣力、羣防羣治,網絡才能長治久安。