怎么檢查與處理“ ARP 欺騙”木馬的方法

如何檢查和處理“ ARP 欺騙”木馬的方法

1 ．檢查本機的“ ARP 欺騙”木馬染毒進程

     同時按住鍵盤上的“ CTRL ”和“ ALT ”鍵再按“ DEL ”鍵， 選擇“任務(wù)管理器”， 點選“進程”標(biāo)簽。 察看其中是否有一個名為“ MIR0.dat ”的進程。 如果有， 則說明已經(jīng)中毒。 右鍵點擊此進程后選擇“結(jié)束進程”。 參見右圖。

2 ．檢查網(wǎng)內(nèi)感染“ ARP 欺騙”木馬染毒的計算機

     在“開始” - “程序” - “附件”菜單下調(diào)出“命令提示符”。 輸入并執(zhí)行以下命令：

ipconfig

      記錄網(wǎng)關(guān) IP 地址， 即“ Default Gateway ”對應(yīng)的值， 例如“ 59.66.36.1 ”。 再輸入并執(zhí)行以下命令：

arp –a

      在“ Internet Address ”下找到上步記錄的網(wǎng)關(guān) IP 地址， 記錄其對應(yīng)的物理地址， 即“ Physical Address ”值， 例如“ 00-01-e8-1f-35-54 ”。 在網(wǎng)絡(luò)正常時這就是網(wǎng)關(guān)的正確物理地址， 在網(wǎng)絡(luò)受“ ARP 欺騙”木馬影響而不正常時， 它就是木馬所在計算機的網(wǎng)卡物理地址。

     也可以掃描本子網(wǎng)內(nèi)的全部 IP 地址， 然后再查 ARP 表。 如果有一個 IP 對應(yīng)的物理地址與網(wǎng)關(guān)的相同， 那么這個 IP 地址和物理地址就是中毒計算機的 IP 地址和網(wǎng)卡物理地址。

3 ．設(shè)置 ARP 表避免“ ARP 欺騙”木馬影響的方法

     本方法可在一定程度上減輕中木馬的其它計算機對本機的影響。 用上邊介紹的方法確定正確的網(wǎng)關(guān) IP 地址和網(wǎng)關(guān)物理地址， 然后在 “命令提示符”窗口中輸入并執(zhí)行以下命令：

arp –s 網(wǎng)關(guān) IP 網(wǎng)關(guān)物理地址

4.動態(tài)ARP綁定網(wǎng)關(guān)

步驟一：

      在能正常上網(wǎng)時， 進入MS-DOS窗口， 輸入命令：arp －a， 查看網(wǎng)關(guān)的IP對應(yīng)的正確MAC地址， 并將其記錄下來。

      注意：如果已經(jīng)不能上網(wǎng)， 則先運行一次命令arp －d將arp緩存中的內(nèi)容刪空， 計算機可暫時恢復(fù)上網(wǎng)（攻擊如果不停止的話）。 一旦能上網(wǎng)就立即將網(wǎng)絡(luò)斷掉（禁用網(wǎng)卡或拔掉網(wǎng)線）， 再運行arp －a。

步驟二：

     如果計算機已經(jīng)有網(wǎng)關(guān)的正確MAC地址， 在不能上網(wǎng)只需手工將網(wǎng)關(guān)IP和正確的MAC地址綁定， 即可確保計算機不再被欺騙攻擊。

要想手工綁定， 可在MS-DOS窗口下運行以下命令：

arp －s 網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC

     例如：假設(shè)計算機所處網(wǎng)段的網(wǎng)關(guān)為192.168.1.1， 本機地址為192.168.1.5， 在計算機上運行arp －a后輸出如下：

Cocuments and Settings>arp -a

Interface:192.168.1.5 --- 0x2

Internet Address Physical Address Type

192.168.1.1 00-01-02-03-04-05 dynamic

    其中， 00-01-02-03-04-05就是網(wǎng)關(guān)192.168.1.1對應(yīng)的MAC地址， 類型是動態(tài)（dynamic）的， 因此是可被改變的。

     被攻擊后， 再用該命令查看， 就會發(fā)現(xiàn)該MAC已經(jīng)被替換成攻擊機器的MAC。 如果希望能找出攻擊機器， 徹底根除攻擊， 可以在此時將該MAC記錄下來， 為以后查找該攻擊的機器做準(zhǔn)備。

手工綁定的命令為：

arp －s 192.168.1.1 00-01-02-03-04-05

綁定完， 可再用arp －a查看arp緩存：

Cocuments and Settings>arp -a

Interface: 192.168.1.5 --- 0x2

Internet Address Physical Address Type

192.168.1.1 00-01-02-03-04-05 static

這時， 類型變?yōu)殪o態(tài)（static）， 就不會再受攻擊影響了。

但是， 需要說明的是， 手工綁定在計算機關(guān)機重啟后就會失效， 需要再次重新綁定。 所以， 要徹底根除攻擊， 只有找出網(wǎng)段內(nèi)被病毒感染的計算機， 把病毒殺掉， 才算是真正解決問題。

5 .作批處理文件

     在客戶端做對網(wǎng)關(guān)的arp綁定， 具體操作步驟如下：

步驟一：

     查找本網(wǎng)段的網(wǎng)關(guān)地址， 比如192．168．1．1， 以下以此網(wǎng)關(guān)為例。 在正常上網(wǎng)時， “開始→運行→cmd→確定”， 輸入：arp －a， 點回車， 查看網(wǎng)關(guān)對應(yīng)的Physical Address。

比如：網(wǎng)關(guān)192.168.1.1 對應(yīng)00－01－02－03－04－05。

步驟二：

編寫一個批處理文件rarp.bat， 內(nèi)容如下：

@echo off

arp －darp -s 192.168.1.1 00－01－02－03－04－05

保存為：rarp.bat。

步驟三：

    運行批處理文件將這個批處理文件拖到“Windows→開始→程序→啟動”中， 如果需要立即生效， 請運行此文件。

注意：以上配置需要在網(wǎng)絡(luò)正常時進行

ARP聯(lián)盟

6.使用安全工具軟件

     及時下載Anti ARP Sniffer軟件保護本地計算機正常運行。 具體使用方法可以在網(wǎng)上搜索。

如果已有病毒計算機的MAC地址， 可使用NBTSCAN等軟件找出網(wǎng)段內(nèi)與該MAC地址對應(yīng)的IP， 即感染病毒的計算機的IP地址， 然后報告單位的網(wǎng)絡(luò)中心對其進行查封。

或者利用單位提供的集中網(wǎng)絡(luò)防病毒系統(tǒng)來統(tǒng)一查殺木馬。 另外還可以利用木馬殺客等安全工具進行查殺。

7.應(yīng)急方案

     網(wǎng)絡(luò)管理管理人員利用上面介紹的ARP木馬檢測方法在局域網(wǎng)的交換機上查出受感染該病毒的端口后， 立即關(guān)閉中病毒的端口， 通過端口查出相應(yīng)的用戶并通知其徹底查殺病毒。 而后， 做好單機防范， 在其徹底查殺病毒后再開放相應(yīng)的交換機端口， 重新開通上網(wǎng)。

附錄一

清華大學(xué)校園網(wǎng)絡(luò)安全響應(yīng)小組編的一個小程序

下載地址： ftp://166.111.8.243/tools/ArpFix.rar