防范ARP欺骗类病毒的方法ARP.doc

防范ARP欺骗类病毒的方法
近期以来,"ARP欺骗"类病毒/木马在校园网内屡有发现,最近一段时间尤其严重,已经严重影响了校园网络的正常运行。对于感染病毒的用户,网络中心会根据其产生的后果严重程度,采取提醒警告乃至暂时关闭网络接入端口等必要措施来保障校园网正常运行。
   1. 病毒简要分析:
    当某台电脑感染了这类ARP欺骗病毒/木马程序后,会不定期发送伪造的ARP响应数据报文和广播报文。受感染电脑发出的这种报文会欺骗所在网段的其他电脑,对其他电脑宣称自己的mac就是网关的mac,对实际的网关说其他电脑ip的mac都是自己的mac,从而转发并截获其他电脑的上网流量。
   2. 引起的后果:
    1).由于其他电脑的对外访问都通过病毒主机,可能导致非加密或简单加密的用户各种IM/Mail等帐号信息被窃取。
    2).由于中毒主机本身发送大量的数据报文造成拥塞以及自身处理能力的限制,其他用户上网稳定性会明显受影响。
    :
    Windows 2000/XP/2003系统的用户:
    点出[开始]菜单- 选[运行] ,输入"cmd" 并确定调出"命令提示符"窗口
      [步骤1]:
      输入以下命令并按回车键:
      C:\>ipconfig
      记录网关 IP 地址,即"Default Gateway" 对应的值,例如"" 。
      屏幕输出例子:
            其中:  红色部分表示用户自己的IP地址
                蓝色部分表示子网掩码
                棕色部分表示网关地址
       Windows IP Configuration
       adapter :
       Connection-specific DNS Suffix  . :
        IP Address. . . . . . . . . . . .   :
         Mask . . . . . . . . . . . :
        Default Gateway . . . . . . . . . :
       -------------------------------------
      [步骤2]:
      再输入以下命令并按回车键:
      C:\>arp -a  (arp空格减号a)
      在" Address" 下找到上步记录的网关 IP 地址,
      记录其对应的物理地址,即" physical address " 值,例如"00-d0-f8-7c-9f-03"。
      例子:
      Interface: --- 0x10003
       Address      Physical Address      Type
              00-d0-f8-7c-9f-03     dynamic 
    在网络正常时这就是网关的正确物理