近期有某种arp病毒在校园网里传播,感染该病毒后,会影响整个网段计算机的正常上网,出现同一网段的大面积断网断线。请广大用户升级杀毒软件病毒库到最新版本,没有安装杀毒软件的用户,请下载下面的专杀工具进行查杀。 一、故障现象及原因分析 情况一、当局域网内某台主机感染了ARP病毒时,会向本局域网内(指某一网段,比如:192.168.0.0这一段)所有主机发送ARP欺骗攻击,让原本流向网络中心的流量改道流向病毒主机,并通过病毒主机代理上网。因客户端具有防代理功能,造成受害者无法通过病毒主机上网。由于病毒发作时发出大量数据包会将网络拥塞,大家会感觉上网速度越来越慢。中毒者同样如此,受其自身处理能力的限制,感觉运行速度很慢时,可能会采取重新启动或其他措施。此时病毒短时间停止工作,大家会感到网络恢复正常。如此反复,就造成网络时断时续。 情况二、局域网内有某些用户使用了ARP欺骗程序(如:网络执法官、网络剪刀手、传奇木马、QQ盗号软件等)发送ARP欺骗数据包,致使被攻击的电脑出现突然不能上网,过一段时间又能上网,反复掉线的现象。 二、故障防范及解决方法 (一)、故障诊断 如果用户发现以上疑似情况,可以通过如下操作进行诊断:点击"开始"按钮->选择"运行"->输入"arp -d"->点击"确定"按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。 注:"arp -d"命令用于清除并重建本机arp表。"arp -d"命令并不能抵御ARP欺骗,执行后仍有可能再次遭受ARP攻击。 (二)、故障处理 1、中毒者:下载ARP病毒专杀工具,解压后运行TSC.exe文件进行查杀,不要关让它一直运行完,然后查看其中report文档。 下载地址: ftp://mex.xauat.cn/arp/arptsc.rar 2、受害者:可以下载 ARP防火墙(Anti ARP Sniffer)。ARP防火墙是一款通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址,从而保障数据流向的正确,保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制,可以很好的保护本地计算机正常运行。 下载地址:http://gsts.onlinedown.net/down/antiarp4.2beta4.zip 3、如运行ARP防火墙程序仍无效果,可下载系统补丁以作尝试: WINXP系统ARP病毒补丁下载地址: http://www.xia123.cn/dowm311l33.asp?id=6203&no=1 WIN2000系统ARP病毒补丁下载地址:ftp://mex.xauat.cn/arp/Win2000-KB891861-v2-x86-CHS.EXE (三)、如何防范ARP病毒 ARP病毒攻击危害巨大,一般难以监控,还要靠防范为主,防范措施有: 1、用户要提高网络安全意识,不要轻易下载、使用盗版和存在安全隐患的软件;或浏览一些缺乏可信度的网站(网页);不要随便打开不明来历的电子邮件,尤其是邮件附件;不要随便共享文件和文件夹,以免个人计算机受到木马病毒的侵入。 2、用户要及时下载和更新操作系统的补丁程序,安装正版的杀毒软件,增强个人计算机防御计算机病毒的能力。(补丁就是操作系统的疫苗,打一个就防一种威胁,打得越全越安全。) 注意:目前国内主流的计算机防毒软件只能避免自己电脑主机感染ARP病毒,但无法抵御同网段其它已感染ARP病毒的计算机的病毒攻击。 3、设置足够强劲的密码。脆弱的密码是给别人开设的方便之门。正在用电脑的也许不只是坐在显示器前的您。 4、网络安全靠大家。局域网是公共服务设施,保障网络安全不仅是网络中心的工作,更是每位网络用户应尽的义务。只有依靠大家群策群力、群防群治,网络才能长治久安。
注意:当附近所有人的计算机都不能正常上网,出现qq掉线等情况时,您的电脑却安然无恙,数据通信正常,这说明您的机器已经中了arp病毒,需要及时杀毒,否则,与您相邻的计算机将无法上网,您的硬盘上的数据也有被窃取的危险。