国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

ARP病毒---導(dǎo)致網(wǎng)絡(luò)(ping)時斷時通---解決辦法
【解決思路】
1、不要把你的網(wǎng)絡(luò)安全信任關(guān)系建立在IP基礎(chǔ)上或MAC基礎(chǔ)上，(rarp同樣存在欺騙的問題)，理想的關(guān)系應(yīng)該建立在IP+MAC基礎(chǔ)上。
2、設(shè)置靜態(tài)的MAC-->IP對應(yīng)表，不要讓主機(jī)刷新你設(shè)定好的轉(zhuǎn)換表。
3、除非很有必要，否則停止使用ARP，將ARP做為永久條目保存在對應(yīng)表中。
4、使用ARP服務(wù)器。通過該服務(wù)器查找自己的ARP轉(zhuǎn)換表來響應(yīng)其他機(jī)器的ARP廣播。確保這臺ARP服務(wù)器不被黑。
5、使用“proxy”代理IP的傳輸。
6、使用硬件屏蔽主機(jī)。設(shè)置好你的路由，確保IP地址能到達(dá)合法的路徑。(靜態(tài)配置路由ARP條目)，注意，使用交換集線器和網(wǎng)橋無法阻止ARP欺騙。
7、管理員定期用響應(yīng)的IP包中獲得一個rarp請求，然后檢查ARP響應(yīng)的真實性。
8、管理員定期輪詢，檢查主機(jī)上的ARP緩存。
9、使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)。注意有使用SNMP的情況下，ARP的欺騙有可能導(dǎo)致陷阱包丟失。
【HiPER用戶的解決方案】
建議用戶采用雙向綁定的方法解決并且防止ARP欺騙。
1、在PC上綁定路由器的IP和MAC地址：
1)首先，獲得路由器的內(nèi)網(wǎng)的MAC地址(例如HiPER網(wǎng)關(guān)地址192.168.16.254的MAC地址為0022aa0022aa局域網(wǎng)端口MAC地址>)。
2)編寫一個批處理文件rarp.bat內(nèi)容如下：
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa
將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為您自己的網(wǎng)關(guān)IP地址和MAC地址即可。
將這個批處理軟件拖到“windows--開始--程序--啟動”中。



arp
顯示和修改“地址解析協(xié)議 (ARP)”緩存中的項目。ARP 緩存中包含一個或多個表，它們用于存儲 IP 地址及其經(jīng)過解析的以太網(wǎng)或令牌環(huán)物理地址。計算機(jī)上安裝的每一個以太網(wǎng)或令牌環(huán)網(wǎng)絡(luò)適配器都有自己單獨(dú)的表。如果在沒有參數(shù)的情況下使用，則 arp 命令將顯示幫助信息。

語法
arp[-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]]

參數(shù)
-a[ InetAddr] [ -N IfaceAddr]

顯示所有接口的當(dāng)前 ARP 緩存表。要顯示特定 IP 地址的 ARP 緩存項，請使用帶有 InetAddr 參數(shù)的 arp -a，此處的 InetAddr 代表 IP 地址。如果未指定 InetAddr，則使用第一個適用的接口。要顯示特定接口的 ARP 緩存表，請將 -N IfaceAddr 參數(shù)與 -a 參數(shù)一起使用，此處的 IfaceAddr 代表指派給該接口的 IP 地址。-N 參數(shù)區(qū)分大小寫。

-g[ InetAddr] [ -N IfaceAddr]

與 -a 相同。

-d InetAddr [IfaceAddr]

刪除指定的 IP 地址項，此處的 InetAddr 代表 IP 地址。對于指定的接口，要刪除表中的某項，請使用 IfaceAddr 參數(shù)，此處的 IfaceAddr 代表指派給該接口的 IP 地址。要刪除所有項，請使用星號 (*) 通配符代替 InetAddr。

-s InetAddr EtherAddr [IfaceAddr]

向 ARP 緩存添加可將 IP 地址 InetAddr 解析成物理地址 EtherAddr 的靜態(tài)項。要向指定接口的表添加靜態(tài) ARP 緩存項，請使用 IfaceAddr 參數(shù)，此處的 IfaceAddr 代表指派給該接口的 IP 地址。

/?

在命令提示符下顯示幫助。

注釋
InetAddr 和 IfaceAddr 的 IP 地址用帶圓點(diǎn)的十進(jìn)制記數(shù)法表示。

EtherAddr 的物理地址由六個字節(jié)組成，這些字節(jié)用十六進(jìn)制記數(shù)法表示并且用連字符隔開（比如，00-AA-00-4F-2A-9C）。
按以下順序刪除病毒組件

1) 刪除 ”病毒組件釋放者”

%windows%\SYSTEM32\LOADHW.EXE

2) 刪除 ”發(fā)ARP欺騙包的驅(qū)動程序” (兼 “病毒守護(hù)程序”)

%windows%\System32\drivers\npf.sys

a. 在設(shè)備管理器中, 單擊”查看”-->”顯示隱藏的設(shè)備”

b. 在設(shè)備樹結(jié)構(gòu)中,打開”非即插即用….”

c. 找到” NetGroup Packet Filter Driver” ,若沒找到,請先刷新設(shè)備列表

d. 右鍵點(diǎn)擊” NetGroup Packet Filter Driver” 菜單,并選擇”卸載”.

e. 重啟windows系統(tǒng),

f. 刪除%windows%\System32\drivers\npf.sys


3) 刪除 ”命令驅(qū)動程序發(fā)ARP欺騙包的控制者”

%windows%\System32\msitinit.dll

2. 刪除以下”病毒的假驅(qū)動程序”的注冊表服務(wù)項:



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf





三、定位ARP攻擊源頭和防御方法
1．定位ARP攻擊源頭

主動定位方式：因為所有的ARP攻擊源都會有其特征——網(wǎng)卡會處于混雜模式，可以通過ARPKiller這樣的工具掃描網(wǎng)內(nèi)有哪臺機(jī)器的網(wǎng)卡是處于混雜模式的，從而判斷這臺機(jī)器有可能就是“元兇”。定位好機(jī)器后，再做病毒信息收集，提交給趨勢科技做分析處理。

標(biāo)注：網(wǎng)卡可以置于一種模式叫混雜模式（promiscuous），在這種模式下工作的網(wǎng)卡能夠收到一切通過它的數(shù)據(jù)，而不管實際上數(shù)據(jù)的目的地址是不是它。這實際就是Sniffer工作的基本原理：讓網(wǎng)卡接收一切它所能接收的數(shù)據(jù)。

被動定位方式：在局域網(wǎng)發(fā)生ARP攻擊時，查看交換機(jī)的動態(tài)ARP表中的內(nèi)容，確定攻擊源的MAC地址；也可以在局域居于網(wǎng)中部署Sniffer工具，定位ARP攻擊源的MAC。

也可以直接Ping網(wǎng)關(guān)IP，完成Ping后，用ARP –a查看網(wǎng)關(guān)IP對應(yīng)的MAC地址，此MAC地址應(yīng)該為欺騙的MAC。

使用NBTSCAN可以取到PC的真實IP地址、機(jī)器名和MAC地址，如果有”ARP攻擊”在做怪，可以找到裝有ARP攻擊的PC的IP、機(jī)器名和MAC地址。

命令：“nbtscan -r 192.168.16.0/24”（搜索整個192.168.16.0/24網(wǎng)段, 即192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 網(wǎng)段，即192.168.16.25-192.168.16.137。輸出結(jié)果第一列是IP地址，最后一列是MAC地址。

NBTSCAN的使用范例：

假設(shè)查找一臺MAC地址為“000d870d585f”的病毒主機(jī)。

1）將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下。

2）在Windows開始—運(yùn)行—打開，輸入cmd（windows98輸入“command”），在出現(xiàn)的DOS窗口中輸入：C: btscan -r 192.168.16.1/24（這里需要根據(jù)用戶實際網(wǎng)段輸入），回車。

3）通過查詢IP--MAC對應(yīng)表，查出“000d870d585f”的病毒主機(jī)的IP地址為“192.168.16.223”。

通過上述方法，我們就能夠快速的找到病毒源，確認(rèn)其MAC——〉機(jī)器名和IP地址。



2．防御方法

a.使用可防御ARP攻擊的三層交換機(jī)，綁定端口-MAC-IP，限制ARP流量，及時發(fā)現(xiàn)并自動阻斷ARP攻擊端口，合理劃分VLAN，徹底阻止盜用IP、MAC地址，杜絕ARP的攻擊。

b.對于經(jīng)常爆發(fā)病毒的網(wǎng)絡(luò)，進(jìn)行Internet訪問控制，限制用戶對網(wǎng)絡(luò)的訪問。此類ARP攻擊程序一般都是從Internet下載到用戶終端，如果能夠加強(qiáng)用戶上網(wǎng)的訪問控制，就能極大的減少該問題的發(fā)生。

c.在發(fā)生ARP攻擊時，及時找到病毒攻擊源頭，并收集病毒信息，可以使用趨勢科技的SIC2.0，同時收集可疑的病毒樣本文件，一起提交到趨勢科技的TrendLabs進(jìn)行分析，TrendLabs將以最快的速度提供病毒碼文件，從而可以進(jìn)行ARP病毒的防御。
該病毒發(fā)作時候的特征為，中毒的機(jī)器會偽造某臺電腦的MAC地址，如該偽造地址為網(wǎng)關(guān)服務(wù)器的地址，那么對整個網(wǎng)吧均會造成影響，用戶表現(xiàn)為上網(wǎng)經(jīng)常瞬斷。

一、在任意客戶機(jī)上進(jìn)入命令提示符(或MS-DOS方式)，用arp –a命令查看：
C:\WINNT\system32>arp -a

Interface: 192.168.0.193 on Interface 0x1000003
Internet Address Physical Address Type
192.168.0.1 00-50-da-8a-62-2c dynamic
192.168.0.23 00-11-2f-43-81-8b dynamic
192.168.0.24 00-50-da-8a-62-2c dynamic
192.168.0.25 00-05-5d-ff-a8-87 dynamic
192.168.0.200 00-50-ba-fa-59-fe dynamic

可以看到有兩個機(jī)器的MAC地址相同，那么實際檢查結(jié)果為
00-50-da-8a-62-2c為192.168.0.24的MAC地址，192.168.0.1的實際MAC地址為00-02-ba-0b-04-32，我們可以判定192.168.0.24實際上為有病毒的機(jī)器，它偽造了192.168.0.1的MAC地址。

二、在192.168.0.24上進(jìn)入命令提示符(或MS-DOS方式)，用arp –a命令查看：
C:\WINNT\system32>arp -a
Interface: 192.168.0.24 on Interface 0x1000003
Internet Address Physical Address Type
192.168.0.1 00-02-ba-0b-04-32 dynamic
192.168.0.23 00-11-2f-43-81-8b dynamic
192.168.0.25 00-05-5d-ff-a8-87 dynamic
192.168.0.193 00-11-2f-b2-9d-17 dynamic
192.168.0.200 00-50-ba-fa-59-fe dynamic


可以看到帶病毒的機(jī)器上顯示的MAC地址是正確的，而且該機(jī)運(yùn)行速度緩慢，應(yīng)該為所有流量在二層通過該機(jī)進(jìn)行轉(zhuǎn)發(fā)而導(dǎo)致，該機(jī)重啟后網(wǎng)吧內(nèi)所有電腦都不能上網(wǎng)，只有等arp刷新MAC地址后才正常，一般在2、3分鐘左右。

三、如果主機(jī)可以進(jìn)入dos窗口，用arp –a命令可以看到類似下面的現(xiàn)象：
C:\WINNT\system32>arp -a
Interface: 192.168.0.1 on Interface 0x1000004
Internet Address Physical Address Type
192.168.0.23 00-50-da-8a-62-2c dynamic
192.168.0.24 00-50-da-8a-62-2c dynamic
192.168.0.25 00-50-da-8a-62-2c dynamic
192.168.0.193 00-50-da-8a-62-2c dynamic
192.168.0.200 00-50-da-8a-62-2c dynamic

該病毒不發(fā)作的時候，在代理服務(wù)器上看到的地址情況如下：
C:\WINNT\system32>arp -a
Interface: 192.168.0.1 on Interface 0x1000004
Internet Address Physical Address Type
192.168.0.23 00-11-2f-43-81-8b dynamic
192.168.0.24 00-50-da-8a-62-2c dynamic
192.168.0.25 00-05-5d-ff-a8-87 dynamic
192.168.0.193 00-11-2f-b2-9d-17 dynamic
192.168.0.200 00-50-ba-fa-59-fe dynamic


病毒發(fā)作的時候，可以看到所有的ip地址的mac地址被修改為00-50-da-8a-62-2c，正常的時候可以看到MAC地址均不會相同。








解決辦法：
一、采用客戶機(jī)及網(wǎng)關(guān)服務(wù)器上進(jìn)行靜態(tài)ARP綁定的辦法來解決。
1． 在所有的客戶端機(jī)器上做網(wǎng)關(guān)服務(wù)器的ARP靜態(tài)綁定。
首先在網(wǎng)關(guān)服務(wù)器（代理主機(jī)）的電腦上查看本機(jī)MAC地址
C:\WINNT\system32>ipconfig /all
Ethernet adapter 本地連接 2:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel? PRO/100B PCI
Adapter (TX)
Physical Address. . . . . . . . . : 00-02-ba-0b-04-32
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.1
Subnet Mask . . . . . . . . . . . : 255.255.255.0
然后在客戶機(jī)器的DOS命令下做ARP的靜態(tài)綁定
C:\WINNT\system32>arp –s 192.168.0.1 00-02-ba-0b-04-32
注：如有條件，建議在客戶機(jī)上做所有其他客戶機(jī)的IP和MAC地址綁定。

2． 在網(wǎng)關(guān)服務(wù)器（代理主機(jī)）的電腦上做客戶機(jī)器的ARP靜態(tài)綁定
首先在所有的客戶端機(jī)器上查看IP和MAC地址，命令如上。
然后在代理主機(jī)上做所有客戶端服務(wù)器的ARP靜態(tài)綁定。如：
C:\winnt\system32> arp –s 192.168.0.23 00-11-2f-43-81-8b
C:\winnt\system32> arp –s 192.168.0.24 00-50-da-8a-62-2c
C:\winnt\system32> arp –s 192.168.0.25 00-05-5d-ff-a8-87
。。。。。。。。。

3． 以上ARP的靜態(tài)綁定最后做成一個windows自啟動文件，讓電腦一啟動就執(zhí)行以上操作，保證配置不丟失。

二、有條件的網(wǎng)吧可以在交換機(jī)內(nèi)進(jìn)行IP地址與MAC地址綁定


三、IP和MAC進(jìn)行綁定后，更換網(wǎng)卡需要重新綁定，因此建議在客戶機(jī)安裝殺毒軟件來解決此類問題：該網(wǎng)吧發(fā)現(xiàn)的病毒是變速齒輪2.04B中帶的，病毒程序在
http://www.wgwang.com/list/3007.html 可下載到：

1、 KAV(卡巴斯基)，可殺除該病毒，病毒命名為：TrojanDropper.Win32.Juntador.c
殺毒信息：07.02.2005 10:48:00 C:\Documents and
Settings\Administrator\Local Settings\Temporary Internet
Files\Content.IE5\B005Z0K9\Gear_Setup[1].exe infected
TrojanDropper.Win32.Juntador.c

2、 瑞星可殺除該病毒，病毒命名為：TrojanDropper.Win32.Juntador.f

本站僅提供存儲服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點(diǎn)擊舉報。