▋此病毒的運作原理
當使用的電腦中毒會發送一個假的ARP封包到公司的內部網路上竄改ARP Cache使得您要傳送的資料無法正確傳輸到目的地,造成網路無法連結,便稱作ARP攻擊。由於一般的ARP Cache是根據經過的ARP封包不斷的變更本身的ARP列表,假設接收到的ARP封包所提供的資料是偽造的,就會讓資料無法傳輸到實際的目的地。甚至可能因為資料導向某特定電腦,駭客可利用病毒竊取封包資料或修改封包內容。
假設公司B電腦中了ARP病毒,它發送一個假的ARP封包給Switch(交換機設備),告訴Swich說192.168.1.1對應的Mac位址是B電腦的Mac Address(網卡位址編號),原本192.168.1.1對應的Mac Address是Router(網路路由器設備)為正確的上網通道,這時候就會被修改成錯誤的Mac Address。
當公司A電腦要發送上網的需求資訊到192.168.1.1時,經過Swich的時候查看ARP Cache發現結果192.168.1.1對應到的是B電腦的Mac Address,此時資料就會傳送給B電腦,而不是傳送到Router,所以A電腦就可能無法連上網路。
ARP病毒的特徵
打開網頁時首頁自動連接到一些奇怪的網站,然後IE就像死當了一樣,而且一會兒就彈出「虛擬記憶體太低」的訊息,導致系統過慢最後當機。
▋如何檢測找出感染ARP病毒的電腦
於DOS下使用arp -a的指令,中毒的話如下圖的ARP Cache有三個IP均指向同一個Mac Address,表示這個Mac Address實際對應的電腦即可能感染了ARP病毒。
▋防禦方法
A.使用可防禦ARP攻擊的三層交換機,綁定連接埠-MAC-IP,限制ARP流量,及時發現並自動阻斷ARP攻擊連接埠,合理劃分VLAN,徹底阻止盜用IP、MAC地址,杜絕ARP的攻擊。此方法是最容易建置且也是很有效的方法。
B.對於經常爆發病毒的網路,進行Internet訪問控制,限制用戶對網路的訪問。此類ARP攻擊程序一般都是從Internet下載到用戶終端,如果能夠加強用戶上網的訪問控制,就能極大的減少該問題的發生。此方法需要專業人員校調網路。
C.使用專門的防毒軟體。或搜尋一下網友提供的一些命令語法。
▋手動排除的方法(手動修改ARP Cache)
方法一、
先登入ROUTER(IP分享器)查詢LAN端網卡的Mac Address(Router MAC address)及起始IP位址(gate way ip),再依下圖之方法一以記事本輸入相關資訊將檔案副檔名存為.bat檔,存檔後執行該檔即可立即應暫時排除狀況。
先登入ROUTER(IP分享器)查詢LAN端網卡的Mac Address(Router MAC address)及起始IP位址(gate way ip),再依下圖之方法一以記事本輸入相關資訊將檔案副檔名存為.bat檔,存檔後執行該檔即可立即應暫時排除狀況。
方法二、
依照範例內容以記事本輸入一樣的內容即可,儲存檔案副檔名一樣為.bat檔,存檔後執行該檔即可立即應暫時排除狀況。
依照範例內容以記事本輸入一樣的內容即可,儲存檔案副檔名一樣為.bat檔,存檔後執行該檔即可立即應暫時排除狀況。
備註:本網頁之相關附件為方法二的檔案
