單位很多電腦突然無法上網,這個情況在多台電腦上出現,並且很多電腦都是XP
SP2的系統,而且開啟了防火牆。但仔細觀察發現大部分電腦都是開啟了檔案和印表機共用服務,由於這個服務開放的137、138、139、445連接埠正是
病毒常用的入侵連接埠,因此特別需要注意,如果沒必要的話,還是建議別開放,或者在防火牆的設定上關閉這個服務的連接埠。
今天出現的部分使用者無法上網現象和以前經常遇到的集體癱瘓有所不同,用sniffer觀察一段時間後癥狀並不明顯,聯想到現在比較流行的arp欺騙木馬就
找了一台無法上網的電腦,運行cmd,輸入arp -a發現出現多個地址,並且出現不同的IP地址對應的MAC是一樣的,因此基本確定是中了arp欺騙。 以下說明下處理這種情況的方法: 1、首先進入命令列模式 2、然後運行arp -a命令,該命令是查看當前arp表,可以確認網關和對應的mac地址 正常情況下會出現類似如下的提示: Interface:192.168.1.5 --- 0x2 Internet Address Physical Address Type192.168.1.1 00-01-02-03-04-05 dynamic 如果192.168.1.1為網關,那麼00-01-02-03-04-05就是閘道伺服器網卡的MAC地址,比對這個MAC是否和真的伺服器網卡MAC一致,如果不一致就是被欺騙,會造成使用者無法上網。 而被欺騙的電腦可能會出現多個IP出現同樣的MAC,出現錯亂。這個時候記住要記下那個網關IP對應的錯誤MAC地址,這個地址很可能是中了木馬的電腦,這個可以方便接下來的查殺。 3、確認之後,可以輸入arp -d命令,以刪除當前電腦的arp表,方便重建立立arp表。 4、接下來可以綁定正確的arp網關,輸入: arp -s 192.168.1.1 00-0e-18-34-0d-56 5、再用arp -a查看Interface: 192.168.1.5 --- 0x2 Internet Address Physical Address Type192.168.1.1 00-0e-18-34-0d-56 static 這時,類型變為靜態(static),就不會再受攻擊影響了。 至此這台電腦便可以上網了,不過要徹底解決問題就需要找到那台中木馬的電腦(一般就是那台偽造了網關MAC的對應電腦),對其殺毒之後才可以解
決問題,推薦使用奇虎安全衛士配合木馬剋星一類的殺木馬軟體查殺木馬,因為很多殺毒軟體都無法發現現在的木馬。具體查殺過程還涉及一切系統知識和處理經
驗,在此不再詳表。 最後介紹一下ARP欺騙類的木馬,一般為比較熱門遊戲的盜號木馬;原理是: 當區域網路內某台主機運行ARP欺騙的木馬程式時,會欺騙區域網路內所有主機和路由器,讓所有上網的流量必須經過病毒主機。其他使用者原來直接通過路由器上網現在轉由通過病毒主機上網,切換的時候使用者會斷一次線。
切換到病毒主機上網後,如果使用者已經登陸了傳奇伺服器,那麼病毒主機就會經常偽造斷線的假像,那麼使用者就得重新登入傳奇伺服器,這樣病毒主機就可以盜號了。
