arp监测和防御.doc_文客久久网wenke99.com

资源描述

1、ARP ,该病毒发作时候的特征为，中毒的机器会伪造某台电脑的 MAC 地址，如该伪造地址为网关服务器的地址，那么对整个局域网均会造成影响，用户表现为上网经常瞬断。一、在任意客户机上进入命令提示符(或 MS-DOS 方式)，用 arp a 命令查看： C:WINNTsystem32arp -a Interface: 192.168.0.193 on Interface 0x1000003 Internet Address Physical Address Type 192.168.0.1 00-50-da-8a-62-2c dynamic 192.168.0.23 00-11-2f-43-81

2、-8b dynamic 192.168.0.24 00-50-da-8a-62-2c dynamic 192.168.0.25 00-05-5d-ff-a8-87 dynamic 192.168.0.200 00-50-ba-fa-59-fe dynamic 可以看到有两个机器的 MAC 地址相同，那么实际检查结果为 00-50-da-8a-62-2c 为 192.168.0.24 的 MAC 地址，192.168.0.1 的实际 MAC地址为 00-02-ba-0b-04-32，我们可以判定 192.168.0.24 实际上为有病毒的机器，它伪造了 192.168.0.1 的 MAC 地址。

3、二、在 192.168.0.24 上进入命令提示符 (或 MS-DOS 方式)，用 arp a 命令查看： C:WINNTsystem32arp -a Interface: 192.168.0.24 on Interface 0x1000003 Internet Address Physical Address Type 192.168.0.1 00-02-ba-0b-04-32 dynamic 192.168.0.23 00-11-2f-43-81-8b dynamic 192.168.0.25 00-05-5d-ff-a8-87 dynamic 192.168.0.193 00-11-2

4、f-b2-9d-17 dynamic 192.168.0.200 00-50-ba-fa-59-fe dynamic 可以看到带病毒的机器上显示的 MAC 地址是正确的，而且该机运行速度缓慢，应该为所有流量在二层通过该机进行转发而导致，该机重启后网吧内所有电脑都不能上网，只有等 arp 刷新 MAC 地址后才正常，一般在 2、3 分钟左右。三、如果主机可以进入 dos 窗口，用 arp a 命令可以看到类似下面的现象： C:WINNTsystem32arp -a Interface: 192.168.0.1 on Interface 0x1000004 Internet Address Ph

5、ysical Address Type 192.168.0.23 00-50-da-8a-62-2c dynamic 192.168.0.24 00-50-da-8a-62-2c dynamic 192.168.0.25 00-50-da-8a-62-2c dynamic 192.168.0.193 00-50-da-8a-62-2c dynamic 192.168.0.200 00-50-da-8a-62-2c dynamic 该病毒不发作的时候，在代理服务器上看到的地址情况如下： C:WINNTsystem32arp -a Interface: 192.168.0.1 on Interfa

6、ce 0x1000004 Internet Address Physical Address Type 192.168.0.23 00-11-2f-43-81-8b dynamic 192.168.0.24 00-50-da-8a-62-2c dynamic 192.168.0.25 00-05-5d-ff-a8-87 dynamic 192.168.0.193 00-11-2f-b2-9d-17 dynamic 192.168.0.200 00-50-ba-fa-59-fe dynamic 病毒发作的时候，可以看到所有的 ip 地址的 mac 地址被修改为 00-50-da-8a-62-2c

7、，正常的时候可以看到 MAC 地址均不会相同。解决办法： 1、 KAV(卡巴斯基)，可杀除该病毒，病毒命名为：TrojanDropper.Win32.Juntador.c 杀毒信息：07.02.2005 10:48:00 C:Documents and SettingsAdministratorLocal SettingsTemporary Internet FilesContent.IE5B005Z0K9Gear_Setup1.exe infected TrojanDropper.Win32.Juntador.c 2、瑞星可杀除该病毒，病毒命名为：TrojanDropper.Win32.Juntador.f 3、最好在计划机或路由上做 IP-MAC 绑定。

展开阅读全文