Arp病毒查杀通用方法

校园网各位用户：
近一段时间以来，由于全国大范围ARP木马流行,我校部分网段也受其影响, 病毒发作时其症状表现为计算机网络连接正常，却无法打开网页；部分用户频繁出现断线、掉网，或由于ARP欺骗的木马程序（病毒）发作时发出大量的数据包，导致校园网用户上网不稳定，严重时会造成全网堵塞，用户上网速度极慢，甚至造成网络短时瘫痪，极大地影响了校园网用户的正常使用，给整个校园网的安全带来严重的隐患。为此，请校园网用户及时更新病毒库和安装系统补丁，提高防范措施；特提醒校园网用户务必采取以下措施。

一、校园网用户要增强网络安全意识，不要轻易下载、使用盗版和存在安全隐患的软件；或浏览一些缺乏可信度的网站（网页）；不要随便打开不明来历的电子邮件，尤其是邮件附件；不要随便共享文件和文件夹，即使要共享，也得设置好权限，一般指定特定帐号或特定机器才能访问，另外不建议设置可写或可控制，以免个人计算机受到木马病毒的侵入给校园网的安全带来隐患。

二、校园网计算机用户要及时下载和更新操作系统的补丁程序，增强个人计算机防御计算机病毒的能力。

三、用户检查和处理“ ARP 欺骗”木马的方法。

在感染 ARP欺骗木马程序（病毒）攻击时，用户可选择下列方法处理。
1、安装趋势防病毒软件 (http://antivirus.sjtu.edu.cn/进行全盘扫描查杀

如果发现网络经常中断或网速显著变慢,可以临时使用 antiarp 来检测同网段其他电脑是否有感染病毒（注意，这个软件不是用来杀arp病毒的）。

1、下载Anti ARP Sniffer软件保护本地计算机正常运行（(点击下载AntiArp.exe，安装配置前，请先查看使用说明）。同时把此软件设为自动启动,步骤:先把Antiarp.exe
生成桌面快捷方式- 选"开始"- "程序"- 双击"启动"- 再把桌面上Antiarp.exe快捷键拷到"启动"中，以保证下次开机自动运行。该工具可以检测到本地网络上的ARP欺骗报文并报警，用户可根据该报警向网管报告问题MAC地址,也可以在线查出感染病毒的到底是哪一间宿舍。http://campus.sjtu.edu.cn/bx/mac/学生宿舍网卡地址所在地查询

四、若用户未按上述要求采取任何安全措施，导致计算机在校园网上发送大量的病毒数据包，影响了校园网的安全，网络中心，学生网管部将采取有效措施令其离线杀毒

防范工具下载：

http://campus.sjtu.edu.cn/arp.rar


ARP病毒是采用2层arp报文,将中毒主机做为一个肉鸡,发送大量arp报文(报文内容为IP地址为网关地址,MAC为中毒主机MAC）,将同网段内的所有其他主机流量引向自己,从而通过抓包的方式截取各种密码信息.最早的arp病毒是传奇木马(MIRO.dat)做出来的...

由于ARP病毒基于OSI模型第2层,且协议设计之初没有任何验证功能，所以防范措施比较被动。大致的防范措施有

1。基于网管 ：
可以采用vlan隔离的方式，不过部分交换机实现比较困难。。。且不支持supervlan，或者MLS，转发延迟较高。。。 这种方式用得很少另一种方式就是中毒后才用关闭端口的做法
2。对于用户 ：
可以采用 arp -s 静态绑定网关mac或者antiarp软件来绑定网关mac

对于antiarp举报与断网时的处理：

一般windows系统的arp表 hold时间为 5分钟，所以对于win系统而言，将会产生断5分钟，通5分钟的情况
检测方法为：

Windows 2000/XP/2003系统的用户:
点出 [开始]菜单 - 选[运行] ，输入 "cmd" 并确定调出"命令提示符"窗口

[步骤1]:
输入并以下命令并按回车键：

记录网关 IP 地址，即 "Default Gateway" 对应的值，例如 "202.120.48.126" 。
屏幕输出例子：
其中黄色部分表示用户自己的IP地址

Windows IP Configuration

Ethernet adapter Broadcom:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 202.120.48.33
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 202.120.48.126


[步骤2]:
再输入以下命令并按回车键：
arp -a (arp空格 减号a)
在 "Internet Address" 下找到上步记录的网关 IP 地址，
记录其对应的物理地址，即 "Physical Address" 值，例如 "00-e0-fc-7c-9f-03"。
例子:

Internet Address Physical Address Type


在网络正常时这就是网关的正确物理地址，
在网络不稳定时，它有可能是感染病毒计算机的网卡物理地址。

把这个MAC地址记下来报给网络中心或楼内学生网管员，可以尽快找到感染病毒用户。


1.看到的网关MAC地址如果是
00-01-30开头 或
00-04-96开头 或
00-e0-fc开头
则一般是正确的。

2.一次测试可能不能抓到现行犯，网络确实时通时断则需要多测几次
3.网络时通时断的原因还可能是用户网线质量不过关 或 用户指定错了IP地址，
发现故障只在自己房间发生时请向网管联系检查设置是否正确。

4.由于可能有些主机同处于广播域中，arp -a的纪录有可能不完全正确则可以采用这样
一种方式
一个cmd ping 网关 -t ,例如ping 202.120.48.126 -t
另一个cmd arp -d后 arp -a可以看出网关mac是否改变

2。采用antiarp软件， 将攻击纪录发送到bbs
如下图：


3。采用etereal软件，断网期间抓包，会发现许多arp报文




网管员的检测办法：

同网段内， 可以etereal抓包，或者采用antiarp查看

同时可以用campus网管系统查看端口的传送流量，传送流量中 collision帧和广播帧特
别多的时候，
基本怀疑中毒了，如下图




Receive Statistics Transmit Statistics

Total good frames 10265385 Total frames 40349959
Total octets 1275693528 Total octets 1945678615
Broadcast/multicast frames 436620 Broadcast/multicast frames 4576721
Broadcast/multicast octets 29308201 Broadcast/multicast octets

Good frames forwarded 10254659 Deferrals
290014 注意这几个值，较正常情况会高10倍以上
Frames filtered 10726 Single collisions

Runt frames 0 Multiple collisions

No buffer discards 0 Excessive collisions 1


FCS errors 0 Late collisions 0
Alignment errors 0 Excessive deferrals 0
Giant frames 0 Jabber errors 0
Address violations 671 Other transmit errors 0




FastEthernet0/6 is up, line protocol is up
Hardware is Fast Ethernet, address is 0004.9ab5.dcc6 (bia 0004.9ab5.dcc6)
MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec,
reliability 255/255, txload 24/255, rxload 1/255
Encapsulation ARPA, loopback not set

Auto-duplex (Full), Auto Speed (10), 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
Last input never, output 00:00:01, output hang never
Last clearing of "show interface" counters never





Received 3419 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored


22931939 packets output, 899264722 bytes, 0 underruns 广播和collisions
统计



--More-- 0 output buffer failures, 0 output buffers swapped