ARP木马中毒现象

zhuoshiji

ARP欺骗木马的中毒现象表现为：使用校园网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。
如果校园网是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp -d后，又可恢复上网。

ARP木马破坏性分析
ARP欺骗木马十分猖狂，危害也特别大，各大学校园网、小区网、公司网和网吧等局域网都出现了不同程度的灾情，带来了网络大面积瘫痪的严重后果。
ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。
该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。目前，已经发现一些用户密码被窃取的情况。
这次大面积的木马病毒不仅会影响用户自己的上网和网络安全，还会波及整个单位，对学校、公司的网络运行和安全构成了严重的威胁。

欺骗成因和攻击方式
该病毒主要通过ARP（Address Resolution Protocol，地址解析协议）欺骗实施攻击和破坏行为。
它通过交换机的MAC地址学习机制，伪造网关。其原理是建立假的网关，让被它欺骗的计算机向假网关发送数据，而不是通过正常的路由器或交换机途径寻找网关，造成同一网关内的所有计算机无法访问网络。
以校园网为例，ARP欺骗问题一般是由传奇外挂携带的ARP木马攻击引起的。当有同学在校园网内使用上述传奇外挂时，外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上，向局域网内大量发送ARP数据包，从而致使同一网段地址内的其他机器误将其作为网关。这就是为什么掉线时内网是互通的，计算机却不能上网的原因。
还有的ARP欺骗是有一定时间限制的，这也是网络时断时续的原因。

检测进程
方法一：
同时按住键盘上的“Ctrl+Alt+Del”键，选择“任务管理器”，选中“进程”标签，察看其中是否有一个名为“MIR0.dat”进程。如果有，则说明已经中毒。
右键点击此进程后,选择“结束进程”。
方法二：
如果用户突然发现无法上网，可以通过如下方法验证是否中此木马病毒：
（1）点“开始→运行”，输入cmd，再输入arp －d，回车。
（2）重新尝试上网，若能短暂正常访问，则说明此次断网是受木马病毒影响。
该病毒发作后，在系统进程列表中会有“MIR0.dat”这个进程存在，可通过上述方法一来查看。

定位ARP欺骗
方法一：
对于利用三层交换机设备接入校园网的单位，可以检查其三层交换机设备上的ARP表。如果发现有多个IP地址对应同一MAC地址，则说明此MAC地址对应的计算机很可能中了此木马病毒。
然后可通过下连的二层交换机的转发表查到此MAC对应的交换机端口，从而定位出有问题的计算机，关闭此端口，通知用户查杀病毒结束后再开放端口。
方法二：
在局域网内通过交换机端口镜像进行抓包，凡大量发送ARP请求的均可能是本木马感染者。立即关闭端口，通过交换端口确定上网用户，通知用户查杀病毒后再开放端口。
方法三：
扫描本子网内的全部IP地址，然后再查ARP表。如果有一个IP地址对应的MAC与网关的MAC地址相同，那么这个IP地址和MAC地址就是中毒计算机的IP地址和MAC地址。
方法四：
检查网内感染“ARP欺骗”木马染毒的计算机。在“开始→程序→附件”菜单下调出“命令提示符”，输入并执行ipconfig命令。
记录网关IP地址，即“Default Gateway”对应的值，例如“192.168.1.1”。再输入并执行arp －a命令，在“Internet Address”下找到上步记录的网关IP地址，记录其对应的物理地址，即“Physical Address”值，例如“00-01-02-03-04-05”。
在网络正常时，这就是网关的正确物理地址。在网络受“ARP欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。

处理方案
1.静态ARP绑定网关
步骤一：
在能正常上网时，进入MS-DOS窗口，输入命令：arp －a，查看网关的IP对应的正确MAC地址， 并将其记录下来。
注意：如果已经不能上网，则先运行一次命令arp －d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话）。一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp －a。

步骤二：
如果计算机已经有网关的正确MAC地址，在不能上网只需手工将网关IP和正确的MAC地址绑定，即可确保计算机不再被欺骗攻击。
要想手工绑定，可在MS-DOS窗口下运行以下命令：
arp －s 网关IP 网关MAC
例如：假设计算机所处网段的网关为192.168.1.1，本机地址为192.168.1.5，在计算机上运行arp －a后输出如下：
Cocuments and Settings>arp -a
Interface:192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 dynamic
其中，00-01-02-03-04-05就是网关192.168.1.1对应的MAC地址，类型是动态（dynamic）的，因此是可被改变的。
被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC。如果希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找该攻击的机器做准备。
手工绑定的命令为：
arp －s 192.168.1.1 00-01-02-03-04-05
绑定完，可再用arp －a查看arp缓存：
Cocuments and Settings>arp -a
Interface: 192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 static
这时，类型变为静态（static），就不会再受攻击影响了。
但是，需要说明的是，手工绑定在计算机关机重启后就会失效，需要再次重新绑定。所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，把病毒杀掉，才算是真正解决问题。
2．制作批处理文件
在客户端做对网关的arp绑定，具体操作步骤如下：
步骤一：
查找本网段的网关地址，比如192．168．1．1，以下以此网关为例。在正常上网时，“开始→运行→cmd→确定”，输入：arp －a，点回车，查看网关对应的Physical Address。
比如：网关192.168.1.1 对应00－01－02－03－04－05。
步骤二：
编写一个批处理文件rarp.bat，内容如下：
@echo off
arp －d
arp -s 192.168.1.1 00－01－02－03－04－05
保存为：rarp.bat。
步骤三：
运行批处理文件 将这个批处理文件拖到“Windows→开始→程序→启动”中，如果需要立即生效，请运行此文件。

注意：以上配置需要在网络正常时进行

3．利用安全工具软件
及时下载Anti ARP Sniffer软件保护本地计算机正常运行。具体使用方法可以在网上搜索。
如果已有病毒计算机的MAC地址，可使用NBTSCAN等软件找出网段内与该MAC地址对应的IP，即感染病毒的计算机的IP地址，然后报告单位的网络中心对其进行查封。
或者利用单位提供的集中网络防病毒系统来统一查杀木马。另外还可以利用木马杀客等安全工具进行查杀。
４.应急方案
网络管理管理人员利用上面介绍的ARP木马检测方法在局域网的交换机上查出受感染该病毒的端口后，立即关闭中病毒的端口，通过端口查出相应的用户并通知其彻底查杀病毒。而后，做好单机防范，在其彻底查杀病毒后再开放相应的交换机端口，重新开通上网。

预防和注意事项
预防ARP欺骗木马病毒的最根本的措施其实还是老生常谈的那几项：定期更新操作系统，下载和安装最新的系统补丁；安装杀毒软件，并及时升级病毒库；提高上网用户的网络安全防范意识和能力。
笔者在这里要特别强调一下，一定要努力提高上网用户的网络安全防范意识和水平。
要知道，网络安全问题不是网络中心一个部门就能解决的，需要所有上网用户的配合和支持。因为蠕虫、病毒和木马等在网络中的传播速度越来越快，任何一个用户受到病毒感染，都可能给整个网络带来致命的影响。应该通过培训和讲座提高用户的网络安全防范意识和能力，提高整体的防毒意识。
只有@@大家共同努力，才可能营造一个稳定、安全、畅通的网络环境。