如何檢查和處理“ ARP 欺騙”木馬的方法

1 ．檢查本機的“ ARP 欺騙”木馬染毒進程

     同時按住鍵盤上的“ CTRL ”和“ ALT ”鍵再按“ DEL ”鍵， 選擇“任務管理器”， 點選“進程”標簽。 察看其中是否有一個名為“ MIR0.dat ”的進程。 如果有， 則說明已經中毒。 右鍵點擊此進程后選擇“結束進程”。 參見右圖。

2 ．檢查網內感染“ ARP 欺騙”木馬染毒的計算機

     在“開始” - “程序” - “附件”菜單下調出“命令提示符”。 輸入并執行以下命令：

ipconfig

      記錄網關 IP 地址， 即“ Default Gateway ”對應的值， 例如“ 59.66.36.1 ”。 再輸入并執行以下命令：

arp –a

      在“ Internet Address ”下找到上步記錄的網關 IP 地址， 記錄其對應的物理地址， 即“ Physical Address ”值， 例如“ 00-01-e8-1f-35-54 ”。 在網絡正常時這就是網關的正確物理地址， 在網絡受“ ARP 欺騙”木馬影響而不正常時， 它就是木馬所在計算機的網卡物理地址。

     也可以掃描本子網內的全部 IP 地址， 然后再查 ARP 表。 如果有一個 IP 對應的物理地址與網關的相同， 那么這個 IP 地址和物理地址就是中毒計算機的 IP 地址和網卡物理地址。

3 ．設置 ARP 表避免“ ARP 欺騙”木馬影響的方法

     本方法可在一定程度上減輕中木馬的其它計算機對本機的影響。 用上邊介紹的方法確定正確的網關 IP 地址和網關物理地址， 然后在 “命令提示符”窗口中輸入并執行以下命令：

arp –s 網關 IP 網關物理地址

4.動態ARP綁定網關

步驟一：

      在能正常上網時， 進入MS-DOS窗口， 輸入命令：arp －a， 查看網關的IP對應的正確MAC地址， 并將其記錄下來。

      注意：如果已經不能上網， 則先運行一次命令arp －d將arp緩存中的內容刪空， 計算機可暫時恢復上網（攻擊如果不停止的話）。 一旦能上網就立即將網絡斷掉（禁用網卡或拔掉網線）， 再運行arp －a。

步驟二：

     如果計算機已經有網關的正確MAC地址， 在不能上網只需手工將網關IP和正確的MAC地址綁定， 即可確保計算機不再被欺騙攻擊。

要想手工綁定， 可在MS-DOS窗口下運行以下命令：

arp －s 網關IP 網關MAC

     例如：假設計算機所處網段的網關為192.168.1.1， 本機地址為192.168.1.5， 在計算機上運行arp －a后輸出如下：

Cocuments and Settings>arp -a

Interface:192.168.1.5 --- 0x2

Internet Address Physical Address Type

192.168.1.1 00-01-02-03-04-05 dynamic

    其中， 00-01-02-03-04-05就是網關192.168.1.1對應的MAC地址， 類型是動態（dynamic）的， 因此是可被改變的。

     被攻擊后， 再用該命令查看， 就會發現該MAC已經被替換成攻擊機器的MAC。 如果希望能找出攻擊機器， 徹底根除攻擊， 可以在此時將該MAC記錄下來， 為以后查找該攻擊的機器做準備。

手工綁定的命令為：

arp －s 192.168.1.1 00-01-02-03-04-05

綁定完， 可再用arp －a查看arp緩存：

Cocuments and Settings>arp -a

Interface: 192.168.1.5 --- 0x2

Internet Address Physical Address Type

192.168.1.1 00-01-02-03-04-05 static

這時， 類型變為靜態（static）， 就不會再受攻擊影響了。

但是， 需要說明的是， 手工綁定在計算機關機重啟后就會失效， 需要再次重新綁定。 所以， 要徹底根除攻擊， 只有找出網段內被病毒感染的計算機， 把病毒殺掉， 才算是真正解決問題。

5 .作批處理文件

     在客戶端做對網關的arp綁定， 具體操作步驟如下：

步驟一：

     查找本網段的網關地址， 比如192．168．1．1， 以下以此網關為例。 在正常上網時， “開始→運行→cmd→確定”， 輸入：arp －a， 點回車， 查看網關對應的Physical Address。

比如：網關192.168.1.1 對應00－01－02－03－04－05。

步驟二：

編寫一個批處理文件rarp.bat， 內容如下：

@echo off

arp －darp -s 192.168.1.1 00－01－02－03－04－05

保存為：rarp.bat。

步驟三：

    運行批處理文件將這個批處理文件拖到“Windows→開始→程序→啟動”中， 如果需要立即生效， 請運行此文件。

注意：以上配置需要在網絡正常時進行

ARP聯盟

6.使用安全工具軟件

     及時下載Anti ARP Sniffer軟件保護本地計算機正常運行。 具體使用方法可以在網上搜索。

如果已有病毒計算機的MAC地址， 可使用NBTSCAN等軟件找出網段內與該MAC地址對應的IP， 即感染病毒的計算機的IP地址， 然后報告單位的網絡中心對其進行查封。

或者利用單位提供的集中網絡防病毒系統來統一查殺木馬。 另外還可以利用木馬殺客等安全工具進行查殺。

7.應急方案

     網絡管理管理人員利用上面介紹的ARP木馬檢測方法在局域網的交換機上查出受感染該病毒的端口后， 立即關閉中病毒的端口， 通過端口查出相應的用戶并通知其徹底查殺病毒。 而后， 做好單機防范， 在其徹底查殺病毒后再開放相應的交換機端口， 重新開通上網。

附錄一

清華大學校園網絡安全響應小組編的一個小程序

下載地址： ftp://166.111.8.243/tools/ArpFix.rar