arp監(jiān)測和防御

1、ARP該病毒發(fā)作時候的特征為，中毒的機器會偽造某臺電腦的MAC地址，如該偽造地址為網(wǎng)關(guān)服務器的地址，那么對整個局域網(wǎng)均會造成影響，用戶表現(xiàn)為上網(wǎng)經(jīng)常瞬斷。一、在任意客戶機上進入命令提示符(或MSDOS方式)，用arp–a命令查看：C:WINNTsystem32arpaInterface:192.168.0.193onInterface0x1000003InterAddressPhysicalAddressType192.168.0.10

2、050da8a622cdynamic192.168.0.2300112f43818bdynamic192.168.0.240050da8a622cdynamic192.168.0.2500055dffa887dynamic192.168.0.2000050bafa59fedynamic可以看到有兩個機器的MAC地址相同，那么實際檢查結(jié)果為0050da8a622c為192.168.0.24的MAC地址，192.168.0.1的實際MAC地

3、址為0002ba0b0432，我們可以判定192.168.0.24實際上為有病毒的機器，它偽造了192.168.0.1的MAC地址。二、在192.168.0.24上進入命令提示符(或MSDOS方式)，用arp–a命令查看：C:WINNTsystem32arpaInterface:192.168.0.24onInterface0x1000003InterAddressPhysicalAddressType192.168.0.10002ba

4、0b0432dynamic192.168.0.2300112f43818bdynamic192.168.0.2500055dffa887dynamic192.168.0.19300112fb29d17dynamic192.168.0.2000050bafa59fedynamic可以看到帶病毒的機器上顯示的MAC地址是正確的，而且該機運行速度緩慢，應該為所有流量在二層通過該機進行轉(zhuǎn)發(fā)而導致，該機重啟后網(wǎng)吧內(nèi)所有電腦都不能上網(wǎng)，只有等arp

5、刷新MAC地址后才正常，一般在2、3分鐘左右。三、如果主機可以進入dos窗口，用arp–a命令可以看到類似下面的現(xiàn)象：C:WINNTsystem32arpaInterface:192.168.0.1onInterface0x1000004InterAddressPhysicalAddressType192.168.0.230050da8a622cdynamic192.168.0.240050da8a622cdynamic192.168.

6、0.250050da8a622cdynamic192.168.0.1930050da8a622cdynamic192.168.0.2000050da8a622cdynamic該病毒不發(fā)作的時候，在代理服務器上看到的地址情況如下：C:WINNTsystem32arpaInterface:192.168.0.1onInterface0x1000004InterAddressPhysicalAddressType192.168.0.23001

7、12f43818bdynamic192.168.0.240050da8a622cdynamic192.168.0.2500055dffa887dynamic192.168.0.19300112fb29d17dynamic192.168.0.2000050bafa59fedynamic病毒發(fā)作的時候，可以看到所有的ip地址的mac地址被修改為0050da8a622c，正常的時候可以看到MAC地址均不會相同。解決辦法：1、KAV(卡巴斯基)

8、，可殺除該病毒，病毒命名為：Trojropper.Win32.Juntad.c殺毒信息：07.02.200510:48:00C:DocumentsSettingsAdministratLocalSettingsTemparyInterFilesContent.IE5B005Z0K9Gear_Setup[1].exeinfectedTrojropper.Win32.Juntad.c2、瑞星可殺除該病毒，病毒命名為：Trojropper.W