此病毒的運作原理
當使用的電腦中毒會發送一個假的 ARP 封包到公司的內部網路上竄改 ARP Cache 使得您要傳送的資料無法正確傳輸到目的地,造成網路無法連結,便稱作 ARP 攻擊。由於一般的 ARP Cache 是根據經過的 ARP 封包不斷的變更本身的 ARP 列表,假設接收到的 ARP 封包所提供的資料是偽造的,就會讓資料無法傳輸到實際的目的地。甚至可能因為資料導向某特定電腦,駭客可利用病毒竊取封包資料或修改封包內容。
假設公司 B 電腦中了 ARP 病毒,它發送一個假的 ARP 封包給 Switch (交換機設備),告訴 Switch 說 192.168.1.1 對應的 Mac 位址是 B 電腦的 Mac Address (網卡位址編號),原本 192.168.1.1 對應的 Mac Address 是 Router (網路路由器設備) 為正確的上網通道,這時候就會被修改成錯誤的 Mac Address。
當公司 A 電腦要發送上網的需求資訊到 192.168.1.1 時,經過 Switch 的時候查看 ARP Cache 發現結果 192.168.1.1 對應到的是 B 電腦的 Mac Address,此時資料就會傳送給 B 電腦,而不是傳送到 Router,所以 A 電腦就可能無法連上網路。
ARP 病毒的特徵
打開網頁時首頁自動連接到一些奇怪的網站,然後IE就像死當了一樣,而且一會兒就彈出「虛擬記憶體太低」的訊息,導致系統過慢最後當機。
如何檢測找出感染 ARP 病毒的電腦
於 DOS 下使用 arp -a 的指令,中毒的話如下圖的 ARP Cache 有三個 IP 均指向同一個 Mac Address,表示這個 Mac Address 實際對應的電腦即可能感染了 ARP 病毒。
防禦方法
A. 使用可防禦 ARP 攻擊的三層交換機,綁定連接埠 -MAC-IP,限制 ARP 流量,及時發現並自動阻斷 ARP 攻擊連接埠,合理劃分 VLAN,徹底阻止盜用 IP、MAC 地址,杜絕 ARP 的攻擊。此方法是最容易建置且也是很有效的方法。
B. 對於經常爆發病毒的網路,進行 Internet 訪問控制,限制用戶對網路的訪問。此類 ARP 攻擊程序一般都是從 Internet 下載到用戶終端,如果能夠加強用戶上網的訪問控制,就能極大的減少該問題的發生。此方法需要專業人員校調網路。
C. 使用專門的防毒軟體。或搜尋一下網友提供的一些命令語法。
手動排除的方法 (手動修改 ARP Cache)
方法一、
先登入 ROUTER (IP 分享器) 查詢 LAN 端網卡的 Mac Address (Router MAC address) 及起始 IP 位址 (gate way ip),再依下圖之方法一以記事本輸入相關資訊將檔案副檔名存為 .bat 檔,存檔後執行該檔即可立即應暫時排除狀況。
方法二、
依照範例內容以記事本輸入一樣的內容即可,儲存檔案副檔名一樣為 .bat 檔,存檔後執行該檔即可立即應暫時排除狀況。
備註:本網頁之相關附件為方法二的檔案
