域名城
标题:
ARP病毒导致网络障碍一例
[打印本页]
作者:
5189
时间:
2006-8-6 21:12
标题:
ARP病毒导致网络障碍一例
今天下午公司的局域网内部分机器网络中断了:
路由器内网IP地址为:192.168.0.1/24,其它机器为:192.168.0.2-254/24
现象为:内网中的部分机器可以PING通路由器,部分不可以。
随进行检查:
第一步:从192.168.0.7机器PING路由器,不通
第二步:从192.168.0.7机器PING其它机器,有些通,有些不通
第三步:从其它机器PING路由器,有些通,有些不通,无规律
至此,可以断定非交换机故障,初步怀疑ARP病毒,接着:
第四步:在192.168.0.7机器上检查ARP缓存:
C:\>arp -a
Interface: 192.168.0.7 --- 0x2
Internet Address Physical Address Type
192.168.0.1 00-07-0e-9e-94-81 dynamic
192.168.0.18 00-0a-eb-28-85-0d dynamic
其中192.168.0.1是路由器,该00-07-0e-9e-94-81地址确实为路由器以太口MAC地址,正确
但是该机到路由器不通,遂怀疑路由器被ARP病毒欺骗,ICMP包发往路由器之后无法返回该机
为了验证这个猜测,接着:
第五步:登录到路由器,检查ARP缓存:
NONAME>show arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 192.168.0.1 - 0007.0e9e.9481 ARPA Ethernet0/1
Internet 192.168.0.7 5
000a.eb28.850d
ARPA Ethernet0/1
Internet 192.168.0.18 4
000a.eb28.850d
ARPA Ethernet0/1
Internet 192.168.0.200 0 00e0.fc24.9f96 ARPA Ethernet0/1
Internet 192.168.0.165 5
000a.eb28.850d
ARPA Ethernet0/1
Internet 192.168.0.180 2 0013.d43e.2656 ARPA Ethernet0/1
果然不错,路由器的ARP缓存中将三台机器的MAC地址都记录为000a.eb28.850d,接着:
第六步:经过检查,MAC地址为000a.eb28.850d的机器是192.168.0.18
第七步:在192.168.0.18机器上进行清理可疑软件,如果有必要可以重新安装系统
机器症状:
1.进程中多一个vktserv.exe的进程,可能也有winsmd.exe。
2.C:\WINDOWS\system32下有winsmd.exe,vktserv.exe
3.msconfig查看启动项中有winsmd.exe
4.系统服务中多了个vktserv(冒充Microsoft服务)
建议解决办法:
1.结束winsmd.exe,删除C:\WINDOWS\system32下winsmd.exe
2.结束vktserv.exe,删除C:\WINDOWS\system32下vktserv.exe
3.去掉启动项的勾
4.停止vktserv服务。
第八步:等待路由器和其它被虚假ARP信息欺骗的机器缓存过期后,或者重起后恢复正常
后续说明:
一、如何检查本机网卡MAC地址?
Windows 2000/XP/2003:在命令行执行:ipconfig /all,可以看到
Windows 98 及以前的版本:运行 winipcfg 命令
二、如何更好地防范ARP病毒/攻击?
1、安装软件、上网,需要提高安全意识,尽可能避免安装不知名的软件
2、可以在路由器、交换机(可管理)以及您的机器上绑定MAC地址
方法:在您的机器上可以使用 arp -s 命令,路由器和交换机根据不同品牌的命令有区别,具体请参考相关资料
[
本帖最后由 5189 于 2006-8-6 22:29 编辑
]
欢迎光临 域名城 (https://club.domain.cn/)
Powered by Discuz! X3.2