ARP病毒导致网络障碍一例

5189

今天下午公司的局域网内部分机器网络中断了：

路由器内网IP地址为：192.168.0.1/24，其它机器为：192.168.0.2-254/24
现象为：内网中的部分机器可以PING通路由器，部分不可以。

随进行检查：

第一步：从192.168.0.7机器PING路由器，不通
第二步：从192.168.0.7机器PING其它机器，有些通，有些不通
第三步：从其它机器PING路由器，有些通，有些不通，无规律

至此，可以断定非交换机故障，初步怀疑ARP病毒，接着：

第四步：在192.168.0.7机器上检查ARP缓存：

C:\>arp -a

Interface: 192.168.0.7 --- 0x2
  Internet Address      Physical Address      Type
  192.168.0.1           00-07-0e-9e-94-81     dynamic
  192.168.0.18          00-0a-eb-28-85-0d     dynamic

其中192.168.0.1是路由器，该00-07-0e-9e-94-81地址确实为路由器以太口MAC地址，正确
但是该机到路由器不通，遂怀疑路由器被ARP病毒欺骗，ICMP包发往路由器之后无法返回该机
为了验证这个猜测，接着：

第五步：登录到路由器，检查ARP缓存：

NONAME>show arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  192.168.0.1             -   0007.0e9e.9481  ARPA   Ethernet0/1
Internet  192.168.0.7             5   000a.eb28.850d  ARPA   Ethernet0/1
Internet  192.168.0.18            4   000a.eb28.850d  ARPA   Ethernet0/1
Internet  192.168.0.200           0   00e0.fc24.9f96  ARPA   Ethernet0/1
Internet  192.168.0.165           5   000a.eb28.850d  ARPA   Ethernet0/1
Internet  192.168.0.180           2   0013.d43e.2656  ARPA   Ethernet0/1

果然不错，路由器的ARP缓存中将三台机器的MAC地址都记录为000a.eb28.850d，接着：

第六步：经过检查，MAC地址为000a.eb28.850d的机器是192.168.0.18
第七步：在192.168.0.18机器上进行清理可疑软件，如果有必要可以重新安装系统

机器症状：
    1.进程中多一个vktserv.exe的进程，可能也有winsmd.exe。
    2.C:\WINDOWS\system32下有winsmd.exe，vktserv.exe
    3.msconfig查看启动项中有winsmd.exe
    4.系统服务中多了个vktserv（冒充Microsoft服务）

建议解决办法：
    1.结束winsmd.exe，删除C:\WINDOWS\system32下winsmd.exe
    2.结束vktserv.exe，删除C:\WINDOWS\system32下vktserv.exe
    3.去掉启动项的勾
    4.停止vktserv服务。

第八步：等待路由器和其它被虚假ARP信息欺骗的机器缓存过期后，或者重起后恢复正常

后续说明：

一、如何检查本机网卡MAC地址？

Windows 2000/XP/2003：在命令行执行：ipconfig /all，可以看到
Windows 98 及以前的版本：运行 winipcfg 命令

二、如何更好地防范ARP病毒/攻击？

1、安装软件、上网，需要提高安全意识，尽可能避免安装不知名的软件
2、可以在路由器、交换机（可管理）以及您的机器上绑定MAC地址

方法：在您的机器上可以使用 arp -s 命令，路由器和交换机根据不同品牌的命令有区别，具体请参考相关资料

[ 本帖最后由 5189 于 2006-8-6 22:29 编辑 ]