Arp病毒查杀通用方法

以前写的， 针对最近arp病毒频发，再帖一次



校园网各位用户：
　　近一段时间以来，由于全国大范围ARP木马流行,我校部分网段也受其影响, 病毒发
作时其症状表现为计算机网络连接正常，却无法打开网页；部分用户频繁出现断线、掉
网，或由于ARP欺骗的木马程序（病毒）发作时发出大量的数据包，导致校园网用户上网
不稳定，严重时会造成全网堵塞，用户上网速度极慢，甚至造成网络短时瘫痪，极大地
影响了校园网用户的正常使用，给整个校园网的安全带来严重的隐患。为此，请校园网
用户及时更新病毒库和安装系统补丁，提高防范措施；特提醒校园网用户务必采取以下
措施。

　　一、校园网用户要增强网络安全意识，不要轻易下载、使用盗版和存在安全隐患的
软件；或浏览一些缺乏可信度的网站（网页）；不要随便打开不明来历的电子邮件，尤
其是邮件附件；不要随便共享文件和文件夹，即使要共享，也得设置好权限，一般指定
特定帐号或特定机器才能访问，另外不建议设置可写或可控制，以免个人计算机受到木
马病毒的侵入给校园网的安全带来隐患。

　　二、校园网计算机用户要及时下载和更新操作系统的补丁程序，增强个人计算机防
御计算机病毒的能力。

　　三、用户检查和处理“ ARP 欺骗”木马的方法。

　　在感染 ARP欺骗木马程序（病毒）攻击时，用户可选择下列方法处理。
　　1、安装趋势防病毒软件 (http://antivirus.sjtu.edu.cn/ 进行全盘扫描查杀

    如果发现网络经常中断或网速显著变慢,可以临时使用 antiarp 来检测同网段其他
电脑是否有感染病毒（注意，这个软件不是用来杀arp病毒的）。

　　1、下载Anti ARP Sniffer软件保护本地计算机正常运行（(点击下载AntiArp.exe，
安装配置前，请先查看使用说明）。同时把此软件设为自动启动,步骤:先把Antiarp.exe
生成桌面快捷方式->选"开始"->"程序"->双击"启动"->再把桌面上Antiarp.exe快捷键拷
到"启动"中，以保证下次开机自动运行。
该工具可以检测到本地网络上的ARP欺骗报文并报警，用户可根据该报警向网管报告问题
MAC地址,也可以在线查出感染病毒的到底是哪一间宿舍。
    http://campus.sjtu.edu.cn/bx/mac/    学生宿舍网卡地址所在地查询
　　
        四、若用户未按上述要求采取任何安全措施，导致计算机在校园网上发送大量
的病毒数据包，影响了校园网的安全，网络中心，学生网管部将采取有效措施令其离线
杀毒

防范工具下载：
           
            http://campus.sjtu.edu.cn/arp.rar


ARP病毒是采用2层arp报文,将中毒主机做为一个肉鸡,发送大量arp报文(报文内容为IP地
址为网关地址,MAC为中毒主机MAC）,将同网段内的所有其他主机流量引向自己,从而通过
抓包的方式截取各种密码信息.最早的arp病毒是传奇木马(MIRO.dat)做出来的...

由于ARP病毒基于OSI模型第2层,且协议设计之初没有任何验证功能，所以防范措施比较
被动。大致的防范措施有

1。基于网管 ：
    可以采用vlan隔离的方式，不过部分交换机实现比较困难。。。且不支持super
vlan，或者MLS，转发延迟较高。。。 这种方式用得很少
    另一种方式就是中毒后才用关闭端口的做法
2。对于用户 ：
    可以采用 arp -s 静态绑定网关mac
    或者antiarp软件来绑定网关mac

对于antiarp举报与断网时的处理：

一般windows系统的arp表 hold时间为 5分钟，所以对于win系统而言，将会产生断5分钟
，通5分钟的情况

检测方法为：

Windows 2000/XP/2003系统的用户:
点出 [开始]菜单 - 选[运行] ，输入 "cmd" 并确定调出"命令提示符"窗口

[步骤1]:
输入并以下命令并按回车键：
ipconfig
记录网关 IP 地址，即 "Default Gateway" 对应的值，例如 "202.120.48.126" 。
屏幕输出例子：
其中黄色部分表示用户自己的IP地址

Windows IP Configuration

Ethernet adapter Broadcom:

        Connection-specific DNS Suffix  . :
        IP Address. . . . . . . . . . . . : 202.120.48.33
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : 202.120.48.126

  -------------------------------------
[步骤2]:
再输入以下命令并按回车键：
arp -a  (arp空格 减号a)
在 "Internet Address" 下找到上步记录的网关 IP 地址，
记录其对应的物理地址，即 "Physical Address" 值，例如 "00-e0-fc-7c-9f-03"。
例子:
Interface: 202.120.48.33 --- 0x10003
  Internet Address      Physical Address      Type
  202.120.48.126        00-e0-fc-7c-9f-03     dynamic

在网络正常时这就是网关的正确物理地址，
在网络不稳定时，它有可能是感染病毒计算机的网卡物理地址。

把这个MAC地址记下来报给网络中心或楼内学生网管员，可以尽快找到感染病毒用户。

[注]
1.看到的网关MAC地址如果是
  00-01-30开头 或
  00-04-96开头 或
  00-e0-fc开头
  则一般是正确的。

2.一次测试可能不能抓到现行犯，网络确实时通时断则需要多测几次
3.网络时通时断的原因还可能是用户网线质量不过关 或 用户指定错了IP地址，
  发现故障只在自己房间发生时请向网管联系检查设置是否正确。

4.由于可能有些主机同处于广播域中，arp -a的纪录有可能不完全正确则可以采用这样
一种方式
一个cmd ping 网关 -t ,例如ping 202.120.48.126 -t
另一个cmd arp -d后  arp -a可以看出网关mac是否改变

2。采用antiarp软件， 将攻击纪录发送到bbs
如下图：


3。采用etereal软件，断网期间抓包，会发现许多arp报文




网管员的检测办法：

同网段内， 可以etereal抓包，或者采用antiarp查看

同时可以用campus网管系统查看端口的传送流量，传送流量中 collision帧和广播帧特
别多的时候，
基本怀疑中毒了，如下图

Cisco 1924
    ----------------------- 端口统计
---------------------------------------3
    Receive Statistics                     Transmit Statistics
-------------------------------------  -------------------------------------
Total good frames            10265385  Total frames                 40349959
Total octets               1275693528  Total octets              >1945678615
Broadcast/multicast frames     436620  Broadcast/multicast frames    4576721
Broadcast/multicast octets   29308201  Broadcast/multicast octets 
355536656<
Good frames forwarded        10254659  Deferrals                     
290014<注意这几个值，较正常情况会高10倍以上
Frames filtered                 10726  Single collisions             
170887<
Runt frames                         0  Multiple collisions           
166864<
No buffer discards                  0  Excessive collisions                1
                                       Queue full discards                 0
Errors:                                Errors:
  FCS errors                        0    Late collisions                   0
  Alignment errors                  0    Excessive deferrals               0
  Giant frames                      0    Jabber errors                     0
  Address violations              671    Other transmit errors             0


Cisco 2924：

FastEthernet0/6 is up, line protocol is up
  Hardware is Fast Ethernet, address is 0004.9ab5.dcc6 (bia 0004.9ab5.dcc6)
  MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec,
     reliability 255/255, txload 24/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive not set
  Auto-duplex (Full), Auto Speed (10), 100BaseTX/FX
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input never, output 00:00:01, output hang never
  Last clearing of "show interface" counters never
  Queueing strategy: fifo
  Output queue 0/40, 0 drops; input queue 0/75, 0 drops
  5 minute input rate 14000 bits/sec, 39 packets/sec
  5 minute output rate 955000 bits/sec, 75 packets/sec
     13429671 packets input, 1983487009 bytes
     Received 3419 broadcasts, 0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 watchdog, 3419 multicast
     0 input packets with dribble condition detected
     22931939 packets output, 899264722 bytes, 0 underruns <<广播和collisions
统计
     0 output errors, 0 collisions, 1 interface resets
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier
--More--              0 output buffer failures, 0 output buffers swapped
out


D1区查杀时注意多ip用户，同时大多数使用小路由，症状可能会隔离在寝室内部