中了ARP木马攻击，该怎么处理？

cdj1973cd

中了ARP木马攻击，该怎么处理？网络时好时坏，用什么软件能杀？

wangjay1980

ARP不是木马

cdj1973cd

该怎么处理呢？不懂。

rcbblgy

局域网最好绑定IP地址.

飘蓝一尘

（转贴）
一、ARP病毒的表现特征
        遭受ARP木马攻击时，病毒会将其所在机器的MAC地址映射到网关的IP地址上，并向局域网内大量发送ARP包，致使同一网段内的其它机器误将病毒感染的计算机作为网关，使数据包无法到达真正的网关，用户计算机与外部网络的通信也就中断了(也就是大家感受到的频繁“掉线”)。当有计算机感染此病毒时，用户会感受到网络速度严重下降。这时候，内网是互通的，但用户计算机却不能上外网。重启机器或在MSDOS窗口下运行命令ARP -d后，又可恢复上网一段时间。
二、临时处理对策
        步骤一  在能上网时，进入MS-DOS窗口，输入命令：arp –a 查看网关IP对应的正确MAC地址，将其记录下来(如果已经不能上网，则先运行一次命令arp –d将arp缓存中的内容删空，计算机可暂时恢复上网。能上网时立即将网络断掉(禁用网卡或拔掉网线)，再运行arp –a)。
        步骤二  如果已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。
        手工绑定需要在MS-DOS窗口下运行命令： arp –s 网关IP 网关MAC
        例如：假设计算机所处网段的网关为218.197.192.254，本机地址为218.197.192.1，在计算机上运行arp –a后输出如下：
        C:\Documents and Settings>arp -a
        Interface: 218.197.192.1 --- 0x2
        Internet Address Physical Address Type
        218.197.192.254 00-01-02-03-04-05 dynamic
        其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址，类型是动态（dynamic）的，因此是可被改变。
        被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC。
        手工绑定的命令为：
        arp –s 218.197.192.254 00-01-02-03-04-05
        绑定完，可再用arp –a查看arp缓存。
        C:\Documents and Settings>arp -a
        Interface: 218.197.192.1 --- 0x2
        Internet Address Physical Address Type
        218.197.192.254 00-01-02-03-04-05 static
        这时，类型变为静态（static），就不会再受攻击影响了。
        需要说明的是，手工绑定在计算机关机重开机后就会失效，需要再绑定。所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，令其杀毒，方可解决。
三、安装防范ARP病毒软件
        建议大家在自己的计算机中安装防范ARP病毒的专用软件，或者“瑞星”等杀毒软件。
四、提醒校园网用户务必采取以下措施。　
        (1) 增强网络安全意识，不要轻易下载、使用盗版和存在安全隐患的软件；不要浏览一些缺乏可信度的网站(网页)；不要打开不明来历的电子邮件，尤其是邮件附件；不要随便共享文件和文件夹，即使要共享，也得设置好权限，一般指定特定帐号或特定机器才能访问，另外不建议设置可写或可控制，以免个人计算机受到木马病毒的侵入给校园网的安全带来隐患。
        (2) 校园网计算机用户要及时下载和更新操作系统的补丁程序，安装正版的杀毒软件，增强个人计算机防御计算机病毒的能力。
        (3) 用户检查和处理“ARP欺骗”木马的方法：同时按住键盘上的“CTRL”和“ALT”键再按“DEL”键，选择“任务管理器”，点选“进程”标签。察看其中是否有一个名为“MIR0.dat”之类的进程。如果有，则说明已经中毒。右键点击此进程后选择“结束进程”。

一天一天过

看看论坛上介绍的风云防火墙，有这个功能