问题描述:
最近我装了360ARP防火墙,但是总是弹出我的电脑正在被攻击,于是我将网络断了,可是360ARP防火墙仍然能够继续拦截ARP攻击,有高手知道是怎么回事吗?
我的是学校的局域网上网。
我用了360扫描,诺顿2009查杀,超级兔子恶意软件查杀,金山清理专家查杀,Windows清理助手查杀,全部显示系统正常安全,360防火墙没有显示拦截我电脑上的ARP攻击,只有攻击我的电脑的拦截。
我还用了聚生网管查看局域网的IP,发现攻击地址在宿舍的局域网内,但是我在所有的同学的电脑上用ipconfig/all查找,结果就是我们四人的ip地址没有一个和攻击地址相同,并且我的ip地址是绑定了的,我尝试将所有人的网线拔出,结果仍然提示有ARP攻击,实在是很奇怪,希望各位能够再给更好的答案,谢谢。
问题解答:
局域网ARP攻击,2007ARP引发的威金风暴的解决方案2007年04月14日 星期六 下午 09:55 ARP自从2006年冲击波问题后,曾经一度泛滥,现象表现为:局域网机器不定时掉线,几秒钟后又恢复,然后又掉。他的原理就是一些游戏外挂内含病毒,虚拟一个假的MAC地址来欺骗路由器,造成玩家掉线,再次登陆的时候,信息反馈给病毒主机,密码被截获。关于ARP通信协议的原理,网上太多,这就不多做解释了。
对于这种ARP攻击,原因我分析有以下几点:
1,有人安装了P2P监控软件,如P2P终结者,网络执法官,聚生网管,QQ第六感等,恶意监控其他机器,限制流量,或者进行内网DDOS攻击。
2,传奇/跑跑卡丁车/劲舞团等游戏外挂,如:及时雨PK版,跑跑牛车,劲舞小生等,他内含一些木马程序,也会引起ARP欺骗。
3,一些免费电影,音乐网站挂马,还有RealPlayer里面自带的浏览器,其目的就不多说。
其实真正有人恶意捣乱的是很少的,人家一次两次捣乱,次数多了自己也就腻了,所以头疼的是2和3。
针对这种现象,绑定网关,清空ARP缓存表就可以了,还是很简单的。
首先,看一下arp创建了哪些文件?
因为ARP会自动传播,所以重新启动机器,打开任务管理器监测,过了几分钟,进程里面又出现了8sy.exe,[down].exe。
打开文件夹选项,显示系统文件,显示所有文件,依次进入c:\,c:\windows,c:\windows\system32,发现新创建的文件有:
QUOTE:
C:\_desktop.ini
c:\windows\mppds.exe
c:\windows\Logo1_.exe
c:\windows\RichDll.dll
c:\windows\winform.exe
c:\windows\msccrt.exe
c:\windows\system32\cmdbcs.dll
c:\windows\system32\mppds.dll
c:\windows\system32\winform.dll
c:\windows\system32\msccrt.dll
下面是我采取的措施:
多重绑定:工作站开机绑定本机MAC,绑定网关MAC,利用ipconfig /all查出所有数据,arp -s IP MAC 绑定,每台机器都要绑。
所有机器全部开启,让路由器读取到所有机器的MAC地址,再一一绑定,这样就能防御大部分ARP。
这种方法对路由有要求,现在大部分的网吧和公司局域网,用的都是tp-link路由器,(我们这里就是,因为便宜)所以性能不是十分出色,大多都不带双绑功能,所以,我们利用第三方软件来辅助
路由不带双绑功能的解决方案:下载ARP守护神2.1,里面有一个禁止运行制定程序的配置文件,把常见的病毒进程全部添加,运行一下arp.exe就实现了开机启动。
开机绑定本机,绑定网关。
电影服务器或收费机安装ARP卫士,虽然未注册用户有数量限制,但是装了一台机器也能很好的防御外部ARP攻击,另外推荐一款软件:Anti ARP Sniffer ,他能检测到局域网内哪台机器正在欺骗,检测以后,立即处理,就能有效的防止病毒主机继续感染其他机器。
QUOTE:
建立虚假病毒文件,给文件加权限
我的批处理内容如下:
md c:\_desktop.ini
md c:\autorun.inf
md c:\command.com
md c:\desktop_.ini
md c:\gamesetup.exe
md c:\pagefile.com
md c:\setup.exe
md c:\0[1].exe
md c:\11Sy.exe
md c:\8Sy.exe
md c:\9Sy.exe
md c:\windows\mppds.exe
md c:\windows\Logo1_.exe
md c:\windows\RichDll.dll
md c:\windows\winform.exe
md c:\windows\msccrt.exe
md c:\windows\0[1].exe
md c:\windows\11Sy.exe
md c:\windows\8Sy.exe
md c:\windows\9Sy.exe
md c:\windows\system32\cmdbcs.dll
md c:\windows\system32\mppds.dll
md c:\windows\system32\winform.dll
md c:\windows\system32\msccrt.dll
md c:\windows\system32\0[1].exe
md c:\windows\system32\11Sy.exe
md c:\windows\system32\8Sy.exe
md c:\windows\system32\9Sy.exe
attrib +s +r +h +a c:\_desktop.ini
attrib +s +r +h +a c:\autorun.inf
attrib +s +r +h +a c:\command.com
attrib +s +r +h +a c:\desktop_.ini
attrib +s +r +h +a c:\gamesetup.exe
attrib +s +r +h +a c:\pagefile.com
attrib +s +r +h +a c:\setup.exe
attrib +s +r +h +a c:\0[1].exe
attrib +s +r +h +a c:\11Sy.exe
attrib +s +r +h +a c:\8Sy.exe
attrib +s +r +h +a c:\9Sy.exe
attrib +s +r +h +a c:\windows\mppds.exe
attrib +s +r +h +a c:\windows\Logo1_.exe
attrib +s +r +h +a c:\windows\RichDll.dll
attrib +s +r +h +a c:\windows\winform.exe
attrib +s +r +h +a c:\windows\msccrt.exe
attrib +s +r +h +a c:\windows\0[1].exe
attrib +s +r +h +a c:\windows\11Sy.exe
attrib +s +r +h +a c:\windows\8Sy.exe
attrib +s +r +h +a c:\windows\9Sy.exe
attrib +s +r +h +a c:\windows\system32\cmdbcs.dll
attrib +s +r +h +a c:\windows\system32\mppds.dll
attrib +s +r +h +a c:\windows\system32\winform.dll
attrib +s +r +h +a c:\windows\system32\msccrt.dll
attrib +s +r +h +a c:\windows\system32\0[1].exe
attrib +s +r +h +a c:\windows\system32\11Sy.exe
attrib +s +r +h +a c:\windows\system32\8Sy.exe
attrib +s +r +h +a c:\windows\system32\9Sy.exe
cacls c:\_desktop.ini /e /t /d everyone
cacls c:\autorun.inf /e /t /d everyone
cacls c:\command.com /e /t /d everyone
cacls c:\desktop_.ini /e /t /d everyone
cacls c:\gamesetup.exe /e /t /d everyone
cacls c:\pagefile.com /e /t /d everyone
cacls c:\setup.exe /e /t /d everyone
cacls c:\0[1].exe /e /t /d everyone
cacls c:\11Sy.exe /e /t /d everyone
cacls c:\8Sy.exe /e /t /d everyone
cacls c:\9Sy.exe /e /t /d everyone
cacls c:\windows\mppds.exe /e /t /d everyone
cacls c:\windows\Logo1_.exe /e /t /d everyone
cacls c:\windows\RichDll.dll /e /t /d everyone
cacls c:\windows\winform.exe /e /t /d everyone
cacls c:\windows\msccrt.exe /e /t /d everyone
cacls c:\windows\0[1].exe /e /t /d everyone
cacls c:\windows\11Sy.exe /e /t /d everyone
cacls c:\windows\8Sy.exe /e /t /d everyone
cacls c:\windows\9Sy.exe /e /t /d everyone
cacls c:\windows\system32\cmdbcs.dll /e /t /d everyone
cacls c:\windows\system32\mppds.dll /e /t /d everyone
cacls c:\windows\system32\winform.dll /e /t /d everyone
cacls c:\windows\system32\msccrt.dll /e /t /d everyone
cacls c:\windows\system32\0[1].exe /e /t /d everyone
cacls c:\windows\system32\11Sy.exe /e /t /d everyone
cacls c:\windows\system32\8Sy.exe /e /t /d everyone
cacls c:\windows\system32\9Sy.exe /e /t /d everyone
QUOTE:
在注册表内禁用以下进程:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
"1"="0sy.exe"
"2"="1sy.exe"
"3"="2sy.exe"
"4"="3sy.exe"
"5"="4sy.exe"
"6"="5sy.exe"
"7"="6sy.exe"
"8"="7sy.exe"
"9"="8sy.exe"
"10"="9sy.exe"
"11"="logo_1.exe"
"12"="logo1_.exe"
"13"="conime.exe"
"14"="logo_.exe"
"15"="logo1.exe"
"16"="[down].exe"
"17"="Netrobocop.exe"
"18"="cnnetcut151.exe"
"19"="netcut.exe"
"20"="wnad.exe"
"21"="bind_40235.exe"
"22"="gamesetup.exe"
"23"="FuckJacks.exe"
"24"="spoclsv.exe"
"25"="qq2007.exe"
"26"="intren0t.exe"
"27"="devgt.exe"
"28"="iexpl0re.exe"
"29"="svohost.exe"
"30"="svhost32.exe"
"31"="setup.exe"
"32"="svchqst.exe"
"33"="llssrv.exe"
"32"="qdoxjq.exe"
"33"="iedw.exe"
"34"="res.exe"
"35"="SVCH0ST.exe"
"36"="1.com"
"37"="EXP10RER.com"
"38"="finders.com"
"39"="kill.exe"
"40"="rundl132.exe"
"41"="exerouter.exe"
"42"="ePower.exe"
"43"="nvsc.exe"
"44"="finder.com"
"45"="pagefile.com"
"46"="rose.exe"
"47"="sxs.exe"
"48"="sys1.exe"
"49"="DebugProgramme.exe"
"50"="iexplore.com"
"51"="Exeroud.exe"
"52"="a.exe"
用360扫描一下恶意插件,并利用专杀工具清除恶意插件。
你把网卡断了,还提示? 把网线拔了,还提示吗?
可能你电脑中毒了,360ARP防火墙提示拦截了你电脑发出去的ARP病毒吧。
反正你手动把网关的IP和MAC绑定。应该问题就不大了。
arp攻击不就是局域网那个攻击吗
要看你是怎么断网的。
1.如果仅仅是不拨号(星空 ,锐捷等断开),那么攻击源是你们的学校局域网
中的其它中毒的电脑。
2.如果是将局域网禁用了,或者你将网线拔出了。还受到了攻击,那么,你的电
脑极有可能是中病毒了。
中ARP病毒或者是有人攻击你
应该是ARP病毒
上海旅游网