2007年10月31日 星期三

161816 ARP病毒解決(之二)

解決這種 ARP 病毒的方法,我們分成兩種方式來說明,一為治標,二為治本。

治本的方法當然得找出感染源,然後加以解毒,這個留待後面再說。因為大部分的電腦都是個人使用者,而非網管,所以我先講治標的自保之道。

[[MORE]]

治標(自保之道):

  • 使用 Firefox 搭配 NoScript 擴充套件。
    這個方法可以避免連上有毒網頁後,因執行 javascript 而中毒。總之可疑的網站一律不給執行 javascript。

  • 清除網頁暫存
    從瀏覽器中清空網頁暫存,以免又開啟有毒的 iframe,需與以下其他步驟配合。

  • 使用 static 的 ARP 綁定
    我們從開始功能表執行 cmd 可進入命令列模式,在命令列中輸入 arp -a 可以看到電腦中的 ARP table。類似這樣:「 172.16.0.254 00-30-80-04-3e-01 dynamic」,其中 172.16.0.254 是我的 gateway IP,而 00-30-80-04-3e-01 是我的 gateway MAC address,但若被中毒電腦干擾,這個 MAC address 會變成中毒電腦的網卡。
    接下來我們可以下指令 arp -d,就會刪除掉 ARP table 中的內容。
    再下指令 arp -s 172.16.0.254 00-30-80-04-3e-01
    就可以將 gateway 的 IP 與 MAC 進行 static 綁定。
    您也可以將上述 arp -d 與 -s 的過程寫成批次檔,並放到開始功能表「啟動」之中,以便每次開機時自動執行。

  • 使用 ARP firewall
    網路上找到的資料都是請大家用 ARP 防火牆。(這名詞我倒是第一次聽到。)但所謂的 ARP firewall 不過就是自動進行 arp -d 與 arp -s 的重設動作。所以各位如果手動進行了上一個步驟,就不需要這個東西了。



接下來談一下網管要處理的治本方式:

  • 用防火牆封鎖 161816 的整個網域
    我把 60.190.*.* 都封鎖起來,避免校內電腦無意中連上該網站。請參考這個網站下方所列的網址,可一併進行封鎖。(該網頁提到 ARPVirus_Clear.exe 我覺得來路不明的東西要執行之前請先三思,各位用 antivir 也是一樣。)

  • 找出中毒電腦的 MAC address 及 IP
    利用 arp -a 找出中毒電腦的 MAC address,再反推出該電腦的真實 IP,並找到本尊進行斷線或掃毒。如果一時沒辦法找到該電腦,可先用防火牆規則阻擋該中毒電腦上網。
    因為中毒電腦把自己當成了 gateway,誘導大家經由它連上網路,一旦切斷它的網路之後,網域中的其他正常電腦由於透過它連線,也會同時被斷線。



我只能說,中了這個病毒的網管,您辛苦了。



參考資料:
新型 ARP 變種病毒 161816 & 112161 清除方法
161816.com 中毒經驗
張貼者:
標籤: ,

13 則留言:

  1. 怪手2007年11月2日 上午9:26

    謝謝你的詳細講解, 不過我比較擔心的是因為中毒電腦把自己變成gateway, 使得其它電腦的封包透過它來轉送, 帳號密碼及個人資料很有可能因此而被盜, 我想這才是最嚴重的事情.

    PS. 現在我的電腦只要一上網就馬上受到arp攻擊, 我用的是seednet ADSL撥接, 而antiarp跟anti-netcut卻都不支援win98.

    回覆刪除
  2. 阿地2007年12月25日 下午2:08

    這是我看過對arp中毒最清楚簡單的說明 心中的懷疑也獲得證實
    感謝你勒

    回覆刪除
  3. 2008年4月21日 下午5:27

    不好意思
    我用了你說的執行那個方式
    不過輸入arp-a後出現
    'arp-a'不是內部或外部命令、可執行的程式或批次檔。

    請問我該怎麼辦

    回覆刪除
  4. 小隆2008年4月22日 清晨6:12

    蔡: "arp" 與 "-a" 之間有空白喔!

    回覆刪除
  5. www.arpun.com2008年9月19日 上午10:09

    写得不错~

    回覆刪除
  6. www.arpun.com2008年9月19日 上午10:09

    ARP联盟: www.arpun.com

    回覆刪除
  7. jeerjay2010年7月16日 凌晨4:11

    您好
    請教一下
    如果PING的到GATEWAY
    但連不上INTERNET的話
    有可能是ARP的問題嗎?
    看ARP -a 似乎沒問題 是GATEWAY的MAC

    因為譬如從原本手動IP 192.168.0.70更換到192.168.0.X之後
    就可以連上INTERNET
    之後再更換回192.168.0.70也沒問題

    每次上網都要一直透過這步驟
    真的被煩死了

    不知版主有何見解

    回覆刪除
  8. 小隆2010年7月29日 凌晨2:33

    JEERJAY:
    請問您的 gateway 是否有頻寬管理或流量管理的功能呢?有沒有可能因為網路負荷太大,而封閉您的 ip 傳送資料呢? 我看您的狀況,不像是 arp 的問題哩~

    回覆刪除
  9. MARCO2011年8月11日 凌晨4:22

    你好!我想請問一下,有什麼ARP防火牆好推薦?
    我好像用XArp找到中毒的電腦了,但是一直毒殺不了..
    我又不希望把電腦重裝..

    回覆刪除
  10. chunk2011年9月21日 凌晨2:38

    我想請問一下打入arp -s會出現項目新增失敗與存取被拒該如何解決

    回覆刪除
  11. chunk2011年9月21日 凌晨2:54

    我在cmd指令中打入arp-s 會出現無法存取被拒

    回覆刪除
  12. 小隆2011年10月19日 上午10:14

    MARCO:中毒最好其實是重灌,因為防毒軟體不一定抓得乾淨。尤其您說「毒一直殺不了」。

    回覆刪除
  13. 小隆2011年10月19日 上午10:45

    chunk: 如果沒有辦法使用命令列,應該是您的權限不足(沒有使用命令列的權限),或者中毒而病毒關閉了您原有的權限。建議用其他管理者帳號,甚至另外一台電腦來尋找問題。

    回覆刪除

訂閱: 張貼留言 (Atom)