ARP 木马病毒

呵.
arp木马病毒怎么样

[ Last edited by princeton on 2007-4-14 at 18:49 ]

该病毒的发作表现为：网络中所有电脑上网均通通断断，断几分钟再通几分钟不等；中毒主机不断向网络中的其他正常电脑广播一种ARP欺骗包，伪造网关，使得其他电脑识别到的网关地址被指向到中毒主机。

比如：
局域网网关IP为：192.168.1.1，网关MAC地址为：AA-BB-CC-DD-00-00；
中该病毒的主机A，IP为：192.168.1.5，主机MAC地址为：AA-BB-CC-DD-11-11；
另有一台局域网络中正常使用的主机B，IP为：192.168.1.9。
则：
当病毒发作时，在主机B即192.168.1.9这台电脑上，运行“CMD”进入命令提示符，再使用“ARP -a”命令，将会看到两条记录：

192.168.1.1 AA-BB-CC-DD-11-11
192.168.1.5 AA-BB-CC-DD-11-11

此时我们看到，局域网的网关IP地址与MAC地址，被病毒主机A发出的欺骗包给篡改了，因为正常情况下我们看到的记录应该是如下一条：

192.168.1.1 AA-BB-CC-DD-00-00

因此，通过此办法，应该能够顺利的找出主机A，并将其从网络上隔离开来，杀毒或重装系统后再接到网络上，可恢复正常。

当然，如果公司里面电脑较多，或早期网络管理方面比较杂乱，不好确定该IP对应哪台主机时，可以从交换机上先拔掉部分电脑的网线，拔掉这些后其他电脑还会中断，那说明拔掉的这些网线对应的电脑应该是没问题的；通过这样分批次的手工排查，直到确定中毒主机为止，也不失为一种办法^_^。

最后，当病毒发作时，“PING”局域网网关是不通的。

楼上强啊，倍明白。

解释得够清楚啊.谢

要中过后才会去了解。没中过才不会去了解呢

xingbo老大这么内行是不是中过ARP病毒啊: