近期，一種新型的“ ARP 欺騙”木馬病毒正在校園網(wǎng)中擴散，嚴(yán)重影響了校園網(wǎng)的正常運行。感染此木馬的計算機試圖通過“ ARP 欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計算機的通信信息，并因此造成網(wǎng)內(nèi)其它計算機的通信故障。ARP欺騙木馬的中毒現(xiàn)象表現(xiàn)為：使用校園網(wǎng)時會突然掉線，過一段時間后又會恢復(fù)正常。比如客戶端狀態(tài)頻頻變紅，用戶頻繁斷網(wǎng)，IE瀏覽器頻繁出錯，以及一些常用軟件出現(xiàn)故障等。

　　如果校園網(wǎng)是通過身份認證上網(wǎng)的，會突然出現(xiàn)可認證，但不能上網(wǎng)的現(xiàn)象(無法ping通網(wǎng)關(guān))，重啟機器或在MS-DOS窗口下運行命令arp -d后，又可恢復(fù)上網(wǎng)。ARP欺騙木馬十分猖狂，危害也特別大，各大學(xué)校園網(wǎng)、小區(qū)網(wǎng)、公司網(wǎng)和網(wǎng)吧等局域網(wǎng)都出現(xiàn)了不同程度的災(zāi)情，帶來了網(wǎng)絡(luò)大面積癱瘓的嚴(yán)重后果。ARP欺騙木馬只需成功感染一臺電腦，就可能導(dǎo)致整個局域網(wǎng)都無法上網(wǎng)，嚴(yán)重的甚至可能帶來整個網(wǎng)絡(luò)的癱瘓。

　　該木馬發(fā)作時除了會導(dǎo)致同一局域網(wǎng)內(nèi)的其他用戶上網(wǎng)出現(xiàn)時斷時續(xù)的現(xiàn)象外，還會竊取用戶密碼。如盜取QQ密碼、盜取各種網(wǎng)絡(luò)游戲密碼和賬號去做金錢交易，盜竊網(wǎng)上銀行賬號來做非法交易活動等，這是木馬的慣用伎倆，給用戶造成了很大的不便和巨大的經(jīng)濟損失。大家可能會有疑問什么是ARP欺騙?

　　ARP(Address Resolution Protocol，地址解析協(xié)議)是一個位于TCP/IP協(xié)議棧中的低層協(xié)議，負責(zé)將某個IP地址解析成對應(yīng)的MAC地址。

　　什么是ARP欺騙?

　　ARP(Address Resolution Protocol，地址解析協(xié)議)是一個位于TCP/IP協(xié)議棧中的低層協(xié)議，負責(zé)將某個IP地址解析成對應(yīng)的MAC地址。

　　從影響網(wǎng)絡(luò)連接通暢的方式來看，ARP欺騙分為二種，一種是對路由器ARP表的欺騙;另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。

　　第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在PC看來，就是上不了網(wǎng)了，“網(wǎng)絡(luò)掉線了”。

　　如何檢查和處理“ ARP 欺騙”木馬的方法

　　1 .檢查本機的“ ARP 欺騙”木馬染毒進程

　　同時按住鍵盤上的“ CTRL ”和“ ALT ”鍵再按“ DEL ”鍵，選擇“任務(wù)管理器”，點選“進程”標(biāo)簽。察看其中是否有一個名為“ MIR0.dat ”的進程。如果有，則說明已經(jīng)中毒。右鍵點擊此進程后選擇“結(jié)束進程”。參見右圖。

　　2 .檢查網(wǎng)內(nèi)感染“ ARP 欺騙”木馬染毒的計算機

　　在“開始” - “程序” - “附件”菜單下調(diào)出“命令提示符”。輸入并執(zhí)行以下命令：

　　ipconfig

　　記錄網(wǎng)關(guān) IP 地址，即“ Default Gateway ”對應(yīng)的值，例如“ 59.66.36.1 ”。再輸入并執(zhí)行以下命令：

　　arp –a

　　在“ Internet Address ”下找到上步記錄的網(wǎng)關(guān) IP 地址，記錄其對應(yīng)的物理地址，即“ Physical Address ”值，例如“ 00-01-e8-1f-35-54 ”。在網(wǎng)絡(luò)正常時這就是網(wǎng)關(guān)的正確物理地址，在網(wǎng)絡(luò)受“ ARP 欺騙”木馬影響而不正常時，它就是木馬所在計算機的網(wǎng)卡物理地址。

　　也可以掃描本子網(wǎng)內(nèi)的全部 IP 地址，然后再查 ARP 表。如果有一個 IP 對應(yīng)的物理地址與網(wǎng)關(guān)的相同，那么這個 IP 地址和物理地址就是中毒計算機的 IP 地址和網(wǎng)卡物理地址。