ARP 病毒清除方法:
【ARP 病毒现象】
当局域网内某台主机运行 ARP 欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让
所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒
主机上网,切换的时候用户会断一次线。
切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断
线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。
由于 ARP 欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身
处理能力的限制,用户会感觉上网速度越来越慢。当 ARP 欺骗的木马程序停止运行时,用
户会恢复从路由器上网,切换过程中用户会再断一次线。
【故障原因】
局域网内有人使用 ARP 欺骗的木马程序(比如:传奇盗号的软件,某些传奇外挂中也被恶
意加载了此程序)。
【故障原理】
要了解故障原理,我们先来了解一下 ARP 协议。
在局域网中,通过 ARP 协议来完成 IP 地址转换为第二层物理地址(即 MAC 地址)的。
ARP 协议对网络安全具有重要的意义。通过伪造 IP 地址和 MAC 地址实现 ARP 欺骗,能够
在网络中产生大量的 ARP 通信量使网络阻塞。
ARP 协议是“AddressResolutionProtocol”(地址解析协议)的缩写。在局域网中,网络中实
际传输的是“帧”,帧里面是有目标主机的 MAC 地址的。在以太网中,一个主机要和另一个
主机进行直接通信,必须要知道目标主机的 MAC 地址。但这个目标 MAC 地址是如何获得
的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标 IP 地
址转换成目标 MAC 地址的过程。ARP 协议的基本功能就是通过目标设备的 IP 地址,查询
目标设备的 MAC 地址,以保证通信的顺利进行。
每台安装有 TCP/IP 协议的电脑里都有一个 ARP 缓存表,表里的 IP 地址与 MAC 地址是一
一对应的,如下表所示。
主机èIP 地址èMAC 地址è
A192.168.1.1aa-aa-aa-aa-aa-00
B192.168.1.2bb-bb-bb-bb-bb-11
C192.168.1.3cc-cc-cc-cc-cc-22
D192.168.1.4dd-dd-dd-dd-dd-33
我们以主机 A(192.168.1.1)向主机 B(192.168.1.2)发送数据为例。当发送数据时,主机
A 会在自己的 ARP 缓存表中寻找是否有目标 IP 地址。如果找到了,也就知道了目标 MAC
资源评论
