近期，一種新型的“ ARP 欺騙”木馬病毒正在校園網(wǎng)中擴(kuò)散，嚴(yán)重影響了校園網(wǎng)的正常運(yùn)行。感染此木馬的計(jì)算機(jī)試圖通過(guò)“ ARP 欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。ARP欺騙木馬的中毒現(xiàn)象表現(xiàn)為：使用校園網(wǎng)時(shí)會(huì)突然掉線(xiàn)，過(guò)一段時(shí)間后又會(huì)恢復(fù)正常。比如客戶(hù)端狀態(tài)頻頻變紅，用戶(hù)頻繁斷網(wǎng)，IE瀏覽器頻繁出錯(cuò)，以及一些常用軟件出現(xiàn)故障等。

　　如果校園網(wǎng)是通過(guò)身份認(rèn)證上網(wǎng)的，會(huì)突然出現(xiàn)可認(rèn)證，但不能上網(wǎng)的現(xiàn)象(無(wú)法ping通網(wǎng)關(guān))，重啟機(jī)器或在MS-DOS窗口下運(yùn)行命令arp -d后，又可恢復(fù)上網(wǎng)。ARP欺騙木馬十分猖狂，危害也特別大，各大學(xué)校園網(wǎng)、小區(qū)網(wǎng)、公司網(wǎng)和網(wǎng)吧等局域網(wǎng)都出現(xiàn)了不同程度的災(zāi)情，帶來(lái)了網(wǎng)絡(luò)大面積癱瘓的嚴(yán)重后果。ARP欺騙木馬只需成功感染一臺(tái)電腦，就可能導(dǎo)致整個(gè)局域網(wǎng)都無(wú)法上網(wǎng)，嚴(yán)重的甚至可能帶來(lái)整個(gè)網(wǎng)絡(luò)的癱瘓。

　　該木馬發(fā)作時(shí)除了會(huì)導(dǎo)致同一局域網(wǎng)內(nèi)的其他用戶(hù)上網(wǎng)出現(xiàn)時(shí)斷時(shí)續(xù)的現(xiàn)象外，還會(huì)竊取用戶(hù)密碼。如盜取QQ密碼、盜取各種網(wǎng)絡(luò)游戲密碼和賬號(hào)去做金錢(qián)交易，盜竊網(wǎng)上銀行賬號(hào)來(lái)做非法交易活動(dòng)等，這是木馬的慣用伎倆，給用戶(hù)造成了很大的不便和巨大的經(jīng)濟(jì)損失。大家可能會(huì)有疑問(wèn)什么是ARP欺騙?

　　ARP(Address Resolution Protocol，地址解析協(xié)議)是一個(gè)位于TCP/IP協(xié)議棧中的低層協(xié)議，負(fù)責(zé)將某個(gè)IP地址解析成對(duì)應(yīng)的MAC地址。

　　什么是ARP欺騙?

　　ARP(Address Resolution Protocol，地址解析協(xié)議)是一個(gè)位于TCP/IP協(xié)議棧中的低層協(xié)議，負(fù)責(zé)將某個(gè)IP地址解析成對(duì)應(yīng)的MAC地址。

　　從影響網(wǎng)絡(luò)連接通暢的方式來(lái)看，ARP欺騙分為二種，一種是對(duì)路由器ARP表的欺騙;另一種是對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。

　　第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進(jìn)行，使真實(shí)的地址信息無(wú)法通過(guò)更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址，造成正常PC無(wú)法收到信息。第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過(guò)正常的路由器途徑上網(wǎng)。在PC看來(lái)，就是上不了網(wǎng)了，“網(wǎng)絡(luò)掉線(xiàn)了”。

　　如何檢查和處理“ ARP 欺騙”木馬的方法

　　1 .檢查本機(jī)的“ ARP 欺騙”木馬染毒進(jìn)程

　　同時(shí)按住鍵盤(pán)上的“ CTRL ”和“ ALT ”鍵再按“ DEL ”鍵，選擇“任務(wù)管理器”，點(diǎn)選“進(jìn)程”標(biāo)簽。察看其中是否有一個(gè)名為“ MIR0.dat ”的進(jìn)程。如果有，則說(shuō)明已經(jīng)中毒。右鍵點(diǎn)擊此進(jìn)程后選擇“結(jié)束進(jìn)程”。參見(jiàn)右圖。

　　2 .檢查網(wǎng)內(nèi)感染“ ARP 欺騙”木馬染毒的計(jì)算機(jī)

　　在“開(kāi)始” - “程序” - “附件”菜單下調(diào)出“命令提示符”。輸入并執(zhí)行以下命令：

　　ipconfig

　　記錄網(wǎng)關(guān) IP 地址，即“ Default Gateway ”對(duì)應(yīng)的值，例如“ 59.66.36.1 ”。再輸入并執(zhí)行以下命令：

　　arp –a

　　在“ Internet Address ”下找到上步記錄的網(wǎng)關(guān) IP 地址，記錄其對(duì)應(yīng)的物理地址，即“ Physical Address ”值，例如“ 00-01-e8-1f-35-54 ”。在網(wǎng)絡(luò)正常時(shí)這就是網(wǎng)關(guān)的正確物理地址，在網(wǎng)絡(luò)受“ ARP 欺騙”木馬影響而不正常時(shí)，它就是木馬所在計(jì)算機(jī)的網(wǎng)卡物理地址。

　　也可以?huà)呙璞咀泳W(wǎng)內(nèi)的全部 IP 地址，然后再查 ARP 表。如果有一個(gè) IP 對(duì)應(yīng)的物理地址與網(wǎng)關(guān)的相同，那么這個(gè) IP 地址和物理地址就是中毒計(jì)算機(jī)的 IP 地址和網(wǎng)卡物理地址。