关于ARP病毒的本机检测方法和检测工具

来源：作者：出处：巧巧读书 2007-11-08 进入讨论组

谢谢收藏 http://www.qqread.com/net-saft/d380494.html
　　病毒发作症状：计算机网络连接正常，能PING通楼内机器却无法PING通网关、无法打开网页；或由于ARP欺骗的木马程序（病毒）发作时发出大量的数据包，导致网络运行不稳定，频繁断网、 IE 浏览器频繁出错以及一些常用软件出现故障等问题。

　　网络中断原因：当局域网内某台主机感染了ARP病毒时，会向本局域网内（指某一网段，比如：172.16.24.0这一段）所有主机发送ARP欺骗攻击，让原本流向网络中心的流量改道流向病毒主机，并通过病毒主机代理上网。因客户端具有防代理功能，造成受害者无法通过病毒主机上网。

　　由于病毒发作时发出大量数据包会将网络拥塞，大家会感觉上网速度越来越慢。中毒者同样如此，受其自身处理能力的限制，感觉运行速度很慢时，可能会采取重新启动或其他措施。此时病毒短时间停止工作，大家会感到网络恢复正常。如此反复，就造成网络时断时续。

　　故障诊断办法：如果用户发现以上疑似情况，可以通过如下操作进行诊断：点击"开始"按钮->选择"运行"->输入"arp -d"->点击"确定"按钮，然后重新尝试上网，如果能恢复正常则说明此次掉线可能是受ARP欺骗所致。（"arp -d"命令用于清除并重建本机arp表并不能抵御ARP欺骗，执行后仍有可能再次遭受ARP攻击。）

　　本网检测工具：下载并运行AntiArp程序。输入本网段的网关ip地址后，点击"获取网关MAC地址"，检查网关IP地址和MAC地址无误后，点击"自动保护"。若不知道网关IP地址，可通过以下操作获取：点击"开始"按钮->选择"运行"->输入"cmd"点击"确定"->输入"ipconfig"按回车，"Default Gateway"后的IP地址就是网关地址。AntiArp软件会在提示框内出现病毒主机的MAC地址。

　　本机查杀工具：下载并运行TSC.EXE程序。运行过程中不要关让它一直运行到自动关闭，最后查看report文档便知是否中毒。若中毒则建议重新安装操作系统。