10

2008-12-12 10:32

近一段时间以来，政务网部分用户受到一种名为"ARP欺骗木马程序（病毒）"的攻击（ARP是"Address Resolution Protocol""地址解析协议"的缩写），极大地影响了政务网用户的正常使用，给整个政务网的安全带来严重的隐患。     一、故障现象     通常上网计算机的网关设为192.168.X.254,这个地址是核心交换机(三层交换机)的IP地址。将网关改为路由器的IP地址192.168.X.253后可正常上网。     病毒发作时其症状表现为计算机网络连接正常，却无法打开网页；或由于ARP欺骗的木马程序（病毒）发作时发出大量的数据包，导致政务网用户上网不稳定，时断时通。     中毒机器在局域网中发送假的APR应答包进行APR欺骗, 造成其他客户机无法获得网关和其他客户机的网卡真实MAC地址,导致无法上网。     计算机重新启动后短时间内可以上网，稍过一会儿就出现只有网络连接，但打不开网页的现象。     二、ARP 欺骗病毒原理分析     在局域网中，一个主机要和另一个主机进行直接通信，除知道目标主机的IP地址外还必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？就是通过地址解析协议获得的。所谓&#