本文目录一览:
- 1、熊猫烧香有什么危害?
- 2、ARP风暴!
- 3、危害性最大的10大电脑病毒是什么?
- 4、我家下载了风暴战区,但是启动不了,会显示出应用程序错误,怎么修复???
- 5、局域网内的一台计算机通过伪装成别的电脑发起arp风暴
- 6、电脑中游戏病毒该怎么办
熊猫烧香有什么危害?
问题一:熊猫烧香病毒造成多大的危害 武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,(.gho为GHOST的备份文件),使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。病毒描述:含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该盘时激活病毒体。
问题二:熊猫烧香究竟有多厉害? 继CIH之后危害中国最严重病毒之一熊猫烧香 《3C周刊》上期出版了在台湾地震后,微软Windows系统安全补丁更新缓慢,导致“熊猫烧香”病毒泛滥的报道之后,许多读者纷纷向记者反映,其实“熊猫烧香”病毒的危害远不止于此。本期我们接下来再详细探究“熊猫烧香”病毒的来龙去脉和背后的不解之谜。 作者究竟是不是“武汉男孩”? 在“熊猫烧香”病毒流行之初,某防毒软件厂商就在病毒代码内找到一个与功能无关的词语:“wh鄄boy”。这是作者的签名,是“武汉男孩”的中英文混合缩写。whboy曾经是病毒界一个响当当的人物,早在2004年就创造了一种通过QQ传播的盗号木马病毒,因为该病毒变种的疯狂和传播的广泛,一年后,被防毒软件厂商列入2005年十大病毒之一。 此后,whboy还在一些地下的病毒论坛和黑客论坛发帖,表示可以提供盗取QQ号服务,但不久后便销声匿迹,直至“熊猫烧香”病毒的出现才重现江湖。 到了2006年12月初,“熊猫烧香”病毒的变种开始增多,代码中除了“whboy”字样外,又多了一行汉字:“武汉男孩感染下载者”。随着变种的增多,代码内附带的信息也越来越多。1月15日,whboy还在网上留言调戏受害者:“我制作的病毒已经‘满城尽烧国宝香’。”因此,人们不仅断定“熊猫烧香”病毒就是武汉男孩所为,并且有防毒软件厂商声称该作者利用病毒“年收入可赚一座别墅”。 在深入分析了“熊猫烧香”病毒代码后,反病毒专家发现病毒会感染网页文件,会在网页中加入一段代码,把网页转向这个网址(****/worm)。经记者追踪,该网站注册信息显示注册人来自武汉,这更让人相信熊猫烧香”病毒始作俑者就是“武汉男孩”的说法。 “熊猫烧香”病毒究竟想干什么? 在12月至1月19日的一个月时间里,“熊猫烧香”作者多次发布更新版的变种病毒,每一次都针对以前设计的不完善进行修改,最后一个版本可以说是把能想到的感染破坏手段都应用上了。他为什么要如此辛劳地研制病毒程序呢?防毒软件专家经过分析认为,“熊猫烧香”带有强烈的商业目的,“用户感染病毒后,会从后台点击国外的网站,部分变种中含有盗号木马,病毒作者可借此牟利”。 日前,有关方面已将病毒作者的相关证据和病毒特性提交给国家计算机病毒应急处理中心。国家计算机病毒应急处理中心工作人员称,关于这场“熊猫烧香”病毒风暴,受波及的电脑数量以及造成的经济损失等相关数据目前正在统计中,将于近日公布。据业内人士估计,这可能是继CIH之后,对中国电脑用户影响最严重的病毒,而且传播手段之狠,破坏之严重是大家始料不及的。 另有一些业内人士认为,“熊猫烧香”病毒最初的设计目的主要是针对日文操作系统进行严重破坏,而在其他语言Windows上主要是传染,但由于设计不当导致在中文Windows下也破坏严重。该病毒是由Delphi5语言所编写的,并且一份据称是“熊猫烧香”病毒的源代码正在互联网上散播,任何人只要利用Google或者Baidu等搜索工具都可以轻易获得。这似乎也能解释为什么“熊猫烧香”病毒在最近两周内变种数量激增的原因,因为很多编程爱好者都可以藉此制造出病毒变种。 有防毒软件工程师认为,这份源代码并非最初的“熊猫烧香”病毒源代码,但是对于想制造病毒的人来说,也有相当的技术参考价值。不管怎么说,“熊猫烧香”病毒已经在许多单位的局域网(LAN)中泛滥,而记者粗略调查了一下,电脑用户中招的概率超过20%。而各防毒软件公司,如瑞星、金山等,提供的免费专杀工具解决了大部分人的问题,但仍有相当部分用户最终不得不以重新......
问题三:熊猫烧香影响有多大 熊猫烧香是一种经过多次变种的蠕虫病毒变种,2006定10月16日由25岁的中国湖北武汉新洲区人李俊编写,2007年1月初肆虐网络,它主要透过下载的档案传染。 除了通过网站带毒感染用户之外,此病毒还会在局域网中传播,在极短时间之内就可以感染几千台计算机,严重时可以导致网络瘫痪。中毒电脑上会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
问题四:熊猫烧香从什么时候有的?厉害吗? 制作人已经在监狱服刑
问题五:熊猫烧香对电脑有害么? 当然会有问题,熊猫烧香对于文件的侵染采用的是不可逆的算法,即使杀灭了,文件内容也会丢失
而且采用了IFEO映像劫持技术,对可执行文件的运行也会造成影响
问题六:熊猫烧香事件的严重性 熊猫烧香传播很牛逼,而且感染速度快,让很多企业,个人文件资料丢失,造成经济损失。在那个时候没有几个杀毒软件对付得了。所以危害性很大。你问问以前的人。1/3的人都中过熊猫烧香。他犯了危害网络安全罪。
问题七:熊猫烧香病毒会伤害电脑硬件吗? 不会,只会伤害系统和软件
问题八:李俊的“熊猫烧香”是属于哪类病毒?对电脑有什么危害? 熊猫烧香是一种经过多次变种的蠕虫病毒,病毒变种使用户计算机中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病鸡的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用,它能感染系统中exe,,pif,src,html,asp等文件,它还能终止大量的反病毒软件进程并且删除扩展名为gho的备份文件。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
问题九:熊猫烧香病毒中毒后是什么样的 黑屏了,出现一个熊猫你什么也做不了了,熊猫烧香现在也不是很厉害
问题十:熊猫烧香病毒有何厉害? 熊猫烧香并没有想象的那么厉害,也不会破坏硬件,现在能破坏硬件的病毒是CIH病毒。熊猫烧香是把感染所有EXE文件并把文件图标改成熊猫烧香的图标。而且会对系统的内的数据造成破坏。之所以那么有名,是因为作者李俊把病毒卖给其他人,其他人又再次转卖做不法用途造成很多用户巨大损失,李俊为了卖病毒经常性更新病毒,造成了杀毒软件一直不太好杀掉该病毒,因为互此李俊才被抓的。
ARP风暴!
ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。 ARP原理:某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。 ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,当局域网中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答是B冒充C伪造来的,即IP地址为C的IP,而MAC地址是伪造的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C!这就是一个简单的ARP欺骗。 风暴具体表现为经常出现ARP欺骗,服务器遭受攻击后死机,必须待服务器重新启动方能上网。 需要一个彻底的解决方法。 洪水是别人的电脑中了病毒木马,然后自动发给你的病毒包,相当于肉鸡ping
危害性最大的10大电脑病毒是什么?
1.Elk Cloner(1982年)
它被看作攻击个人计算机的第一款全球病毒,也是所有令人头痛的安全问题先驱者。它通过苹果Apple II软盘进行传播。这个病毒被放在一个游戏磁盘上,可以被使用49次。在第50次使用的时候,它并不运行游戏,取而代之的是打开一个空白屏幕,并显示一首短诗。
2.Brain(1986年) Brain是第一款攻击运行微软的受欢迎的操作系统DOS的病毒,可以感染360K软盘的病毒,该病毒会填充满软盘上未用的空间,而导致它不能再被使用。
3.Morris(1988年) Morris该病毒程序利用了系统存在的弱点进行入侵,Morris设计的最初的目的并不是搞破坏,而是用来测量网络的大小。但是,由于程序的循环没有处理好,计算机会不停地执行、复制Morris,最终导致死机。
4.CIH(1998年) CIH病毒是迄今为止破坏性最严重的病毒,也是世界上首例破坏硬件的病毒。它发作时不仅破坏硬盘的引导区和分区表,而且破坏计算机系统BIOS,导致主板损坏。 此病毒是由台湾大学生陈盈豪研制的,据说他研制此病毒的目的是纪念1986年的灾难或是让反病毒软件难堪。
5.Melissa(1999年) Melissa是最早通过电子邮件传播的病毒之一,当用户打开一封电子邮件的附件,病毒会自动发送到用户通讯簿中的前50个地址,因此这个病毒在数小时之内传遍全球。
6.Love bug(2000年) Love bug也通过电子邮件附近传播,它利用了人类的本性,把自己伪装成一封求爱信来欺骗收件人打开。这个病毒以其传播速度和范围让安全专家吃惊。在数小时之内,这个小小的计算机程序征服了全世界范围之内的计算机系统。
7.“红色代码”(2001年) 被认为是史上最昂贵的计算机病毒之一,这个自我复制的恶意代码“红色代码”利用了微软IIS服务器中的一个漏洞。该蠕虫病毒具有一个更恶毒的版本,被称作红色代码II。这两个病毒都除了可以对网站进行修改外,被感染的系统性能还会严重下降。 8.“Nimda”(2001年) 尼姆达(Nimda)是历史上传播速度最快的病毒之一,在上线之后的22分钟之后就成为传播最广的病毒。
9.“冲击波”(2003年) 冲击波病毒的英文名称是Blaster,还被叫做Lovsan或Lovesan,它利用了微软软件中的一个缺陷,对系统端口进行疯狂攻击,可以导致系统崩溃。 10.“震荡波”(2004年) 震荡波是又一个利用Windows缺陷的蠕虫病毒,震荡波可以导致计算机崩溃并不断重启。
11.“熊猫烧香”(2007年) 熊猫烧香会使所有程序图标变成熊猫烧香,并使它们不能应用。
12.“扫荡波”(2008年) 同冲击波和震荡波一样,也是个利用漏洞从网络入侵的程序。而且正好在黑屏事件,大批用户关闭自动更新以后,这更加剧了这个病毒的蔓延。这个病毒可以导致被攻击者的机器被完全控制。
13.“Conficker”(2008年) Conficker.C病毒原来要在2009年3月进行大量传播,然后在4月1日实施全球性攻击,引起全球性灾难。不过,这种病毒实际上没有造成什么破坏。
14.“木马下载器”(2009年) 本年度的新病毒,中毒后会产生1000~2000不等的木马病毒,导致系统崩溃,短短3天变成360安全卫士首杀榜前3名(现在位居榜首)
15.“鬼影病毒”(2010年) 该病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,同时即使格式化重装系统,也无法将彻底清除该病毒。犹如“鬼影”一般“阴魂不散”,所以称为“鬼影”病毒。
我家下载了风暴战区,但是启动不了,会显示出应用程序错误,怎么修复???
你好,电脑出现:【该内存不能为read】,这是你安装的“软件”与电脑中的“内存”有冲突!
【答案原创,引用请说明作者:力王历史】,偶然出现,点【取消】即可!
1。再不行,使用【兼容模式】:在这个软件的【桌面快捷方式】上,点右键,属性,【兼容性】,【用兼容性运行这个程序】,【勾好】,应用,确定!
或者点:【用管理员身份运行这个程序】,应用,确定!
2。电脑里有【木马或病毒】干扰,下载“360安全卫士”和“360杀毒双引擎版”或“金山卫士”和“金山毒霸”,建议“全盘扫描”病毒和木马,修补电脑上的“高危”和“重要”的【系统漏洞】!【系统修复】,一键修复!【插件清理】,立即清理【恶评插件】!
3。【可疑启动项】,下载“360系统急救箱”,或打开360安全卫士,【功能大全】里的“360系统急救箱”,开始急救,完毕后,重启电脑!开机后,【文件恢复区】,点开:可疑启动项和木马,彻底删除文件!
再:【系统修复】,全选,立即修复!【网络修复】,开始修复。重启电脑!
【金山急救箱】,勾选【扩展扫描】,立即扫描,完毕后,立即处理,重启电脑!
4。你下载的“播放器”,或“聊天软件”,或“IE浏览器”,或“游戏”的【程序不稳定】,或者“版本太旧”!建议卸掉,下载新的,或将其升级为【最新版本】!IE浏览器,和测试版软件不推荐升级!
5。就是你安装了两款或两款以上的同类软件(如:两款播放器,两款qq,或多款浏览器,多款杀毒软件,多款网游等等)!它们在一起【互不兼容】,卸掉“多余”的那一款!
6。你在电脑左下角“开始”菜单里找到【强力卸载电脑上的软件】,找到多余的那款卸掉! 卸完了再“强力清扫”(看准了再卸,别把有用的卸了)!完毕后,重启电脑!
7。再不行,开始菜单,运行 ,输入cmd, 回车,在命令提示符下输入【复制即可】 :
for %1 in (%windir%\system32\*.ocx) do regsvr32 /s %1
粘贴,回车,完毕后,再输入:
for %1 in (%windir%\system32\*.dll) do regsvr32.exe /s %1
回车!直到屏幕滚动停止为止,重启电脑!
8。再不行,去网上下载一个【read修复工具】,修复一下试试!注意查杀一下病毒和木马!
9。重启电脑,开机出完电脑品牌后,按“F8”,进到“安全模式”,光标选定:【最后一次正确设置】,回车,回车,看看效果如何!
10。实在不行就:【一键还原系统或重装系统】!
局域网内的一台计算机通过伪装成别的电脑发起arp风暴
正好前几天刚看到,希望对你有帮助!
[转贴]ARP攻击与防护完全手册
ARP攻击与防护完全手册
完整PDF下载:[attach]1334[/attach]
关键字: ARP ARP病毒 ARP攻击 ARP防护 ARP故障 网络分析 科来网络分析系统
最近在论坛上经常看到关于ARP病毒的问题,于是在Google上搜索ARP关键字,啊哦!结果出来N多关于这类问题的讨论。呵呵,俺的求知欲很强:),想再学习ARP下相关知识,所以对目前网络中常见的ARP问题进行了一个总结。现在将其贴出来,希望和大家一起讨论!
1. ARP概念
咱们谈ARP之前,还是先要知道ARP的概念和工作原理,理解了原理知识,才能更好去面对和分析处理问题。
1.1 ARP概念知识
ARP,全称Address Resolution Protocol,中文名为地址解析协议,它工作在数据链路层,在本层和硬件接口联系,同时对上层提供服务。
IP数据包常通过以太网发送,以太网设备并不识别32位IP地址,它们是以48位以太网地址传输以太网数据包。因此,必须把IP目的地址转换成以太网目的地址。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。ARP协议用于将网络中的IP地址解析为的硬件地址(MAC地址),以保证通信的顺利进行。
1.2 ARP工作原理
首先,每台主机都会在自己的ARP缓冲区中建立一个 ARP列表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址,如果有,就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个 ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。
例如:
A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA
B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB
根据上面的所讲的原理,我们简单说明这个过程:A要和B通讯,A就需要知道B的以太网地址,于是A发送一个ARP请求广播(谁是192.168.10.2 ,请告诉192.168.10.1),当B收到该广播,就检查自己,结果发现和自己的一致,然后就向A发送一个ARP单播应答(192.168.10.2 在BB-BB-BB-BB-BB-BB)。
1.3 ARP通讯模式
通讯模式(Pattern Analysis):在网络分析中,通讯模式的分析是很重要的,不同的协议和不同的应用都会有不同的通讯模式。更有些时候,相同的协议在不同的企业应用中也会出现不同的通讯模式。ARP在正常情况下的通讯模式应该是:请求 - 应答 - 请求 - 应答,也就是应该一问一答。
2. 常见ARP攻击类型
个人认为常见的ARP攻击为两种类型:ARP扫描和ARP欺骗。
2.1 ARP扫描(ARP请求风暴)
通讯模式(可能):
请求 - 请求 - 请求 - 请求 - 请求 - 请求 - 应答 - 请求 - 请求 - 请求...
描述:
网络中出现大量ARP请求广播包,几乎都是对网段内的所有主机进行扫描。大量的ARP请求广播可能会占用网络带宽资源;ARP扫描一般为ARP攻击的前奏。
出现原因(可能):
*病毒程序,侦听程序,扫描程序。
*如果网络分析软件部署正确,可能是我们只镜像了交换机上的部分端口,所以大量ARP请求是来自与非镜像口连接的其它主机发出的。
*如果部署不正确,这些ARP请求广播包是来自和交换机相连的其它主机。
2.2 ARP欺骗
ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。所以在网络中,有人发送一个自己伪造的ARP应答,网络可能就会出现问题。这可能就是协议设计者当初没考虑到的!
2.2.1 欺骗原理
假设一个网络环境中,网内有三台主机,分别为主机A、B、C。主机详细信息如下描述:
A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA
B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB
C的地址为:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC
正常情况下A和C之间进行通讯,但是此时B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A被欺骗了),这时B就伪装成C了。同时,B同样向C发送一个ARP应答,应答包中发送方IP地址四192.168.10.1(A的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(A的MAC地址本来应该是AA-AA-AA-AA-AA-AA),当C收到B伪造的ARP应答,也会更新本地ARP缓存(C也被欺骗了),这时B就伪装成了A。这样主机A和C都被主机B欺骗,A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么:)。这就是典型的ARP欺骗过程。
注意:一般情况下,ARP欺骗的某一方应该是网关。
2.2.2 两种情况
ARP欺骗存在两种情况:一种是欺骗主机作为“中间人”,被欺骗主机的数据都经过它中转一次,这样欺骗主机可以窃取到被它欺骗的主机之间的通讯数据;另一种让被欺骗主机直接断网。
第一种:窃取数据(嗅探)
通讯模式:
应答 - 应答 - 应答 - 应答 - 应答 - 请求 - 应答 - 应答 -请求-应答...
描述:
这种情况就属于我们上面所说的典型的ARP欺骗,欺骗主机向被欺骗主机发送大量伪造的ARP应答包进行欺骗,当通讯双方被欺骗成功后,自己作为了一个“中间人“的身份。此时被欺骗的主机双方还能正常通讯,只不过在通讯过程中被欺骗者“窃听”了。
出现原因(可能):
*木马病毒
*嗅探
*人为欺骗
第二种:导致断网
通讯模式:
应答 - 应答 - 应答 - 应答 - 应答 - 应答 - 请求…
描述:
这类情况就是在ARP欺骗过程中,欺骗者只欺骗了其中一方,如B欺骗了A,但是同时B没有对C进行欺骗,这样A实质上是在和B通讯,所以A就不能和C通讯了,另外一种情况还可能就是欺骗者伪造一个不存在地址进行欺骗。
对于伪造地址进行的欺骗,在排查上比较有难度,这里最好是借用TAP设备(呵呵,这个东东好像有点贵勒),分别捕获单向数据流进行分析!
出现原因(可能):
* 木马病毒
*人为破坏
*一些网管软件的控制功能
3. 常用的防护方法
搜索网上,目前对于ARP攻击防护问题出现最多是绑定IP和MAC和使用ARP防护软件,也出现了具有ARP防护功能的路由器。呵呵,我们来了解下这三种方法。
3.1 静态绑定
最常用的方法就是做IP和MAC静态绑定,在网内把主机和网关都做IP和MAC绑定。
欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全部设置为静态可以解决对内网PC的欺骗,同时在网关也要进行IP和MAC的静态绑定,这样双向绑定才比较保险。
方法:
对每台主机进行IP和MAC地址静态绑定。
通过命令,arp -s可以实现 “arp –s IP MAC地址 ”。
例如:“arp –s 192.168.10.1 AA-AA-AA-AA-AA-AA”。
如果设置成功会在PC上面通过执行 arp -a 可以看到相关的提示:
Internet Address Physical Address Type
192.168.10.1 AA-AA-AA-AA-AA-AA static(静态)
一般不绑定,在动态的情况下:
Internet Address Physical Address Type
192.168.10.1 AA-AA-AA-AA-AA-AA dynamic(动态)
说明:对于网络中有很多主机,500台,1000台...,如果我们这样每一台都去做静态绑定,工作量是非常大的。。。。,这种静态绑定,在电脑每次重起后,都必须重新在绑定,虽然也可以做一个批处理文件,但是还是比较麻烦的!
3.2 使用ARP防护软件
目前关于ARP类的防护软件出的比较多了,大家使用比较常用的ARP工具主要是欣向ARP工具,Antiarp等。它们除了本身来检测出ARP攻击外,防护的工作原理是一定频率向网络广播正确的ARP信息。我们还是来简单说下这两个小工具。
3.2.1 欣向ARP工具
俺使用了该工具,它有5个功能:
A. IP/MAC清单
选择网卡。如果是单网卡不需要设置。如果是多网卡需要设置连接内网的那块网卡。
IP/MAC扫描。这里会扫描目前网络中所有的机器的IP与MAC地址。请在内网运行正常时扫描,因为这个表格将作为对之后ARP的参照。
之后的功能都需要这个表格的支持,如果出现提示无法获取IP或MAC时,就说明这里的表格里面没有相应的数据。
B. ARP欺骗检测
这个功能会一直检测内网是否有PC冒充表格内的IP。你可以把主要的IP设到检测表格里面,例如,路由器,电影服务器,等需要内网机器访问的机器IP。
(补充)“ARP欺骗记录”表如何理解:
“Time”:发现问题时的时间;
“sender”:发送欺骗信息的IP或MAC;
“Repeat”:欺诈信息发送的次数;
“ARP info”:是指发送欺骗信息的具体内容.如下面例子:
time sender Repeat ARP info 22:22:22 192.168.1.22 1433 192.168.1.1 is at 00:0e:03:22:02:e8
这条信息的意思是:在22:22:22的时间,检测到由192.168.1.22发出的欺骗信息,已经发送了1433次,他发送的欺骗信息的内容是:192.168.1.1的MAC地址是00:0e:03:22:02:e8。
打开检测功能,如果出现针对表内IP的欺骗,会出现提示。可以按照提示查到内网的ARP欺骗的根源。提示一句,任何机器都可以冒充其他机器发送IP与MAC,所以即使提示出某个IP或MAC在发送欺骗信息,也未必是100%的准确。所有请不要以暴力解决某些问题。
C. 主动维护
这个功能可以直接解决ARP欺骗的掉线问题,但是并不是理想方法。他的原理就在网络内不停的广播制定的IP的正确的MAC地址。
“制定维护对象”的表格里面就是设置需要保护的IP。发包频率就是每秒发送多少个正确的包给网络内所有机器。强烈建议尽量少的广播IP,尽量少的广播频率。一般设置1次就可以,如果没有绑定IP的情况下,出现ARP欺骗,可以设置到50-100次,如果还有掉线可以设置更高,即可以实现快速解决ARP欺骗的问题。但是想真正解决ARP问题,还是请参照上面绑定方法。
D. 欣向路由器日志
收集欣向路由器的系统日志,等功能。
E. 抓包
类似于网络分析软件的抓包,保存格式是.cap。
3.2.1 Antiarp
这个软件界面比较简单,以下为我收集该软件的使用方法。
A. 填入网关IP地址,点击〔获取网关地址〕将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。注意:如出现ARP欺骗提示,这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包,如果您想追踪攻击来源请记住攻击者的MAC地址,利用MAC地址扫描器可以找出IP 对应的MAC地址.
B. IP地址冲突
如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包,才会出现IP冲突的警告,利用Anti ARP Sniffer可以防止此类攻击。
C. 您需要知道冲突的MAC地址,Windows会记录这些错误。查看具体方法如下:
右击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来源为[TcpIP]---双击事件可以看到显示地址发生冲突,并记录了该MAC地址,请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-),输入完成之后点击[防护地址冲突],为了使MAC地址生效请禁用本地网卡然后再启用网卡,在CMD命令行中输入Ipconfig /all,查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符,如果更改失败请与我联系。如果成功将不再会显示地址冲突。
注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。
3.3 具有ARP防护功能的路由器
这类路由器以前听说的很少,对于这类路由器中提到的ARP防护功能,其实它的原理就是定期的发送自己正确的ARP信息。但是路由器的这种功能对于真正意义上的攻击,是不能解决的。
ARP的最常见的特征就是掉线,一般情况下不需要处理一定时间内可以回复正常上网,因为ARP欺骗是有老化时间的,过了老化时间就会自动的回复正常。现在大多数路由器都会在很短时间内不停广播自己的正确ARP信息,使受骗的主机回复正常。但是如果出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗ARP,1秒有个几百上千的),它是不断的发起ARP欺骗包来阻止内网机器上网,即使路由器不断广播正确的包也会被他大量的错误信息给淹没。
可能你会有疑问:我们也可以发送比欺骗者更多更快正确的ARP信息啊?如果攻击者每秒发送1000个ARP欺骗包,那我们就每秒发送1500个正确的ARP信息!
面对上面的疑问,我们仔细想想,如果网络拓扑很大,网络中接了很多网络设备和主机,大量的设备都去处理这些广播信息,那网络使用起来好不爽,再说了会影响到我们工作和学习。ARP广播会造成网络资源的浪费和占用。如果该网络出了问题,我们抓包分析,数据包中也会出现很多这类ARP广播包,对分析也会造成一定的影响。
呵呵,不知不觉说这么多,上面会可能会有说的不正确和不够的地方,希望大家多多讨论。
CSNA网络分析论坛
KelvinFu
2006-09-07
电脑中游戏病毒该怎么办
1. 电脑中病毒怎么办
电脑中病毒后怎么办? 1.下载并安装杀毒软件,这个我不多说,网上关于好的杀毒软件众说纷纭。
你觉得哪个说的对就是哪个吧。下载后双击安装,就按默认的安装就行了(需要激活码、序列号、通行证的可以在网上找,或者购买正版) 2.安装好后,重启电脑,更新病毒库,这需要一点时间。
更新完成后,需要再重启电脑。然后扫描病毒。
最好在开机的时候按F8,然后选择安全模式进入,这样杀毒比较全面,退出安全模式直接重启电脑就可以。扫描病毒的时候,发现病毒不要管他,等到扫描结束后一并清理。
能清除的清除,不能清除的删除。 3.在次重启电脑后就可以做你该做的了,不用管杀软,会自动升级、实时监控的。
很高兴帮你解决,纯属原创。
2. 如果电脑中病毒了,该怎么办
推荐使用360杀毒,它有以下优点:
1、无需购买、续费、激活。一次性安装,永久使用。
2、独创的“双核引擎”杀毒技术,查杀、清除病毒能力远超同类软件。
3、一键式下载、安装,方便快捷。
4、是目前最“轻巧”的杀毒软件,监控时内存占用仅为6M左右。比一般软件都要低
5、界面清爽,设置、操作简单,是菜鸟用户的最爱。
6、创新的“游戏防打扰模式”,让玩家安全、流畅的运行游戏。
7、应用“云安全白名单”技术,防范误报、误杀正常文件
8、为国内用户量身打造的“嵌入式杀毒技术”,方便高效的保护QQ、MSN上的传输的文件,以及U盘、移动硬盘上的文件,不被病毒入侵。
9、“云查杀”技术可以快速定位用户机器内的未知可疑文件,分析、处理仅需10分钟,可以防范“新木马”入侵。
10、每日升级数十次,让用户第一时间获得安全更新。服务质量不输于同类收费软件。
3. 电脑中病毒了怎么办
运行 输入cmd 回车在命令提示符下输入 for %1 in (%windir%\system32\*.dll) do regsvr32.exe /s %1 这个命令老兄你慢慢输 输入正确的话会看到飞快地滚屏 否则……否则失败就是没这效果。
回车后慢慢等(需要点时间1-2分钟) 都运行完再打开看 处理方法: 运行regedit进入注册表, 在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks下,应该只有一个正常的键值"{AEB6717E-7E19-11d0-97EE-00C04FD91972}, 将其他的删除。
4. 计算机中病毒了怎么办
用好的杀毒软件杀毒吧
个人推荐360杀毒
360杀毒正式公测 永久免费邀您参加!o(∩_∩)o。
与在杀毒业界屡获国际测评第一名的知名杀毒厂商BitDefender合作,360公司重磅推出终身免费的360杀毒软件,必将引起新一轮的安全风暴!现正式开始公测,欢迎大家踊跃参与,多多反馈,一起打造中国最好用的免费杀毒软件!
360杀毒有奖捉虫活动现已展开 每日开奖邀您参与!
最新亮点
①永久免费的杀毒软件——你还在为了给自己的杀毒软件找个可用的激活码而苦恼?
360杀毒彻底解决你的后顾之忧。360杀毒承诺一切软件下载、激活、升级全部永久免费。
②快速升级和响应——病毒特征库小时级升级
确保对爆发性病毒的快速响应,对感染型木马强力的查杀
③超低系统资源占用,人性化免打扰设置——系统资源占用极低
独特的游戏模式,畅玩游戏同时安全无忧,功能强大的反病毒引擎以及实时保护技术
④强大的反病毒引擎,通过Virus Bulletin等全球多家权威检测机构的认证——
采用虚拟环境启发式分析技术发现和阻止未知病毒
o(∩_∩)o。Fantasy手笔,严禁抄袭
安全辅助软件360安全卫士简介
360安全卫士V4.20版只有 5M 左右,适合快速安装
(使用卡巴斯基杀毒功能时,需要手工下载卡巴斯基杀毒软件,赠送卡巴半年激活码)
360安全卫士是国内最受欢迎免费安全软件()
它拥有查杀流行木马、清理恶评及系统插件,管理软件,卡巴杀毒,系统实时保护,修复漏洞等数个强劲功能
同时还提供系统全面诊断,弹出插件免疫,清理使用痕迹以及系统还原等特定辅助功能
并且提供对系统的全面诊断报告,方便用户及时定位问题所在,真正为每一位用户提供全方位系统安全保护
最近更新:
1. 新增系统全面体检,安全隐患一网打尽
漏洞补丁、恶评插件、流行木马……系统全部安全隐患,只需数秒全盘检出。
2. 最新流行软件推荐,最酷最安全软件快速拥有
新增最新流行软件推荐,最酷最安全软件快速下载,玩酷一夏。
3. 漏洞补丁即下即装,修复更智能快捷
增强漏洞补丁模块,即下即装,智能修复更快捷方便。
4. 增强痕迹清理功能,全面保护上网隐私
更强劲清理系统使用痕迹,保护上网隐私同时优化系统速度。
5. 查杀最新流行木马,更强劲,更彻底
全面彻底查杀最新机器狗四代、新型AV终结者等最新最恶劣木马。
6. 360文件知识库智能查询
系统中的诸多文件孰好孰坏?只要有了360文件知识库,自己就能揪出木马病毒。
网址:/下载并安装360安全卫士,并对360进行必要的设置; 5、用防病毒程序全面的扫描一次您的电脑。 6、把我的文档设置到D盘; 7、安全其它常用软件; 7、克隆你的C盘,有条件的将备份文件刻到DVD光盘上。
可以将这张光盘做成能启动电脑的光盘。 OK 防范工作: 1、养成每天升级一次病毒定义码的习惯; 2、不要轻意打开别人发给你的东西或网页; 3、上网后用360扫一下你的电脑:看看有什么新的更新或有没有木马; 4、要用“暴风影音”去看下载的视频; 5、360有时会问你允许还是阻止,一定要十分明白后再允许。
6、软件一定在知名的网站上下,就算也非常需要这个软件也一定不要随便下载使用。360安全卫士上有个推荐下载,你可以参考; 7、使用U盘或移动硬盘中,养成用右键打开的习惯。