ARP病毒故障:长时间打不开一个网页 办公室中有三台工作站,通过一个八口交换机与ADSL设备直接相连,从而实现共享ADSL上网的目的。平时,办公室中的每一台工作站上网都很正常;然而在最近一段时间,办公室中的小型局域网却遭遇到一则奇怪的现象,那就是每当小编使用的工作站后启动的话,那么局域网中所有工作站的上网浏览速度明显变慢,IE浏览器长时间打不开一个网页;当将小编使用的工作站系统关闭后,其他工作站的网络连接会自动断开,在重新修复本地网络连接后,这些工作站的上网速度又能恢复正常了,也就是说IE浏览器又能快速地打开相同的网页了。
ARP病毒探究:工作站有ARP病毒?从以上的故障描述来看,当小编使用的工作站不启动时,那么局域网中的其他工作站就能正常上网,而一旦将小编的工作站接入到局域网中,那么局域网的上网速度立即下降了下来,很明显该故障的症结应该在小编使用的工作站上。 由于ADSL设备没有直接与小编使用的工作站相连,按照道理小编的工作站开关与否应该与其他工作站的上网速度无关才对;但实际上小编的工作站系统关闭后,其他工作站竟然出现了明显的掉线故障,再次启动小编的工作站系统时,其他工作站的上网速度立即又不正常了,依照这一现象小编到网上进行了相关搜索,根据搜索结果小编判断自己使用的工作站可能感染了ARP病毒。
电脑知识学习论坛为电脑初学者的疑难杂症提供最佳解决方案。电脑基础知识学习QQ群:81158926 欢迎电脑爱好者加入。
ARP病毒分析:IP地址与MAC地址被搞乱了 为了进一步弄清故障原因,小编又搜索了ARP病毒的相关资料,通过搜查小编发现工作站一旦感染了ARP病毒,该病毒就会欺骗局域网中所有工作站以及网络设备,并强制其他工作站通过特定的病毒主机进行网络访问。之所以感染了ARP病毒后,工作站的上网速度会受到明显下降,是因为正常情况下工作站的网卡IP地址与MAC地址是一一对应的,当工作站的网卡设备从局域网的DHCP服务器中获得IP地址后,该地址就会被临时与网卡的MAC地址绑定在一起,同时会被记录保存在本地的ARP映射表中;同时,局域网中其他工作站的IP地址与MAC 地址对应关系也会被保存在本地ARP映射表中,如此一来当本地主机向局域网中另外一台主机发送信息时,只要在本地的ARP映射表中找到对应另外一台主机的 MAC地址,就能在直接发送的数据包中添加上目标主机的MAC地址信息,然后通过交换机或路由器设备将数据包信息发送到目标主机中。
每一台工作站为了获取准确的MAC地址信息,往往需要实时更新本地的ARP映射表;如此一来在小编使用的工作站启动之后,ARP病毒就会自动把该工作站的 MAC地址映射到局域网的路由器或交换机设备上,同时向网络中广播大量的ARP数据信息,通知局域网中的其他工作站及时更新各自ARP映射表中的记录内容。
而当其他工作站更新过ARP映射表之后,就会错误地认为小编所用工作站就是局域网中的新网关,于是其他工作站就会把上网信息转发到小编的工作站中,此时小编工作站中的ARP病毒会智能窃取这些转发信息中的帐号、密码信息,然后再将其他工作站的上网请求信息发送给局域网中的路由器设备,那样一来局域网中其他工作站上网时就相当于将上网请求信息连续转发给两个网关一样,同时ARP病毒还会不停地向局域网通道中发送大量的ARP信息,以致于让其他工作站一直认为小编的工作站就是网关,于是就构成了恶性循环,最终导致共享上网速度下降,严重的话能产生掉线现象。 应对:阻止ARP病毒的地址欺骗 找到了共享上网缓慢原因之后,我们只要能够想办法阻止ARP病毒对其他工作站的地址欺骗,就能确保局域网共享上网速度不受影响了。要做到这一点,我们可以按照如下步骤来应对: 首先登录进局域网中的其他工作站系统中,并依次单击对应系统桌面中的“开始”、“运行”命令,打开系统的运行对话框,并在其中输入字符串命令“cmd”,单击“确定”按钮后,将系统屏幕切换到MS-DOS窗口;在该窗口的命令提示符下,输入字符串命令“ipconfig /all”,单击回车键后,我们会在弹出的图1所示结果界面中,看到该工作站的网卡IP地址以及MAC地址,例如这里的IP地址为 “10.176.6.168”、MAC地址为“00-08-02-65-B7-80”;接着在MS-DOS窗口的命令提示符下,执行字符串命令“arp -a”,从随后弹出的结果界面中我们会看到本地局域网的网关IP地址以及MAC地址,假设本地网关的IP地址为“10.176.6.1”,MAC地址为“00-00-5E-00-01-07”, 接下来启动记事本程序,打开文本编辑窗口,并在其中输入如下字符串内容:
在确认上面的代码输入无误后,依次执行文本编辑窗口中的“文件”/“保存”命令,将上面的代码内容保存成扩展名为BAT的批处理文件,例如这里保存的文件名假设为“aaa.bat”。之后将“aaa.bat”文件拖放到系统开始菜单的“启动”文件夹中,如此一来工作站日后启动成功后,就会自动完成对工作站以及路由器地址的绑定操作,那样的话就能预防ARP病毒的地址欺骗行为了。
按照相同的操作方法,依次获取局域网中其他工作站的IP地址以及MAC地址,然后生成对应的地址绑定批处理文件,再将批处理文件拖放到各自系统的“启动”文件夹中,这样就能完成所有工作站的地址绑定任务了。 完成上面的所有操作后,再从微软主页处下载获得MS06-014安全补丁和MS07-017安全补丁,并将这两个补丁程序分别安装到局域网的所有工作站系统中,这样一来我们日后在上网冲浪时遭受网页木马攻击的机率就大大下降了。之后,升级工作站中的杀毒软件,并对所有工作站进行彻底地病毒查杀操作,以便清除局域网中的ARP病毒以及其他网络病毒,那样的话共享上网速度多半就能恢复正常。
