¿Qué debo hacer si mi computadora está siempre bajo ataque ARP?
Un ataque mediante un programa troyano (virus) de suplantación de identidad ARP (ARP es la abreviatura de "Protocolo de resolución de direcciones"). Cuando el virus ataca, los síntomas son que la conexión a la red del ordenador es normal, pero la web. La página se interrumpe al abrirla o cuando el programa troyano (virus) de suplantación de identidad ARP envía una gran cantidad de paquetes de datos, provocando que los usuarios tengan un acceso inestable a Internet, lo que afecta en gran medida el uso normal de los usuarios y trae graves peligros ocultos a la seguridad de la red. .
Principio del virus
Cuando un host en la red de área local ejecuta un programa troyano de suplantación de ARP, engañará a todos los hosts y conmutadores de la red de área local, de modo que todo el tráfico de Internet debe pasar a través del huésped del virus. Otros usuarios que solían acceder a Internet directamente a través del conmutador ahora acceden a Internet a través del host de virus. Durante el cambio, el usuario se desconectará. Cuando ocurre el programa troyano de suplantación de ARP, enviará una gran cantidad de paquetes de datos, lo que provocará congestión de las comunicaciones en la LAN y limitará sus propias capacidades de procesamiento. Los usuarios sentirán que la velocidad de Internet es cada vez más lenta. Cuando el programa troyano de suplantación de identidad ARP deja de ejecutarse, el usuario reanudará el acceso a Internet desde el conmutador (la tabla de direcciones MAC del conmutador es normal en este momento) y el usuario se desconectará nuevamente durante el proceso de conmutación. Cuando el virus ataca, sólo afecta el acceso normal a Internet de las máquinas en el mismo segmento de red.
Medidas tomadas
1. Los usuarios deben mejorar su conciencia sobre la seguridad de la red y no descargar ni utilizar fácilmente software pirateado o con riesgos de seguridad ni navegar por sitios web que carezcan de credibilidad (páginas web); ); no abra correos electrónicos de fuentes desconocidas, especialmente archivos adjuntos de correo electrónico; no comparta archivos y carpetas de manera casual. Incluso si desea compartirlos, debe establecer permisos. Además, se puede acceder a una cuenta específica. no se recomienda configurarlo para que se pueda escribir o controlar para evitar que las computadoras personales sean invadidas por virus troyanos y causen peligros ocultos a la seguridad de la red.
2. Los usuarios de computadoras deben descargar y actualizar rápidamente los parches del sistema operativo e instalar software antivirus genuino para mejorar la capacidad de la computadora personal para defenderse contra virus informáticos.
3. Métodos para que los usuarios comprueben y traten el troyano "ARP spoofing".
1. Compruebe si la máquina está infectada por el troyano "ARP spoofing".
Mantenga presionadas las teclas "CTRL ALT DEL" en el teclado al mismo tiempo, seleccione "Tarea". Manager", y haga clic en Seleccionar la pestaña "Procesos". Verifique si hay un proceso llamado "MIR0.dat" o algo así. Si lo hay, significa que has sido envenenado. Haga clic derecho en el proceso y seleccione "Finalizar proceso".
2. Cuando son atacados por troyanos (virus) de suplantación de ARP, los usuarios pueden elegir uno de los siguientes métodos.
Método 1:
Descargue el software Anti ARP Sniffer para proteger la computadora local para que no funcione normalmente. Al mismo tiempo, configure este software para que se inicie automáticamente. Pasos: Primero genere Antiarp.exe como acceso directo en el escritorio -gt; luego seleccione "Inicio" -gt; Antiarp.exe en el escritorio Copie las teclas de acceso directo a "Inicio" para asegurarse de que se ejecuten automáticamente la próxima vez que encienda la computadora y desempeñen una función protectora.
Método 2:
Abre el "Símbolo del sistema" en el menú "Inicio" - "Programas" - "Accesorios". Ingrese y ejecute el siguiente comando: ipconfig
Registre la dirección IP de la puerta de enlace, es decir, el valor correspondiente a "Puerta de enlace predeterminada", como "10.1.4.1". Luego ingrese y ejecute el siguiente comando:
arp ?Ca
Busque la dirección IP de la puerta de enlace registrada en el paso anterior en "Dirección de Internet" y registre su dirección física correspondiente, es decir, Valor "Dirección física" ”, como “00-e0-fc-0f-8f-4d”.
Cuando la red es normal, esta es la dirección física correcta de la puerta de enlace. Cuando la red se ve afectada por el troyano "ARP spoofing" y se vuelve anormal, es la dirección física de la tarjeta de red de la computadora donde se encuentra el troyano. También puede escanear todas las direcciones IP en esta subred y luego verificar la tabla ARP. Si hay una IP correspondiente a la misma dirección física que la puerta de enlace, entonces esta dirección IP y la dirección física son la dirección IP y la dirección física de la tarjeta de red de la computadora envenenada. Este método puede reducir hasta cierto punto el impacto de los troyanos en otras computadoras de esta máquina. Utilice el método descrito anteriormente para determinar la dirección IP de la puerta de enlace y la dirección física de la puerta de enlace correcta, luego ingrese y ejecute el siguiente comando en la ventana "Símbolo del sistema":
arp ?Cs gateway Dirección física de la puerta de enlace IP.
Método 3: (Esta es solo una solución temporal cuando ocurre un mal funcionamiento)
Llame al "Símbolo del sistema" en el menú "Inicio" - "Programas" - "Accesorios". . Ingrese y ejecute el siguiente comando:
arp -d
Método 4:
El dispositivo inmune a ataques LAN ARP está disponible en línea. (1) Copie los tres archivos dll que contiene en windows\system32 y copie el archivo npf en windows\system32\drivers. (2) Cambie estos 4 archivos a solo lectura en los atributos de seguridad. Es decir, nadie puede modificarlo.
4. Los siguientes programas contienen dichos virus ARP (Legend Killer, etc.), no los utilice:
Legend 2 Ice Orange Versión 1.44
Versión Legend 2 Timely Rain PK
El software troyano de "Internet Cafe Legend Killer" escanea cuentas y contraseñas legendarias
Network Law Enforcement Officer y otros programas similares
5. Proporcionado por la herramienta de eliminación de virus Trend Micro ARP