凯瑞·穆里根家世:彻底解决ARP欺骗

现在频繁掉线的网吧很多.但为何掉线.许多网管朋友.不是很清楚.网吧掉线的原因很多.现在我给大家讲一下现在很流行的一种木马.<传奇网吧杀手>.基本上东北地区的网吧都被这一木马弄的身心疲惫.但是现在有解决的方法了.

中病毒特征: 网吧不定时的掉线.(重启路由后正常),网吧局域网内有个别机器掉线.

木马分析 : 传奇杀手木马,是通过ARP欺骗,来或取局域网内发往外网的数据.从而截获局域内一些网游的用户名和密码.

木马解析:中木马的机器能虚拟出一个路由器的MAC地址和路由器的IP.当病毒发作时,局域网内就会多出一个路由器的MAC地址.内网在发往外网的数据时,误认为中木马的机器是路由器,从而把这些数据发给了虚拟的路由器.真正路由器的MAC地址被占用.内网的数据发出不去.所以就掉线了.

解决办法:守先你下载一个网络执法官,他可以监控局域网内所有机器的MAC地址和局域网内的IP地址.在设置网络执法官时.你必须将网络执法官的IP段设置和你内网的IP段一样.比如说:你的内网IP是192.168.1.1------192.168.1.254你的设置时也要设置192.168.1.1------192.168.1.254.设置完后,你就会看到你的内网中的MAC地址和IP地址.从而可以看出哪台机器中了木马.(在多出的路由器MAC地址和IP地址和内网机器的IP地址,MAC地址一样的说明中了传奇网吧杀手)要是不知道路由器的MAC地址,在路由器的设置界面可以看到.发现木马后.你还要下载瑞星2006最新版的杀病毒软件(3月15日之后的病毒库).在下载完之后必须在安全模式下查杀(这是瑞星反病毒专家的见意)反复查杀(一般在四次就可以了)注意查完后杀病毒软件不要卸载掉.观查几天(这是我个人的经验.在卸后第三天病毒还会死灰复燃,我想可能是注册表里还有他的隐藏文件.在观查几天后正常就可以卸载掉了.

注:还原精灵和冰点对网吧传奇杀手木马不起做用.(传奇杀手木马不会感染局域网.不要用硬盘对克,对克跟本不起任何做用.而且还会感染到母盘上.切记!)

最好主机安装上网络执法官,这样可以时时监控局域网内的动态,发现木马后可以及时做出对策)
下面是传奇网吧杀手木马的文件:
文件名： 文件路径： 病毒名：
a.exe>>b.exe c:\windows\system32 Trojan.psw.lmir.jbg
235780.dll c:\windows\ Trojan.psw.lmir.aji
kb2357801.log c:\windows\ Trojan.psw.lmir.jhe
Q98882.log c:\windows\ Trojan.psw.lmir.jhe
kb2357802.log c:\windows\ Trojan.psw.lmir.jbg
Q90979.log c:\windows\ Trojan.psw.lmir.jhe
Q99418.log c:\windows\ Trojan.psw.lmir.jbg
ZT.exe c:\windows\program Files\浩方对战平台 病毒名：Trojan.dL.agent.eqv
a[1].exe>>b.exec:\documents and sttings\sicent\local settings\Temporary Internet Files\content.IE5\Q5g5g3uj
病毒名:Trojan.psw.lmir.jbg
(各位朋友.瑞星杀毒软件文件过大邮箱发送不了.请大家下载瑞星个人18.18.20版杀毒软件我现在给大家提供注册码.希望大家原谅.)
SN=P5V6EH-61FHJK-9G0SS7-C4D200
ID=5B3C5BJ4Y125
（网络执法官可以批量MAC捆绑，到执法官的局域网MAC界面，全选后单击右键会出现批量MAC捆绑．做完捆绑以后，ARP要是在次攻击时他会报警，出现的假MAC是为非法．网络执法官会终止他的一切操作．）这样可以解决ARP在次攻击．
======================================================
既然是网吧 是靠这个吃饭的 你才给这么点分数 太没有诚意了 如果你不给答对的人高分 我认为你这个人的RP问题一定会影响你今后的业务的 做生意的人 不能太扣 尤其是在对待知识和人才时。
========================================================
第二个办法
一、问题的提出

校园网建成后，要求在服务器端把网内各工作站的MAC地址和分配的静态IP地址进行绑定，以方便统一管理，减小安全隐患。无论是在终端获取MAC地址后再在服务器端进行绑定，还是利用“MAC扫描器”远程批量获取MAC地址，对于网管员来说工作量都非常大。有没有更加方便快捷的方法呢？

二、解决问题思路

笔者经过摸索，发现组合使用“MAC扫描器”和Excel 2000可以很好地解决这个问题。思路如下:

1. 运行“MAC扫描器”（下载地址：http://dl.163.com/html/10/10456.html），扫描完成后，点击[保存]按钮，将扫描的结果保存为文本文件，如Mac.txt（内容见图1）。

2. 利用Excel强大的数据处理功能，将文本文件中的MAC地址转换成ARP命令要求的格式后，把数据复制粘贴到记事本，保存为批处理文件（内容见图2）。

3. 在服务器端运行这个批处理文件就大功告成了。

三、具体操作步骤

1．将Mac．txt导入Excel工作簿

（1）启动Excel 2000，新建一个工作簿，保存为“MAC地址表.xls”。单击“数据→获取外部数据→导入文本文件”，在弹出的对话框中，选择用“MAC扫描器”获得的文本文件“Mac.txt”，单击[导入]按钮，弹出“文本导入向导”对话框。

（2）在“文本导入向导——3步骤之1”中点击“原始数据类型”，在“请选择最合适的文件类型”单选项下，修改默认的“固定宽度”为“分隔符号”，然后单击[下一步]按钮；进入“文本导入向导——3步骤之2”，在“分隔符号”多选项下，取消“Tab键”，只选中“空格”项，再单击[下一步]按钮；进入“文本导入向导——3步骤之3”，单击[完成]按钮，弹出“导入数据”对话框时，单击[确定]，完成数据导入。导入后的工作表如图3所示。

2． 利用Excel处理数据

（1）在A列前插入一列，在A1单元格内输入绑定MAC地址的命令和参数“ARP -S”。 （2）在MAC地址和计算机名两列之间插入7列，列号依次为D、E、F、G、H、I、J。

（3）利用字符串函数分割12位MAC地址为两两一组：

在D1单元格输入“=left(C1,2)”；

在E1单元格输入“=mid(C1,3,2)”；

在F1单元格输入“=mid(C1,5,2)”；

在G1单元格输入“=mid(C1,7,2)”；

在H1单元格输入“=mid(C1,9,2)”；

在I1单元格输入“=right(C1, 2)”。

（4）在J1单元格内把D1~I1单元格的内容合并起来，中间用减号分隔。合并方法：在J1内输入“=D1&&"-"&&E1&&"-"&&F1&&"-"&&G1&&"-"&&H1&&"-"&&I1”。 （5）利用填充法完成A列和D~J列的数据处理

（6）隐藏C~I列。

3． 制作批处理文件

（1）复制Excel工作表A、B、J列的数据，粘贴到记事本中。保存工作簿“MAC地址表.xls”，退出Excel。

（2）保存记事本文件为Mac.bat。 4． 批量绑定MAC地址和IP地址 在服务器端DOS模式下运行Mac.bat，即可完成批量MAC地址和IP地址的绑定。