16a.us病毒（又一次ARP病毒欺骗攻击）解决方案

16a.us病毒（又一次ARP病毒欺骗攻击）解决方案

[原文作者：麦糊CEO]

最近单位局域网电脑上网，大多数网站页面显示都会异常，卡巴在访问网站的时候会提示“"木马程序Trojan-Downloader.JS.Agent.gd 文件[url]hxxp://16a.us/*.js[/url]”，查看HTML源码，会在所有网页顶部多出一行，最开始还以为是我们单位网站服务器被挂了木马，后来发现访问其他网站也是同样问题，包括建行、IT168等大型网站，所以就把问题锁定在我们局域网内部，开始上网找解决办法，试验过各种办法都没有效果，包括：

1、修改Hosts文件

2、下载360安全卫士的什么固定时间的软件

3、升级操作系统补丁

4、升级杀毒软件的最新病毒库等等

今天上午，不甘心，继续在搜索引擎中寻找答案（而且这个问题必须解决，否则单位里同事上网基本上处于半瘫痪状态，绝大多数网站显示异常），受到一个帖子的启发，认为16a.us病毒现象应该是属于APR病毒欺骗攻击，所以就在Baidu里检索有关APR病毒欺骗攻击的解决方案，经过试验并论证，我们单位局域网电脑问题全部解决，不敢独享，特意将解决方案拿出来共享，希望能够帮到其他正为这个问题急得焦头烂额的同仁们！

具体的解决步骤如下(将网关的MAC地址进行静态绑定)：

第1步：关闭所有IE浏览器，进入CMD模式

第2步：输入arp -a指令，可以在返回的结果看到局域网网关的IP地址及MAC地址（网关MAC地址的正确性需要与网管确认一下，以防病毒已经在你电脑的ARP缓存中修改了网关的MAC地址）。

第3步：输入arp -s 网关IP地址 网关MAC地址，记住这里输入的MAC地址是需要正确的网关MAC地址。

第4步：进入网络属性，如果不是动态获IP地址，改成动态获IP地址（如果已经是动态获IP地址，则重新修复一下网络连接便可）。

第5步：问题解决了，打开IE，试验一下看看，是否以前有问题的网站现在都显示正常了。

注：

1、建议将第三步写成一个批处理文件，添加到启动项，否则每次启动之后将丢失配置。

2、如果是DNS服务器MAC地址被挟持，就处理相应DNS服务器MAC绑定。

3、以上方法只是治标，并没有治本，我们要共同尽快找到彻底清楚16a.us元凶（也就是说在局域网的电脑内，必定有一台电脑确实中毒了或被挂上木马了）的方法。

最近很多朋友都遇到16a.us病毒困挠，在看了我的好友 麦糊CEO 的一篇文章 《16a.us病毒（又一次ARP病毒欺骗攻击）解决方案》 之后，发现问题只是被简单绕过或者说是没有治本，出于对技术的执着，我一定要挖根揪底，把16a.us的元凶反法找到......

如果你的局域网里只有几台电脑便可采用最笨的办法，逐台扫描杀毒，但如果你管理着上百台，甚至上千台，上万台电脑那么处理起来就非常棘手，其实只要简单的办法就可以快速找到“元凶”，迅速解决问题。

通过分析ARP的原理我们可以总结出来，中毒的电脑将自己伪装为代理服务器，当你的电脑访问网关的时候MAC地址将为“元凶”的MAC，我们只要找到这台电脑分析和清除病毒后整个网络就恢复正常。

解决步骤：

1、进路由器查看“WAN设置”里的“WAN口MAC地址克隆”，找到图中红色线框里的MAC，发现并不是我们这台PC的MAC（我的电脑实际的MAC地址为00:14:2a:f8:ba:32），也就是说这个就是“元凶”的MAC地址，这样我们就找到真凶了



2、到了“元凶”那台电脑上一查看发现没有安装杀毒软件，迅速装上“360安全卫士”，先把启动项/系统进程的可疑文件禁止（也可以通过注册表），然后通过“查杀恶意软件”发现原来病毒是通过近期大名鼎鼎的高危险ANI鼠标指针漏洞植入的：）



3、安装杀毒软件彻底查杀病毒，如果安装好卡巴斯基后发现图标是灰色的，也就是说不能工作的时候，查看一下系统时间可以发现被更改为1966年了。其实就是病毒制造者在利用卡巴的这个漏洞把杀毒软件干掉，以使自己滋生蔓延。

防范私自修改IP地址的三种方法

阅读提示：在实际使用中遇到了经常有用户为了上网私自修改IP地址，从而造成网络冲突的问题。那么怎样才能防范私自修改IP地址,下面讲了三种方法.

我们单位所在局域网有100多台计算机，为了区分不同用户分配更详细的访问权限，我们采用的是设置固定IP的方法，而不是自动获取IP地址，再就是我们还要有一部分要连到互联网上。这样就要设两个子网如内网我们设为192.168.0.1网段，能连外网的我们设为192.168.1.1网段。在实际使用中遇到了经常有用户为了上网私自修改IP地址，从而造成网络冲突的问题。表现如下：

因为我们的计算机都是使用Windows XP系统的可以设两个以上的IP所以用户可以私自设置上两个网段的IP地址这样第一可以联入单位的局域网也可以连到因特网，这是公司不允许的。公司经理要求马上解决这个问题，要不然这个月的奖金就没了。

下面是我解决的过程和自己的一些心得，希望能给要解决这样问题的一些提示。

方法一，IP与MAC地址的绑定加上路由器的MAC过滤功能(我用的是TP-LINK路由器)

使用ARP -s 192.168.1.2 00-AO-43-E0-6A-84的命令，这样就将静态IP地址192.168.1.2与网卡地址为00-AO-43-E0-6A-84的计算机绑定在一起了，使别人就不能使用这个IP地址了。再进入路由器的MAC过滤功能选中只允许下列MAC的网卡地址连入外网把00-AO-43-E0-6A-84填入即可。

可是上面提到的方法虽然可以在一定程度上解决非法用户网络接入的问题和网络冲突的问题，但用户还是可以通过修改注册表，下载专用修改MAC小工具等方法，轻松更改了本机的MAC地址，甚至将本机的MAC地址和IP地址改得和上面能上网的机器一模一样。非法用户又可以非法使用网络了。并且我用的路由器MAC过滤功能只能填入16个MAC(我不是说TP-LINK的东东不好，只是我们用的那个价格太低了)。

方法二，交换机的MAC地址与端口绑定

我可以将交换机的MAC地址与端口绑定后，非法用户擅自改动本机网卡的MAC地址，该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现。这样他们想改也不敢了。

登录进入交换机(我单位用的是CISCO交换机，我想别的品牌的交换机也差不多)，输入管理口令进入配置模式:

敲入命令：(config)#mac_address_table permanent [MAC地址] [以太网端口号]

这样逐一地将每个端口与相应的计算机MAC地址进行绑定，保存退出后就彻底阻止了用户的非法修改。

方法三，防火墙与代理服务器

我个人感觉使用防火墙与代理服务器相结合，更能较好地解决IP地址盗用问题：防火墙用来隔离内部网络和外部网络，用户访问外部网络通过代理服务器进行。使用这样的办法是将IP防盗放到应用层来解决，变IP管理为用户身份和口令的管理，因为用户对于网络的使用归根结底是要使用网络进入因特网。这样实现的好处是，盗用IP地址只能在子网内使用，失去盗用的意义;合法用户可以选择任意一台IP主机使用，通过代理服务器访问外部网络资源，而无权用户即使盗用IP，也没有身份和密码，不能使用外部网络。

使用防火墙和代理服务器的缺点也是明显的，由于使用代理服务器访问外部网络对用户不是透明的，增加了用户西作的麻烦;另外，对于大数量的用户群来说，用户管理也是一个问题。

ARP地址解析协议原理及应用

我们知道，当我们在浏览器里面输入网址时，DNS服务器会自动把它解析为IP地址，浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物理地址（即MAC地址）的呢？在局域网中，这是通过ARP协议来完成的。ARP协议对网络安全具有重要的意义。

通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。所以网管们应深入理解ARP协议。

一、什么是ARP协议

　　ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

二、ARP协议的工作原理

　　在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如附表所示。

　　附表

　　　ip地址　　　　　　mac地址

　　192.168.1.1　　00－aa－00－62－c6－09

　　192.168.1.2　　00－aa－00－62－c5－03

　　192.168.1.3　　03－aa－01－75－c3－06

　　…… 　　　　　……

　　我们以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.1.1的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。

三、如何查看ARP缓存表

　　ARP缓存表是可以查看的，也可以添加和修改。在命令提示符下，输入“arp -a”就可以查看ARP缓存表中的内容了。

　　用“arp -d”命令可以删除ARP表中某一行的内容；用“arp -s”可以手动在ARP表中指定IP地址与MAC地址的对应。