电脑知识强化班_局域网_140_网吧频繁掉线

电脑知识强化班_局域网_140_网吧频繁掉线 网吧频繁掉线 各位仁兄大家好： 相信在网管在网吧工作时都会遇到网络掉线的问题，在无法查出掉线的原因时你的老板总是用异 样的眼光怀疑你的能力吧！，而你在努力过之后也无法查到掉线原因你自己的也包括也会怀疑自己 的能力。现在我就给大家说说传奇杀手引起网吧掉线的原因，也许我说的不是你要的问题，但总会 给你们一起帮助，这是我亲身经历过的。或许你在网吧查到关于网吧掉线的原因比我说的要详细 ，但是亲身经历过网吧掉线的问题我总是想与大家一起来分享。现在我来和大家说说网吧传奇杀手 引起网吧掉线的全过程吧！ 在2006年3月5号以后我的网吧就频繁掉线。我在检查时，却怎么也找不到原因。我查过病毒击攻 ，黑客入侵，网线，交换机，路由器后，我的目标落在了路由器上，因为在掉线后马上重启路由器 ，可以马上连接上网。后来我见意老板换一个路由器。结果没过两天还是频繁掉线。我真的没有办 法了。后来请过网通的工作人员来查查结果，他也是没有办法。在每次上班的时候老板总是用不信 认的眼光看我。我真的是苦恼呀。自己真是无能，我是一个合格的网管吗！~~~` 在网上论坛的时候网友们都说是我的路由器有问题，可是我换过了，结果还是一样的，在一次偶 然的时候我在网上发现了传奇杀手这个病毒的文章，看过之后我简直要发狂了，于是我照上面的提 示，做了一遍： arp /a 发现我的七号机器，和路由器的MAC地址是一样的。这说明我中了传奇杀手这个病毒，真 是一个无意中的兴奋啊！~~ 网吧传奇杀手简介： 网吧传奇杀手”病毒是瑞星全球反病毒监测网，在2004年7月14日截获一个专门窃取“传奇”游 戏密码的恶性木马病毒，并命名为“网吧传奇杀手（Trojan.PSW.LMir.qh）”。“网吧传奇杀手 ”病毒破解了《传奇2》的加密解密算法，通过截取局域网中的数据包，然后分析《传奇》游戏通 讯的方法截获用户的信息。在局域网中运行这个病毒后，就可以获得整个局域网中传奇玩家的 帐户和密码等信息。 传奇杀手工作过程： 网吧传奇杀手”木马病毒的工作原理，其实是对局域网中的机器进行Arp欺骗，虚拟网吧内部的 网关地址，以此来收集局域网中传奇游戏登录信息，通过解析《传奇2》加密方式从而得到用户信 息的破坏性软件。该软件只要在网吧的任何一台客户机上安装并且运行，就可以获取整个网吧内所 有的传奇游戏登录信息。 网吧传奇杀手”病毒工作时，首先在将安装有“网吧传奇杀手”机器的网卡MAC地址通过Arp欺 骗广播至整个局域网，使局域网中的工作站误认为安装“网吧传奇杀手”的机器是该局域网的网关 。由于局域网中的所有信息，都必须通过网关来中转，当网吧有此病毒在运行时，所有的传奇玩家 信息便绕过了真正的网关，传输到安装有“网吧传奇杀手”的机器中。当病毒程序搜集到局域网中 的相关信息后，通过解密《传奇2》的游戏通讯协议，可以获得所有传奇游戏玩家的帐户名称和密 码。这样，“网吧传奇杀手”木马病毒可以轻松盗取传奇玩家的帐户信息。 “网吧传奇杀手”木马病毒发作特征 ①网络连接短暂中断 当“网吧传奇杀手”病毒发作时，网吧所有的机器由于失去了真正的网关地址，网络连接会出现 短暂中断，当病毒搜集《传奇2》玩家信息操作完成后，网络便恢复正常。网络中断时间，一般会 在30秒到几分钟之间，持续时间不会太长。 ②网络中出现相同的MAC地址 病毒发作时，我们使用IPbook超级网上邻居、网吧过滤王实名制管理软件等网络管理软件查看网 络时，会发现局域网中存在着相同的MAC地址。如果有多台机器安装了“网吧传奇杀手”木马病毒 ，局域网中则会出现不同的IP地址中却存在相同的MAC地址。 如下是我的操作： arp /a Interface:192.168.1.41---0*1003 192.168.1.1 00-14-78-b1-ba-1e dynamic 192.168.1.6 00-14-2a-73-ac-84 192.168.1.7 00-14-78-b1-ba-1e ………………………………………… ipconfig /all Microsoft Windows [版本 5.2.3790] (C) 版权所有 1985-2003 Microsoft Corp. C:\Documents and Settings\Administrator>ipconfig /all Windows IP Configuration Host Name . . . . . . . . . . . . : o41 Primary Dns Suffix . . . . . . . : Node Type . . . . . . . . . . . . : Broadcast IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No Ethernet adapter 本地连接: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC Physical Address. . . . . . . . . : 00-14-2A-84-D6-17 DHCP Enabled. . . . . . . . . . . : No IP Address. . . . . . . . . . . . : 192.168.1.41 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.1.1 DNS Servers . . . . . . . . . . . : 202.96.64.68 这说明：我的7号机器和路由器的MAC地址是一样的，也就是说我中了传奇杀手木马了。 后来我就彻底的把七号机器重新克了一下。果然就是个问题现在已经好了。 ：我们遇到这样的问题，解决的最好办法就是把网卡MAC地址与路由的MAC地址捆绑这样 不会让传奇杀手有机可程，现在瑞星的最新升级病毒库包里可以查杀传奇杀手。好了就说这么多吧 希望能给大家带来快乐。 现在瑞星2006的18.18.40最新的病毒库可以查杀网吧传奇杀手木马,卡巴最新的病毒库也可以查 杀.要是有的朋友中了这类木马可以先用网络执法官收索网吧中客户机的mac址是否与路由器的 mac地址一样,只要有客户机与路由器的mac地址一样,你就可以确定是那台客户机中了木马.这样能 大大的提升收索效率. -------------------------------------------------------------------------------- 《我是网管》论坛，打造中国网管第一品牌！