千家信息网

ARP病毒查找与防范

发表于:2024-11-24 作者:千家信息网编辑
千家信息网最后更新 2024年11月24日,一、首先诊断是否为ARP病毒***1、当发现上网明显变慢,或者突然掉线时,我们可以用arp -a命令来检查ARP表:(点击"开始"按钮-选择"运行"-输入"cmd"点击"确定"按钮,在窗口中输入"ar
千家信息网最后更新 2024年11月24日ARP病毒查找与防范

一、首先诊断是否为ARP病毒***
1、当发现上网明显变慢,或者突然掉线时,我们可以用arp -a命令来检查ARP表:(点击"开始"按钮-选择"运行"-输入"cmd"点击"确定"按钮,在窗口中输入"arp -a"命令)如果发现网关的MAC地址发生了改变,或者发现有很多IP指向同一个物理地址,那么肯定就是ARP欺骗所致。
2、利用AntiARPSniffer软件或者使用360 arp防火墙查看。
二、找出ARP病毒主机
1、用"arp -d"命令,只能临时解决上网问题,要从根本上解决问题,就得找到病毒主机。通过上面的arp -a命令,可以判定改变了的网关MAC地址或多个IP指向的物理地址,就是病毒机的MAC地址。哪么对应这个MAC地址的主机又是哪一台呢,windows中有ipconfig/all命令查看每台的信息,但如果电脑数目多话,一台台查下去不是办法,因此可以下载一个叫"NBTSCAN"的软件,它可以取到PC的真实IP地址和MAC地址。
命令:"nbtscan -r 192.168.80.0/24"(搜索整个192.168.80.0/24网段,即192.168.80.1-192.168.80.254);或"nbtscan 192.168.80.25-137"搜索192.168.80.25-192.168.80.137。输出结果第一列是IP地址,最后一列是MAC地址。这样就可找到病毒主机的IP地址。
2、如果手头一下没这个软件怎么办呢?这时也可在客户机运行路由跟踪命令如:tracert -d 114.114.114.114,马上就发现第一条不是网关机的内网ip,而是本网段内的另外一台机器的IP,再下一跳才是网关的内网IP;正常情况是路由跟踪执行后的输出第一条应该是默认网关地址,由此判定第一跳的那个非网关IP地址的主机就是罪魁祸首。3、当然找到了IP之后,接下来是要找到这个IP具体所对应的机子了,如果你每台电脑编了号,并使用固定IP,IP的设置也有规律的话,那么就很快找到了。但如果不是上面这种情况,IP设置又无规律,或者IP是动态获取的那该怎么办呢?难道还是要一个个去查?非也!你可以这样:把一台机器的IP地址设置成与作祟机相同的相同,然后造成IP地址冲突,使中毒主机报警然后找到这个主机。
三、处理病毒主机
1、用杀毒软件查毒,杀毒。
2、建议重装系统,一了百了。(当然你应注意除系统盘外其他盘有无病毒)
四、如何防范ARP病毒***
1、从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是--截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是--伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,"网络掉线了"。因此很多人建议用户采用双向绑定的方法解决并且防止ARP欺骗,这个确实是最好解决的办法,但如果电脑数量多的情况下,在路由器上作绑定工作量将很大,我个人认为主要做好在PC上绑定路由器的IP和MAC地址就行了,在PC上绑定可以按下面方法做:
1)首先,获得路由器的内网的MAC地址(例如网关地址172.16.1.254的MAC地址为0022aa0022ee)。
2)编写一个批处理文件rarp.bat内容如下:
@echooff
br/>3、当然找到了IP之后,接下来是要找到这个IP具体所对应的机子了,如果你每台电脑编了号,并使用固定IP,IP的设置也有规律的话,那么就很快找到了。但如果不是上面这种情况,IP设置又无规律,或者IP是动态获取的那该怎么办呢?难道还是要一个个去查?非也!你可以这样:把一台机器的IP地址设置成与作祟机相同的相同,然后造成IP地址冲突,使中毒主机报警然后找到这个主机。
三、处理病毒主机
1、用杀毒软件查毒,杀毒。
2、建议重装系统,一了百了。(当然你应注意除系统盘外其他盘有无病毒)
四、如何防范ARP病毒***
1、从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是--截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是--伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,"网络掉线了"。因此很多人建议用户采用双向绑定的方法解决并且防止ARP欺骗,这个确实是最好解决的办法,但如果电脑数量多的情况下,在路由器上作绑定工作量将很大,我个人认为主要做好在PC上绑定路由器的IP和MAC地址就行了,在PC上绑定可以按下面方法做:
1)首先,获得路由器的内网的MAC地址(例如网关地址172.16.1.254的MAC地址为0022aa0022ee)。
2)编写一个批处理文件rarp.bat内容如下:
@echooff

arp -s 172.16.1.254 00-22-aa-00-22-ee
将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。将这个批处理软件拖到"windows--开始--程序--启动"中。
这样即减轻了一台台设置的麻烦,也避免了由于电脑重新启动使得数据又要重做的麻烦。当然最好电脑要有还原卡和保护系统,使得这个批处理不会被随意删除掉。
2、作为网络管理员,我认为应该充分利用一些工具软件,备一些常用的工具,就ARP而言,推荐在手头准备这样几个软件:
①"AntiARPSniffer"(使用AntiARPSniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包,并能查找***主机的IP及MAC地址)。
②"NBTSCAN"(NBTSCAN可以取到PC的真实IP地址和MAC地址,利用它可以知道局域网内每台IP对应的MAC地址)
③"网络执法官"(一款局域网管理辅助软件,采用网络底层协议,能穿透各客户端防火墙对网络中的每一台主机、交换机等配有IP的网络设备进行监控;采用网卡号(MAC)识别用户,主要功能是依据管理员为各主机限定的权限,实时监控整个局域网,并自动对非法用户进行管理,可将非法用户与网络中某些主机或整个网络隔离,而且无论局域网中的主机运行何种防火墙,都不能逃避监控,也不会引发防火墙警告,提高了网络安全性)
3、定时检查局域网病毒,对机器进行病毒扫描,平时给系统安装好补丁程序,最好是局域网内每台电脑保证有杀毒软件(可升级)
4、指导好网络内使用者不要随便点击打开QQ、MSN等聊天工具上发来的链接信息,不要随便打开或运行陌生、可疑文件和程序,如邮件中的陌生附件,外挂程序等。
5、建议对局域网的每一台电脑尽量作用固定IP,路由器不启用DHCP,对给网内的每一台电脑编一个号,每一个号对应一个唯一的IP,这样有利用以后故障的查询也方便管理。并利用"NBTSCAN"软件查出每一IP对应的MAC地址,建立一个"电脑编号-IP地址-MAC地址"一一对应的数据库。

地址 网关 路由 路由器 主机 病毒 网络 电脑 软件 数据 命令 局域 局域网 信息 原理 系统 就是 建议 情况 用户 数据库的安全要保护哪些东西 数据库安全各自的含义是什么 生产安全数据库录入 数据库的安全性及管理 数据库安全策略包含哪些 海淀数据库安全审计系统 建立农村房屋安全信息数据库 易用的数据库客户端支持安全管理 连接数据库失败ssl安全错误 数据库的锁怎样保障安全 有网络但是微信登录不了服务器 数据库安全控制的方法是 消费返积分软件开发 网络安全政策环境分析 哪个动态ip服务器好 微信网络安全知识有奖竞答 三调数据库建设技术路线 电脑服务器密码是什么东西 中琅打标签数据库导入日期不行 网络安全宣传周采访发言 交通行业网络安全防护方案报价 软件开发人员主要做什么工作 注册表中的网络安全设置 内存数据库服务器 网络安全中密文的含义 有什么警校文科能报网络安全 互联网与浩洋科技合作 捷克解说宝可梦空岛服务器 题录型数据库典型类型 接口测试 数据库处理很慢 全国网络技术联盟论坛 jdbc用于数据库链接的对象是 安徽存储服务器机箱定做 停车场收费系统数据库 数据库报表是按什么设计 代理服务器访问网站加速 蓝睿网络技术有限公司 福建购买网络技术咨询报价表 关于软件开发公司年会搞笑小品 论文数据库优点
0