也想出现在这里? 联系我们

ARP病毒查找与防范简易教程

作者 : 小编 本文共2381个字,预计阅读时间需要6分钟 发布时间: 2021-06-6 共1.08K人阅读
也想出现在这里? 联系我们

一、首先诊断是否为ARP病毒攻击

1、当发现上网明显变慢,或者突然掉线时,我们可以用arp-命令来检查ARP表:(点击“开始”按钮-选择“运行”-输入“cmd”点击"确定"按钮,在窗口中输入“arp-a”命令)如果发现网关的MAC地址发生了改变,或者发现有很多IP指向同一个物理地址,那么肯定就是ARP欺骗所致。

2、利用AntiARPSniffer软件查看(详细使用略)。

二、找出ARP病毒主机

1、用“arp–d”命令,只能临时解决上网问题,要从根本上解决问题,就得找到病毒主机。通过上面的arp–a命令,可以判定改变了的网关MAC地址或多个IP指向的物理地址,就是病毒机的MAC地址。哪么对应这个MAC地址的主机又是哪一台呢,windows中有ipconfig/all命令查看每台的信息,但如果电脑数目多话,一台台查下去不是办法,因此可以下载一个叫“NBTSCAN”的软件,它可以取到PC的真实IP地址和MAC地址。

命令:“nbtscan-r192.168.80.0/24”(搜索整个192.168.80.0/24网段,即192.168.80.1-192.168.80.254);或“nbtscan192.168.80.25-137”搜索192.168.80.25-137网段,即192.168.80.25-192.168.80.137。输出结果第一列是IP地址,最后一列是MAC地址。这样就可找到病毒主机的IP地址。

2、如果手头一下没这个软件怎么办呢?这时也可在客户机运行路由跟踪命令如:tracert–dwww.163.com,马上就发现第一条不是网关机的内网ip,而是本网段内的另外一台机器的IP,再下一跳才是网关的内网IP;正常情况是路由跟踪执行后的输出第一条应该是默认网关地址,由此判定第一跳的那个非网关IP地址的主机就是罪魁祸首。

当然找到了IP之后,接下来是要找到这个IP具体所对应的机子了,如果你每台电脑编了号,并使用固定IP,IP的设置也有规律的话,那么就很快找到了。但如果不是上面这种情况,IP设置又无规律,或者IP是动态获取的那该怎么办呢?难道还是要一个个去查?非也!你可以这样:把一台机器的IP地址设置成与作祟机相同的相同,然后造成IP地址冲突,使中毒主机报警然后找到这个主机。

三、处理病毒主机

1、用杀毒软件查毒,杀毒。

2、建议重装系统,一了百了。(当然你应注意除系统盘外其他盘有无病毒)

四、如何防范ARP病毒攻击

1、从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。因此很多人建议用户采用双向绑定的方法解决并且防止ARP欺骗,这个确实是最好解决的办法,但如果电脑数量多的情况下,在路由器上作绑定工作量将很大,我个人认为主要做好在PC上绑定路由器的IP和MAC地址就行了,在PC上绑定可以按下面方法做:

1)首先,获得路由器的内网的MAC地址(例如网关地址172.16.1.254的MAC地址为0022aa0022ee)。

2)编写一个批处理文件rarp.bat内容如下:

@echooff

arp-d

arp-s172.16.1.25400-22-aa-00-22-ee

将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。将这个批处理软件拖到“windows–开始–程序–启动”中。

这样即减轻了一台台设置的麻烦,也避免了由于电脑重新启动使得数据又要重做的麻烦。当然最好电脑要有还原卡和保护系统,使得这个批处理不会被随意删除掉。

2、作为网络管理员,我认为应该充分利用一些工具软件,备一些常用的工具,就ARP而言,推荐在手头准备这样几个软件:

①“AntiARPSniffer”(使用AntiARPSniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包,并能查找攻击主机的IP及MAC地址)。

②“NBTSCAN”(NBTSCAN可以取到PC的真实IP地址和MAC地址,利用它可以知道局域网内每台IP对应的MAC地址)

③“网络执法官”(一款局域网管理辅助软件,采用网络底层协议,能穿透各客户端防火墙对网络中的每一台主机、交换机等配有IP的网络设备进行监控;采用网卡号(MAC)识别用户,主要功能是依据管理员为各主机限定的权限,实时监控整个局域网,并自动对非法用户进行管理,可将非法用户与网络中某些主机或整个网络隔离,而且无论局域网中的主机运行何种防火墙,都不能逃避监控,也不会引发防火墙警告,提高了网络安全性)

3、定时检查局域网病毒,对机器进行病毒扫描,平时给系统安装好补丁程序,最好是局域网内每台电脑保证有杀毒软件(可升级)

4、指导好网络内使用者不要随便点击打开QQ、MSN等聊天工具上发来的链接信息,不要随便打开或运行陌生、可疑文件和程序,如邮件中的陌生附件,外挂程序等。

5、建议对局域网的每一台电脑尽量作用固定IP,路由器不启用DHCP,对给网内的每一台电脑编一个号,每一个号对应一个唯一的IP,这样有利用以后故障的查询也方便管理。并利用“NBTSCAN”软件查出每一IP对应的MAC地址,建立一个“电脑编号-IP地址-MAC地址”一一对应的数据库。

以上这个教程是关于ARP病毒查找与防范,希望对大家查找防范ARP病毒有所帮助。

1. 本站所提供的源码模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: rayer@88.com),我们会及时删除,给您带来的不便,我们深表歉意!
2. 分享目的仅供大家学习和交流,请不要用于商业用途!
3. 如果你也有好源码或者教程,可以到用户中心发布投稿,分享有金币奖励和额外收入!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务 请大家谅解!
5. 如有链接无法下载、失效或广告,请联系站长,可领回失去的金币,并额外有奖!
6. 如遇到加密压缩包,默认解压密码为"www.zyfx8.cn",如遇到无法解压的请联系管理员!
本站部分文章、资源来自互联网,版权归原作者及网站所有,如果侵犯了您的权利,请及时联系我站删除。免责声明
资源分享吧 » ARP病毒查找与防范简易教程

常见问题FAQ

免费下载或者VIP会员专享资源能否直接商用?
本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。

发表评论

Copyright 2015-2020 版权所有 资源分享吧 Rights Reserved. 蜀ICP备14022927号-1
开通VIP 享更多特权,建议使用QQ登录