一、首先診斷是否為ARP病毒攻擊
1、當(dāng)發(fā)現(xiàn)上網(wǎng)明顯變慢,或者突然掉線時(shí),我們可以用arp-命令來(lái)檢查ARP表:(點(diǎn)擊“開始”按鈕-選擇“運(yùn)行”-輸入“cmd”點(diǎn)擊"確定"按鈕,在窗口中輸入“arp-a”命令)如果發(fā)現(xiàn)網(wǎng)關(guān)的MAC地址發(fā)生了改變,或者發(fā)現(xiàn)有很多IP指向同一個(gè)物理地址,那么肯定就是ARP欺騙所致。
2、利用AntiARPSniffer軟件查看(詳細(xì)使用略)。
二、找出ARP病毒主機(jī)
1、用“arp–d”命令,只能臨時(shí)解決上網(wǎng)問題,要從根本上解決問題,就得找到病毒主機(jī)。通過上面的arp–a命令,可以判定改變了的網(wǎng)關(guān)MAC地址或多個(gè)IP指向的物理地址,就是病毒機(jī)的MAC地址。哪么對(duì)應(yīng)這個(gè)MAC地址的主機(jī)又是哪一臺(tái)呢,windows中有ipconfig/all命令查看每臺(tái)的信息,但如果電腦數(shù)目多話,一臺(tái)臺(tái)查下去不是辦法,因此可以下載一個(gè)叫“NBTSCAN”的軟件,它可以取到PC的真實(shí)IP地址和MAC地址。
命令:“nbtscan-r192.168.80.0/24”(搜索整個(gè)192.168.80.0/24網(wǎng)段,即192.168.80.1-192.168.80.254);或“nbtscan192.168.80.25-137”搜索192.168.80.25-137網(wǎng)段,即192.168.80.25-192.168.80.137。輸出結(jié)果第一列是IP地址,最后一列是MAC地址。這樣就可找到病毒主機(jī)的IP地址。
2、如果手頭一下沒這個(gè)軟件怎么辦呢?這時(shí)也可在客戶機(jī)運(yùn)行路由跟蹤命令如:tracert–dwww.163.com,馬上就發(fā)現(xiàn)第一條不是網(wǎng)關(guān)機(jī)的內(nèi)網(wǎng)ip,而是本網(wǎng)段內(nèi)的另外一臺(tái)機(jī)器的IP,再下一跳才是網(wǎng)關(guān)的內(nèi)網(wǎng)IP;正常情況是路由跟蹤執(zhí)行后的輸出第一條應(yīng)該是默認(rèn)網(wǎng)關(guān)地址,由此判定第一跳的那個(gè)非網(wǎng)關(guān)IP地址的主機(jī)就是罪魁禍?zhǔn)住?/P>
當(dāng)然找到了IP之后,接下來(lái)是要找到這個(gè)IP具體所對(duì)應(yīng)的機(jī)子了,如果你每臺(tái)電腦編了號(hào),并使用固定IP,IP的設(shè)置也有規(guī)律的話,那么就很快找到了。但如果不是上面這種情況,IP設(shè)置又無(wú)規(guī)律,或者IP是動(dòng)態(tài)獲取的那該怎么辦呢?難道還是要一個(gè)個(gè)去查?非也!你可以這樣:把一臺(tái)機(jī)器的IP地址設(shè)置成與作祟機(jī)相同的相同,然后造成IP地址沖突,使中毒主機(jī)報(bào)警然后找到這個(gè)主機(jī)。
三、處理病毒主機(jī)
1、用殺毒軟件查毒,殺毒。
2、建議重裝系統(tǒng),一了百了。(當(dāng)然你應(yīng)注意除系統(tǒng)盤外其他盤有無(wú)病毒)
四、如何防范ARP病毒攻擊
1、從影響網(wǎng)絡(luò)連接通暢的方式來(lái)看,ARP欺騙分為二種,一種是對(duì)路由器ARP表的欺騙;另一種是對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址,并按照一定的頻率不斷進(jìn)行,使真實(shí)的地址信息無(wú)法通過更新保存在路由器中,結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址,造成正常PC無(wú)法收到信息。第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān),讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù),而不是通過正常的路由器途徑上網(wǎng)。在PC看來(lái),就是上不了網(wǎng)了,“網(wǎng)絡(luò)掉線了”。因此很多人建議用戶采用雙向綁定的方法解決并且防止ARP欺騙,這個(gè)確實(shí)是最好解決的辦法,但如果電腦數(shù)量多的情況下,在路由器上作綁定工作量將很大,我個(gè)人認(rèn)為主要做好在PC上綁定路由器的IP和MAC地址就行了,在PC上綁定可以按下面方法做:
1)首先,獲得路由器的內(nèi)網(wǎng)的MAC地址(例如網(wǎng)關(guān)地址172.16.1.254的MAC地址為0022aa0022ee)。
2)編寫一個(gè)批處理文件rarp.bat內(nèi)容如下:
@echooff
arp-d
arp-s172.16.1.25400-22-aa-00-22-ee
將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為您自己的網(wǎng)關(guān)IP地址和MAC地址即可。將這個(gè)批處理軟件拖到“windows--開始--程序--啟動(dòng)”中。
這樣即減輕了一臺(tái)臺(tái)設(shè)置的麻煩,也避免了由于電腦重新啟動(dòng)使得數(shù)據(jù)又要重做的麻煩。當(dāng)然最好電腦要有還原卡和保護(hù)系統(tǒng),使得這個(gè)批處理不會(huì)被隨意刪除掉。
2、作為網(wǎng)絡(luò)管理員,我認(rèn)為應(yīng)該充分利用一些工具軟件,備一些常用的工具,就ARP而言,推薦在手頭準(zhǔn)備這樣幾個(gè)軟件:
①“AntiARPSniffer”(使用AntiARPSniffer可以防止利用ARP技術(shù)進(jìn)行數(shù)據(jù)包截取以及防止利用ARP技術(shù)發(fā)送地址沖突數(shù)據(jù)包,并能查找攻擊主機(jī)的IP及MAC地址)。
②“NBTSCAN”(NBTSCAN可以取到PC的真實(shí)IP地址和MAC地址,利用它可以知道局域網(wǎng)內(nèi)每臺(tái)IP對(duì)應(yīng)的MAC地址)
③“網(wǎng)絡(luò)執(zhí)法官”(一款局域網(wǎng)管理輔助軟件,采用網(wǎng)絡(luò)底層協(xié)議,能穿透各客戶端防火墻對(duì)網(wǎng)絡(luò)中的每一臺(tái)主機(jī)、交換機(jī)等配有IP的網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)控;采用網(wǎng)卡號(hào)(MAC)識(shí)別用戶,主要功能是依據(jù)管理員為各主機(jī)限定的權(quán)限,實(shí)時(shí)監(jiān)控整個(gè)局域網(wǎng),并自動(dòng)對(duì)非法用戶進(jìn)行管理,可將非法用戶與網(wǎng)絡(luò)中某些主機(jī)或整個(gè)網(wǎng)絡(luò)隔離,而且無(wú)論局域網(wǎng)中的主機(jī)運(yùn)行何種防火墻,都不能逃避監(jiān)控,也不會(huì)引發(fā)防火墻警告,提高了網(wǎng)絡(luò)安全性)
3、定時(shí)檢查局域網(wǎng)病毒,對(duì)機(jī)器進(jìn)行病毒掃描,平時(shí)給系統(tǒng)安裝好補(bǔ)丁程序,最好是局域網(wǎng)內(nèi)每臺(tái)電腦保證有殺毒軟件(可升級(jí))
4、指導(dǎo)好網(wǎng)絡(luò)內(nèi)使用者不要隨便點(diǎn)擊打開QQ、MSN等聊天工具上發(fā)來(lái)的鏈接信息,不要隨便打開或運(yùn)行陌生、可疑文件和程序,如郵件中的陌生附件,外掛程序等。
5、建議對(duì)局域網(wǎng)的每一臺(tái)電腦盡量作用固定IP,路由器不啟用DHCP,對(duì)給網(wǎng)內(nèi)的每一臺(tái)電腦編一個(gè)號(hào),每一個(gè)號(hào)對(duì)應(yīng)一個(gè)唯一的IP,這樣有利用以后故障的查詢也方便管理。并利用“NBTSCAN”軟件查出每一IP對(duì)應(yīng)的MAC地址,建立一個(gè)“電腦編號(hào)-IP地址-MAC地址”一一對(duì)應(yīng)的數(shù)據(jù)庫(kù)。
以上這個(gè)教程是關(guān)于ARP病毒查找與防范,希望對(duì)大家查找防范ARP病毒有所幫助。