arp病毒的查找與防范

1、ARP 病毒查找與防范 當(dāng)今 , 隨著網(wǎng)絡(luò)的快速發(fā)展 , 網(wǎng)絡(luò)的安全也顯得尤為重要 , 那我們?cè)趺床拍苡行У胤婪陡鞣N病 毒呢 ? 如下我們給大家介紹一些 ARP 病毒查找與防范的相關(guān)內(nèi)容。AD :一、首先診斷是否為 ARP 病毒攻擊1、當(dāng)發(fā)現(xiàn)上網(wǎng)明顯變慢,或者突然掉線時(shí),我們可以用 arp-命令來檢查 ARP 表:(點(diǎn) 擊 開始 按鈕 -選擇 運(yùn)行 -輸入 cmd 點(diǎn)擊 " 確定 " 按鈕, 在窗口中輸入 arp-a 命令 如果發(fā) 現(xiàn)網(wǎng)關(guān)的 MAC 地址發(fā)生了改變,或者發(fā)現(xiàn)有很多 IP 指向同一個(gè)物理地址,那么肯定就是 ARP 欺騙所致。2、利用 AntiARPSniffe

2、r 軟件查看(詳細(xì)使用略 。二、找出 ARP 病毒主機(jī)1、用 arp d 命令,只能臨時(shí)解決上網(wǎng)問題,要從根本上解決問題,就得找到病毒主 機(jī)。 通過上面的 arp a 命令, 可以判定改變了的網(wǎng)關(guān) MAC 地址或多個(gè) IP 指向的物理地址, 就是病毒機(jī)的 MAC 地址。哪么對(duì)應(yīng)這個(gè) MAC 地址的主機(jī)又是哪一臺(tái)呢, windows 中有 ipconfig/all命令查看每臺(tái)的信息,但如果電腦數(shù)目多話,一臺(tái)臺(tái)查下去不是辦法,因此可 以下載一個(gè)叫 NBTSCAN 的軟件,它可以取到 PC 的真實(shí) IP 地址和 MAC 地址。當(dāng)然找到了 IP 之后, 接下來是要找到這個(gè) IP 具體所對(duì)應(yīng)的機(jī)子了,

3、如果你每臺(tái)電腦編 了號(hào),并使用固定 IP , IP 的設(shè)置也有規(guī)律的話,那么就很快找到了。但如果不是上面這種 情況, IP 設(shè)置又無規(guī)律,或者 IP 是動(dòng)態(tài)獲取的那該怎么辦呢?難道還是要一個(gè)個(gè)去查?非 也! 你可以這樣:把一臺(tái)機(jī)器的 IP 地址設(shè)置成與作祟機(jī)相同的相同, 然后造成 IP 地址沖突, 使中毒主機(jī)報(bào)警然后找到這個(gè)主機(jī)。三、處理病毒主機(jī)1、用殺毒軟件查毒,殺毒。2、建議重裝系統(tǒng),一了百了。 (當(dāng)然你應(yīng)注意除系統(tǒng)盤外其他盤有無病毒四、如何防范 ARP 病毒攻擊1、從影響網(wǎng)絡(luò)連接通暢的方式來看, ARP 欺騙分為二種,一種是對(duì)路由器 ARP 表的 欺騙;另一種是對(duì)內(nèi)網(wǎng) PC 的網(wǎng)關(guān)欺騙。

4、第一種 ARP 欺騙的原理是 截獲網(wǎng)關(guān)數(shù)據(jù)。它 通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng) MAC 地址, 并按照一定的頻率不斷進(jìn)行, 使真實(shí)的地址信息 無法通過更新保存在路由器中, 結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的 MAC 地址, 造成 正常 PC 無法收到信息。第二種 ARP 欺騙的原理是 偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān), 讓被它欺騙的 PC 向假網(wǎng)關(guān)發(fā)數(shù)據(jù),而不是通過正常的路由器途徑上網(wǎng)。在 PC 看來,就是 上不了網(wǎng)了, 網(wǎng)絡(luò)掉線了 。因此很多人建議用戶采用雙向綁定的方法解決并且防止 ARP 欺騙, 這個(gè)確實(shí)是最好解決的辦法, 但如果電腦數(shù)量多的情況下, 在路由器上作綁定工作量 將很大, 我個(gè)人認(rèn)

5、為主要做好在 PC 上綁定路由器的 IP 和 MAC 地址就行了, 在 PC 上綁定可以按下面方法做:2編寫一個(gè)批處理文件 rarp.bat 內(nèi)容如下:echooffarp-d將文件中的網(wǎng)關(guān) IP 地址和 MAC 地址更改為您自己的網(wǎng)關(guān) IP 地址和 MAC 地址即可。 將這個(gè)批處理軟件拖到 windows-開始 -程序 -啟動(dòng) 中。這樣即減輕了一臺(tái)臺(tái)設(shè)置的麻煩,也避免了由于電腦重新啟動(dòng)使得數(shù)據(jù)又要重做的麻 煩。當(dāng)然最好電腦要有還原卡和保護(hù)系統(tǒng),使得這個(gè)批處理不會(huì)被隨意刪除掉。2、作為網(wǎng)絡(luò)管理員,我認(rèn)為應(yīng)該充分利用一些工具軟件,備一些常用的工具,就 ARP 而言,推薦在手頭準(zhǔn)備這樣幾個(gè)軟件:

6、AntiARPSniffer (使用 AntiARPSniffer 可以防止利用 ARP 技術(shù)進(jìn)行數(shù)據(jù)包截取以 及防止利用 ARP 技術(shù)發(fā)送地址沖突數(shù)據(jù)包,并能查找攻擊主機(jī)的 IP 及 MAC 地址 。 NBTSCAN (NBTSCAN 可以取到 PC 的真實(shí) IP 地址和 MAC 地址,利用它可以知 道局域網(wǎng)內(nèi)每臺(tái) IP 對(duì)應(yīng)的 MAC 地址 網(wǎng)絡(luò)執(zhí)法官 (一款局域網(wǎng)管理輔助軟件,采用網(wǎng)絡(luò)底層協(xié)議,能穿透各客戶端防火 墻對(duì)網(wǎng)絡(luò)中的每一臺(tái)主機(jī)、交換機(jī)等配有 IP 的網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)控;采用網(wǎng)卡號(hào)(MAC 識(shí) 別用戶, 主要功能是依據(jù)管理員為各主機(jī)限定的權(quán)限, 實(shí)時(shí)監(jiān)控整個(gè)局域網(wǎng), 并自動(dòng)對(duì)非法 用戶進(jìn)行管理, 可將非法用戶與網(wǎng)絡(luò)中某些主機(jī)或整個(gè)網(wǎng)絡(luò)隔離, 而且無論局域網(wǎng)中的主機(jī) 運(yùn)行何種防火墻,都不能逃避監(jiān)控,也不會(huì)引發(fā)防火墻警告,提高了網(wǎng)絡(luò)安全性3、定時(shí)檢查局域網(wǎng)病毒,對(duì)機(jī)器進(jìn)行病毒掃描,平時(shí)給系統(tǒng)安裝好補(bǔ)丁程序,最好是 局域網(wǎng)內(nèi)每臺(tái)電腦保證有殺毒軟件(可升級(jí)4、指導(dǎo)好網(wǎng)絡(luò)內(nèi)使用者不要隨便點(diǎn)擊打開 QQ 、 MSN 等聊天工具上發(fā)來的鏈接信息, 不要隨便打開或運(yùn)行陌生、可疑文件和程序,如郵件中的陌生附件,外掛程序等。5、建議對(duì)局域網(wǎng)的每一臺(tái)電腦盡量作用固定 IP ,路由器不啟用 DHCP ,對(duì)給網(wǎng)內(nèi)的每 一臺(tái)電