arp病毒查殺:手動查殺ARP病毒

如何檢查和處理「 ARP 欺騙」木馬的方法
1 .檢查本機的「 ARP 欺騙」木馬染毒進程

同時按住鍵盤上的「 CTRL 」和「 ALT 」鍵再按「 DEL 」鍵,選擇「任務管理器」,點選「進程」標籤。察看其中是否有一個名爲「 MIR0.dat 」的進程。若是有,則說明已經中毒。右鍵點擊此進程後選擇「結束進程」。參見右圖。

2 .檢查網內感染「 ARP 欺騙」木馬染毒的計算機
在「開始」 - 「程序」 - 「附件」菜單下調出「命令提示符」。輸入並執行如下命令:
ipconfig
記錄網關 IP 地址,即「 Default Gateway 」對應的值,例如「 59.66.36.1 」。再輸入並執行如下命令:
arp –a
在「 Internet Address 」下找到上步記錄的網關 IP 地址,記錄其對應的物理地址,即「 Physical Address 」值,例如「 00-01-e8-1f-35-54 」。在網絡正常時這就是網關的正確物理地址,在網絡受「 ARP 欺騙」木馬影響而不正常時,它就是木馬所在計算機的網卡物理地址。
也能夠掃描本子網內的所有 IP 地址,而後再查 ARP 表。若是有一個 IP 對應的物理地址與網關的相同,那麼這個 IP 地址和物理地址就是中毒計算機的 IP 地址和網卡物理地址。

3 .設置 ARP 表避免「 ARP 欺騙」木馬影響的方法
本方法可在必定程度上減輕中木馬的其它計算機對本機的影響。用上邊介紹的方法肯定正確的網關 IP 地址和網關物理地址,而後在 「命令提示符」窗口中輸入並執行如下命令:
arp –s 網關 IP 網關物理地址

4.態ARP綁定網關
步驟一:
在能正常上網時,進入MS-DOS窗口,輸入命令:arp -a,查看網關的IP對應的正確MAC地址, 並將其記錄下來。
注意:若是已經不能上網,則先運行一次命令arp -d將arp緩存中的內容刪空,計算機可暫時恢復上網(攻擊若是不中止的話)。一旦能上網就當即將網絡斷掉(禁用網卡或拔掉網線),再運行arp -a。
步驟二:
若是計算機已經有網關的正確MAC地址,在不能上網只需手工將網關IP和正確的MAC地址綁定,便可確保計算機再也不被欺騙攻擊。
要想手工綁定,可在MS-DOS窗口下運行如下命令:
arp -s 網關IP 網關MAC
例如:假設計算機所處網段的網關爲192.168.1.1,本機地址爲192.168.1.5,在計算機上運行arp -a後輸出以下:
Cocuments and Settings>arp -a
Interface:192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 dynamic
其中,00-01-02-03-04-05就是網關192.168.1.1對應的MAC地址,類型是動態(dynamic)的,所以是可被改變的。
被攻擊後,再用該命令查看,就會發現該MAC已經被替換成攻擊機器的MAC。若是但願能找出攻擊機器,完全根除攻擊,能夠在此時將該MAC記錄下來,爲之後查找該攻擊的機器作準備。
手工綁定的命令爲:
arp -s 192.168.1.1 00-01-02-03-04-05
綁定完,可再用arp -a查看arp緩存:
Cocuments and Settings>arp -a
Interface: 192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 static
這時,類型變爲靜態(static),就不會再受攻擊影響了。
可是,須要說明的是,手工綁定在計算機關機重啓後就會失效,須要再次從新綁定。因此,要完全根除攻擊,只有找出網段內被病毒感染的計算機,把病毒殺掉,纔算是真正解決問題。

5 .做批處理文件
在客戶端作對網關的arp綁定,具體操做步驟以下:
步驟一:
查找本網段的網關地址,好比192.168.1.1,如下以此網關爲例。在正常上網時,「開始→運行→cmd→肯定」,輸入:arp -a,點回車,查看網關對應的Physical Address。
好比:網關192.168.1.1 對應00-01-02-03-04-05。
步驟二:
編寫一個批處理文件rarp.bat,內容以下:
@echo off
arp -d
arp -s 192.168.1.1 00-01-02-03-04-05
保存爲:rarp.bat。
步驟三:
運行批處理文件將這個批處理文件拖到「Windows→開始→程序→啓動」中,若是須要當即生效,請運行此文件。
注意:以上配置須要在網絡正常時進行

6.使用安全工具軟件
及時下載Anti ARP Sniffer軟件保護本地計算機正常運行。具體使用方法能夠在網上搜索。
若是已有病毒計算機的MAC地址,可以使用NBTSCAN等軟件找出網段內與該MAC地址對應的IP,即感染病毒的計算機的IP地址,而後報告單位的網絡中心對其進行查封。
或者利用單位提供的集中網絡防病毒系統來統一查殺木馬。另外還能夠利用木馬殺客等安全工具進行查殺。


另外給出arp命令的參數供參考 arp 顯示和修改「地址解析協議 (ARP)」緩存中的項目。ARP 緩存中包含一個或多個表,它們用於存儲 IP 地址及其通過解析的以太網或令牌環物理地址。計算機上安裝的每個以太網或令牌環網絡適配器都有本身單獨的表。若是在沒有參數的狀況下使用,則 arp 命令將顯示幫助信息。 語法 arp[-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]] 參數 -a[ InetAddr] [ -N IfaceAddr] 顯示全部接口的當前 ARP 緩存表。要顯示特定 IP 地址的 ARP 緩存項,請使用帶有 InetAddr 參數的 arp -a,此處的 InetAddr 表明 IP 地址。若是未指定 InetAddr,則使用第一個適用的接口。要顯示特定接口的 ARP 緩存表,請將 -N IfaceAddr 參數與 -a 參數一塊兒使用,此處的 IfaceAddr 表明指派給該接口的 IP 地址。-N 參數區分大小寫。 -g[ InetAddr] [ -N IfaceAddr] 與 -a 相同。 -d InetAddr [IfaceAddr] 刪除指定的 IP 地址項,此處的 InetAddr 表明 IP 地址。對於指定的接口,要刪除表中的某項,請使用 IfaceAddr 參數,此處的 IfaceAddr 表明指派給該接口的 IP 地址。要刪除全部項,請使用星號 (*) 通配符代替 InetAddr。 -s InetAddr EtherAddr [IfaceAddr] 向 ARP 緩存添加可將 IP 地址 InetAddr 解析成物理地址 EtherAddr 的靜態項。要向指定接口的表添加靜態 ARP 緩存項,請使用 IfaceAddr 參數,此處的 IfaceAddr 表明指派給該接口的 IP 地址。 /? 在命令提示符下顯示幫助。 註釋 ? InetAddr 和 IfaceAddr 的 IP 地址用帶圓點的十進制記數法表示。 ? EtherAddr 的物理地址由六個字節組成,這些字節用十六進
相關文章
相關標籤/搜索