ARP病毒查找與防範

時間 2021-01-02

標籤數據庫 windows 安全網絡 ide 工具雙向綁定網絡安全路由欄目系統安全简体版

原文原文鏈接

1、首先診斷是否爲ARP病毒***數據庫

一、當發現上網明顯變慢，或者忽然掉線時，咱們能夠用arp-命令來檢查ARP表：（點擊「開始」按鈕-選擇「運行」-輸入「cmd」點擊"肯定"按鈕，在窗口中輸入「arp-a」命令）若是發現網關的MAC地址發生了改變，或者發現有不少IP指向同一個物理地址，那麼確定就是ARP欺騙所致。windows

二、利用AntiARPSniffer軟件查看（詳細使用略）。安全

2、找出ARP病毒主機網絡

一、用「arp–d」命令，只能臨時解決上網問題，要從根本上解決問題，就得找到病毒主機。經過上面的arp–a命令，能夠斷定改變了的網關MAC地址或多個IP指向的物理地址，就是病毒機的MAC地址。哪麼對應這個MAC地址的主機又是哪一臺呢，windows中有ipconfig/all命令查看每臺的信息，但若是電腦數目多話，一臺臺查下去不是辦法，所以能夠下載一個叫「NBTSCAN」的軟件，它能夠取到PC的真實IP地址和MAC地址。ide

命令：「nbtscan-r192.168.80.0/24」（搜索整個192.168.80.0/24網段,即192.168.80.1-192.168.80.254）；或「nbtscan192.168.80.25-137」搜索192.168.80.25-137網段，即192.168.80.25-192.168.80.137。輸出結果第一列是IP地址，最後一列是MAC地址。這樣就可找到病毒主機的IP地址。工具

二、若是手頭一下沒這個軟件怎麼辦呢？這時也可在客戶機運行路由跟蹤命令如：tracert–dwww.163.com，立刻就發現第一條不是網關機的內網ip，而是本網段內的另一臺機器的IP，再下一跳纔是網關的內網IP；正常狀況是路由跟蹤執行後的輸出第一條應該是默認網關地址，由此斷定第一跳的那個非網關IP地址的主機就是罪魁禍首。雙向綁定

固然找到了IP以後，接下來是要找到這個IP具體所對應的機子了，若是你每臺電腦編了號，並使用固定IP，IP的設置也有規律的話，那麼就很快找到了。但若是不是上面這種狀況，IP設置又無規律，或者IP是動態獲取的那該怎麼辦呢？難道仍是要一個個去查？非也！你能夠這樣：把一臺機器的IP地址設置成與做祟機相同的相同，而後形成IP地址衝突，使中毒主機報警而後找到這個主機。網絡安全

3、處理病毒主機ip

一、用殺毒軟件查毒，殺毒。路由

二、建議重裝系統，一了百了。（固然你應注意除系統盤外其餘盤有無病毒）

4、如何防範ARP病毒***

一、從影響網絡鏈接通暢的方式來看，ARP欺騙分爲二種，一種是對路由器ARP表的欺騙；另外一種是對內網PC的網關欺騙。第一種ARP欺騙的原理是——截獲網關數據。它通知路由器一系列錯誤的內網MAC地址，並按照必定的頻率不斷進行，使真實的地址信息沒法經過更新保存在路由器中，結果路由器的全部數據只能發送給錯誤的MAC地址，形成正常PC沒法收到信息。第二種ARP欺騙的原理是——僞造網關。它的原理是創建假網關，讓被它欺騙的PC向假網關發數據，而不是經過正常的路由器途徑上網。在PC看來，就是上不了網了，「網絡掉線了」。所以不少人建議用戶採用雙向綁定的方法解決而且防止ARP欺騙，這個確實是最好解決的辦法，但若是電腦數量多的狀況下，在路由器上做綁定工做量將很大，我我的認爲主要作好在PC上綁定路由器的IP和MAC地址就好了，在PC上綁定能夠按下面方法作：

1）首先，得到路由器的內網的MAC地址（例如網關地址172.16.1.254的MAC地址爲0022aa0022ee）。

2）編寫一個批處理文件rarp.bat內容以下：

@echooff

arp-d

arp-s172.16.1.25400-22-aa-00-22-ee

將文件中的網關IP地址和MAC地址更改成您本身的網關IP地址和MAC地址便可。將這個批處理軟件拖到「windows--開始--程序--啓動」中。

這樣即減輕了一臺臺設置的麻煩，也避免了因爲電腦從新啓動使得數據又要重作的麻煩。固然最好電腦要有還原卡和保護系統，使得這個批處理不會被隨意刪除掉。

二、做爲網絡管理員，我認爲應該充分利用一些工具軟件，備一些經常使用的工具，就ARP而言，推薦在手頭準備這樣幾個軟件：

①「AntiARPSniffer」（使用AntiARPSniffer能夠防止利用ARP技術進行數據包截取以及防止利用ARP技術發送地址衝突數據包，並能查找***主機的IP及MAC地址）。

②「NBTSCAN」（NBTSCAN能夠取到PC的真實IP地址和MAC地址，利用它能夠知道局域網內每臺IP對應的MAC地址）

③「網絡執法官」（一款局域網管理輔助軟件，採用網絡底層協議，能穿透各客戶端防火牆對網絡中的每一臺主機、交換機等配有IP的網絡設備進行監控；採用網卡號（MAC）識別用戶，主要功能是依據管理員爲各主機限定的權限，實時監控整個局域網，並自動對非法用戶進行管理，可將非法用戶與網絡中某些主機或整個網絡隔離，並且不管局域網中的主機運行何種防火牆，都不能逃避監控，也不會引起防火牆警告，提升了網絡安全性）

三、定時檢查局域網病毒，對機器進行病毒掃描，平時給系統安裝好補丁程序，最好是局域網內每臺電腦保證有殺毒軟件（可升級）

四、指導好網絡內使用者不要隨便點擊打開QQ、MSN等聊天工具上發來的連接信息，不要隨便打開或運行陌生、可疑文件和程序，如郵件中的陌生附件，外掛程序等。

五、建議對局域網的每一臺電腦儘可能做用固定IP，路由器不啓用DHCP，對給網內的每一臺電腦編一個號，每個號對應一個惟一的IP，這樣有利用之後故障的查詢也方便管理。並利用「NBTSCAN」軟件查出每一IP對應的MAC地址，創建一個「電腦編號-IP地址-MAC地址」一一對應的數據庫。