ARP防治攻略————服務器防禦

根據ARP***的原理，如下介紹全面的防治解決方法，採用下面的解決方法二加方法三，效果就不錯了，固然交換機性能許可狀況下，最好仍是加上交換機綁定MAC地址、服務器端綁定IP  MAC。
　　本文是轉載網上的資料，在此感謝對技術無私分享的同仁們！

先了解ARP變種病毒的特性吧：
　　1、破壞你的ARP雙向綁定批出理
　　2、中毒機器改變成代理服務器又叫代理路由
　　3、改變路由的網關MAC地址和internat網關的MAC地址同樣
　　病毒發做狀況：如今的ARP變種 不是***客戶機的MAC地址***路由內網網關，改變了它的原理，這點實在佩服 ，直接***您的路由的什麼地址你知道嗎？哈哈~~猜猜吧~~不賣關了~~新的變種ARP直接***您路由的MAC地址和外網網關 ，並且直接就把綁定IP　MAC的批處理文件禁用了。一下子全掉線，一下子是幾臺幾臺的掉線。並且 中了ARP的電腦會把那臺電腦轉變成內網的代理服務器進行盜號和發動***。若是你們發現中了ARP沒有掉線，那說明你中了最新的變種，你只要重啓了那臺中了ARP病毒的電腦，那麼受到ARP***的機子就會所有掉線 ，內網的網關不掉包，而外網的IP和DNS狂掉，這點也是ARP變種的出現的狀況，請你們留意。
在最後會公佈解決的案例和相關補丁，請你們看徹底文可能對你有幫助哦，不要急着下~呵呵~
　　該病毒發做時候的特徵爲，中毒的機器會僞造某臺電腦的MAC地址，如該僞造地址爲網關服務器的地址，那麼對整個網吧均會形成影響，用戶表現爲上網常常瞬斷。
　　1、在任意客戶機上進入命令提示符(或MS-DOS方式)，用arp –a命令查看：
C:\WINNT\system32>arp -a

Interface: 192.168.0.193 on Interface 0x1000003
Internet Address Physical Address Type
192.168.0.1 00-50-da-8a-62-2c dynamic
192.168.0.23 00-11-2f-43-81-8b dynamic
192.168.0.24 00-50-da-8a-62-2c dynamic
192.168.0.25 00-05-5d-ff-a8-87 dynamic
192.168.0.200 00-50-ba-fa-59-fe dynamic
能夠看到有兩個機器的MAC地址相同，那麼實際檢查結果爲 00-50-da-8a-62-2c爲192.168.0.24的MAC地址，192.168.0.1的實際MAC地址爲00-02-ba-0b-04-32，咱們能夠斷定192.168.0.24實際上爲有病毒的機器，它僞造了192.168.0.1的MAC地址。
　　2、在192.168.0.24上進入命令提示符(或MS-DOS方式)，用arp –a命令查看：
C:\WINNT\system32>arp -a
Interface: 192.168.0.24 on Interface 0x1000003
Internet Address Physical Address Type
192.168.0.1 00-02-ba-0b-04-32 dynamic
192.168.0.23 00-11-2f-43-81-8b dynamic
192.168.0.25 00-05-5d-ff-a8-87 dynamic
192.168.0.193 00-11-2f-b2-9d-17 dynamic
192.168.0.200 00-50-ba-fa-59-fe dynamic
　　能夠看到帶病毒的機器上顯示的MAC地址是正確的，並且該機運行速度緩慢，應該爲全部流量在二層經過該機進行轉發而致使，該機重啓後網吧內全部電腦都不能上網，只有等arp刷新MAC地址後才正常，通常在二、3分鐘左右。
　　3、若是主機能夠進入dos窗口，用arp –a命令能夠看到相似下面的現象：
C:\WINNT\system32>arp -a
Interface: 192.168.0.1 on Interface 0x1000004
Internet Address Physical Address Type
192.168.0.23 00-50-da-8a-62-2c dynamic
192.168.0.24 00-50-da-8a-62-2c dynamic
192.168.0.25 00-50-da-8a-62-2c dynamic
192.168.0.193 00-50-da-8a-62-2c dynamic
192.168.0.200 00-50-da-8a-62-2c dynamic
　　該病毒不發做的時候，在代理服務器上看到的地址狀況以下：
C:\WINNT\system32>arp -a
Interface: 192.168.0.1 on Interface 0x1000004
Internet Address Physical Address Type
192.168.0.23 00-11-2f-43-81-8b dynamic
192.168.0.24 00-50-da-8a-62-2c dynamic
192.168.0.25 00-05-5d-ff-a8-87 dynamic
192.168.0.193 00-11-2f-b2-9d-17 dynamic
192.168.0.200 00-50-ba-fa-59-fe dynamic

　　病毒發做的時候，能夠看到全部的ip地址的mac地址被修改成00-50-da-8a-62-2c，正常的時候能夠看到MAC地址均不會相同。

一步一步按步驟操做

解決辦法一：
　　1、採用客戶機及網關服務器上進行靜態ARP綁定的辦法來解決。
　　1． 在全部的客戶端機器上作網關服務器的ARP靜態綁定。
首先在網關服務器（代理主機）的電腦上查看本機MAC地址
C:\WINNT\system32>ipconfig /all
Ethernet adapter 本地鏈接 2:
Connection-specific DNS Suffix . :
Descript_ion . . . . . . . . . . . : Intel? PRO/100B PCI Adapter (TX)
Physical Address. . . . . . . . . : 00-02-ba-0b-04-32
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.1
Subnet Mask . . . . . . . . . . . : 255.255.255.0
而後在客戶機器的DOS命令下作ARP的靜態綁定
C:\WINNT\system32>arp –s 192.168.0.1 00-02-ba-0b-04-32
注：若有條件，建議在客戶機上作全部其餘客戶機的IP和MAC地址綁定。

　　2． 在網關服務器（代理主機）的電腦上作客戶機器的ARP靜態綁定
首先在全部的客戶端機器上查看IP和MAC地址，命令如上。
而後在代理主機上作全部客戶端服務器的ARP靜態綁定。如：
C:\winnt\system32> arp –s 192.168.0.23 00-11-2f-43-81-8b
C:\winnt\system32> arp –s 192.168.0.24 00-50-da-8a-62-2c
C:\winnt\system32> arp –s 192.168.0.25 00-05-5d-ff-a8-87
　　3． 以上ARP的靜態綁定最後作成一個windows自啓動文件，讓電腦一啓動就執行以上操做，保證配置不丟失。
　　2、有條件的網吧能夠在交換機內進行IP地址與MAC地址綁定
　　3、IP和MAC進行綁定後，更換網卡須要從新綁定，所以建議在客戶機安裝殺毒軟件來解決此類問題。
解決方法二：
　　1：在網關路由上對客戶機使用靜態MAC綁定。ROUTE OS軟路由的用戶能夠參照相關教程，或是在IP--->ARP列表中一一選中對應項目單擊右鍵選擇「MAKE STATIC」命令，建立靜態對應項。
用防火牆封堵常見病毒端口：134-139，445，500，6677，5800，5900，593，1025，1026，2745，3127，6129 以及P2P下載
　　2：在客戶機上進行網關IP及其MAC靜態綁定，並修改導入以下注冊表：
　（A）禁止ICMP重定向報文
ICMP的重定向報文控制着Windows是否會改變路由表從而響應網絡設備發送給它的ICMP重定向消息，這樣雖然方便了用戶，可是有時也會被他人利用來進行網絡***，這對於一個計算機網絡管理員來講是一件很是麻煩的事情。經過修改註冊表可禁止響應ICMP的重定向報文，從而使網絡更爲安全。 修改的方法是：打開註冊表編輯器，找到或新建「HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters」分支，在右側窗口中將子鍵「EnableICMPRedirects」(REG_DWORD型)的值修改成0（0爲禁止ICMP的重定向報文）便可。
　　（B）禁止響應ICMP路由通告報文
「ICMP路由公告」功能可使他人的計算機的網絡鏈接異常、數據被竊聽、計算機被用於流量***等，所以建議關閉響應ICMP路由通告報文。 修改的方法是：打開註冊表編輯器，找到或新建「HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters\Interfaces」分支，在右側窗口中將子鍵「PerformRouterDiscovery」REG_DWORD型的值修改成0（0爲禁止響應ICMP路由通告報文，2爲容許響應ICMP路由通告報文）。修改完成後退出註冊表編輯器，從新啓動計算機便可。
　（C）設置arp緩存老化時間設置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒數,默認值爲120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒數,默認值爲600)
說明:若是ArpCacheLife大於或等於ArpCacheMinReferencedLife,則引用或未引用的ARP
緩存項在ArpCacheLife秒後到期.若是ArpCacheLife小於ArpCacheMinReferencedLife,
未引用項在ArpCacheLife秒後到期,而引用項在ArpCacheMinReferencedLife秒後到期.
每次將出站數據包發送到項的IP地址時,就會引用ARP緩存中的項。

曾經看見有人說過，只要保持IP-MAC緩存不被更新，就能夠保持正確的ARP協議運行。關於此點，我想可不能夠經過，修改註冊表相關鍵值達到：
默認狀況下ARP緩存的超時時限是兩分鐘，你能夠在註冊表中進行修改。能夠修改的鍵值有兩個，都位於

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters   修改的鍵值：
鍵值1：ArpCacheLife，類型爲Dword，單位爲秒，默認值爲120
鍵值2：ArpCacheMinReferencedLife，類型爲Dword，單位爲秒，默認值爲600

注意：這些鍵值默認是不存在的，若是你想修改，必須自行建立；修改後重啓計算機後生效。

若是ArpCacheLife的值比ArpCacheMinReferencedLife的值大，那麼ARP緩存的超時時間設置爲ArpCacheLife的值；若是ArpCacheLife的值不存在或者比ArpCacheMinReferencedLife的值小，那麼對於未使用的ARP緩存，超時時間設置爲120秒；對於正在使用的ARP緩存，超時時間則設置爲ArpCacheMinReferencedLife的值。
咱們也許能夠將上述鍵值設置爲很是大，不被強制更新ARP緩存。爲了防止病毒本身修改註冊表，能夠對註冊表加以限制。
只要事先在沒遇到ARP***前，經過任意一個IP-MAC地址查看工具，紀錄全部機器的正確IP-MAC地址。等到受到***能夠查看哪臺機器出現問題，而後一般是暴力解決，問題也許不是很嚴重。可是對於內網電腦數量過大，每臺機器都幫定全部IP-MAC地址，工做量很是巨大，必須經過專門軟件執行。
解決辦法三：
　　安全模式下刪除system32\npptools.dll，我維護的網吧那裏刪除了一個月了，歷來沒中過ARP病毒，也無任何不良反映，ARP病毒缺乏了npptools.dll這個文件根本不能運行，目前所發現的ARP病毒統統提示npptools.dll出錯，沒法運行 暫時還沒發現能夠自動生成npptools.dll的病毒，npptools.dll自己就40多K，病毒若是還要生成本身的運行庫的話，不是幾十K的大小就能夠辦到的，再大一些的就不是病毒了 ，固然，仍是要作ARP -S綁定，只綁定本機自身跟路由便可，能夠在「必定程度上」減小ARP程序的破壞 ，刪除不了同志，麻煩您先關閉文件保護，最簡單的方法就是用XPLITE來關閉，網上一搜一大把的 另外再次聲明，這個方法只對ARP病毒生效，對惡意軟件只是小部分有效的

特別提醒一點：不要忘記了梆定外網網關和MAC，下面我舉個例子吧

IP：10.10.10.10
子網掩碼：255.255.255.255
網關：10.10.10.9[必定要綁定這個網關地址和MAC]
DNS：222.222.222.222
備用DNS：222.222.221.221

我的推薦安全工具及補丁：
我的認爲這點TP-LINK480T的路由作的很是好，具體請看本站的對於TP-LINK480T的路由介紹
小網吧使用TP-LINK480T的請升級最新版本，本站有下載
使用思科和華爲的請綁定網關地址和MAC

推薦工具： AntiArpSniffer3最新版 補丁:mAC綁定程序 Vnd8.28防ARP補丁 ARP變種病毒微軟補丁 TP-LINK480T最新升級補丁