??? 現(xiàn)在局域網(wǎng)中感染ARP病毒的情況比較多�����,清理和防范都比較困難��,給不少的網(wǎng)絡(luò)管理員造成了很多的困擾�。下面就介紹一下清除局域網(wǎng)中的ARP病毒方法���。
??? ARP病毒的癥狀
??? 有時(shí)候無(wú)法正常上網(wǎng)���,有時(shí)候有好了,包括訪問(wèn)網(wǎng)上鄰居也是如此���,拷貝文件無(wú)法完成�,出現(xiàn)錯(cuò)誤;局域網(wǎng)內(nèi)的ARP包爆增,使用ARP查詢(xún)的時(shí)候會(huì)發(fā)現(xiàn)不正常的MAC地址��,或者是錯(cuò)誤的MAC地址對(duì)應(yīng)���,還有就是一個(gè)MAC地址對(duì)應(yīng)多個(gè)IP的情況也會(huì)有出現(xiàn)�����。
??? ARP攻擊的原理
??? ARP 欺騙攻擊的包一般有以下兩個(gè)特點(diǎn),滿足之一可視為攻擊包報(bào)警:第一以太網(wǎng)數(shù)據(jù)包頭的源地址�����、目標(biāo)地址和ARP數(shù)據(jù)包的協(xié)議地址不匹配�。或者�,ARP數(shù)據(jù)包的發(fā)送和目標(biāo)地址不在自己網(wǎng)絡(luò)網(wǎng)卡MAC數(shù)據(jù)庫(kù)內(nèi),或者與自己網(wǎng)絡(luò)MAC數(shù)據(jù)庫(kù)MAC/IP不匹配��。這些統(tǒng)統(tǒng)第一時(shí)間報(bào)警��,查這些數(shù)據(jù)包(以太網(wǎng)數(shù)據(jù)包) 的源地址(也有可能偽造)�,就大致知道那臺(tái)機(jī)器在發(fā)起攻擊了?�,F(xiàn)在有網(wǎng)絡(luò)管理工具比如網(wǎng)絡(luò)執(zhí)法官����、P2P終結(jié)者也會(huì)使用同樣的方式來(lái)偽裝成網(wǎng)關(guān)��,欺騙客戶端對(duì)網(wǎng)關(guān)的訪問(wèn)����,也就是會(huì)獲取發(fā)到網(wǎng)關(guān)的流量,從而實(shí)現(xiàn)網(wǎng)絡(luò)流量管理和網(wǎng)絡(luò)監(jiān)控等功能��,同時(shí)也會(huì)對(duì)網(wǎng)絡(luò)管理帶來(lái)潛在的危害�,就是可以很容易的獲取用戶的密碼等相關(guān)信息。
??? 處理辦法
??? 通用的處理流程
??? 1.先保證網(wǎng)絡(luò)正常運(yùn)行方法一:編輯一個(gè)***.bat文件內(nèi)容如下:arp.exe s **.**.**.**(網(wǎng)關(guān)ip) ****
??? **
??? **
??? **
??? **(
??? 網(wǎng)關(guān)MAC地址)
??? end
??? 讓網(wǎng)絡(luò)用戶點(diǎn)擊就可以了!辦法二:編輯一個(gè)注冊(cè)表問(wèn)題���,鍵值如下:Windows Registry Editor Version 5.00
??? [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
??? "MAC"="arp s
??? 網(wǎng)關(guān)IP地址網(wǎng)關(guān)MAC地址"
??? 然后保存成Reg文件以后在每個(gè)客戶端上點(diǎn)擊導(dǎo)入注冊(cè)表�����。
??? 2.找到感染ARP病毒的機(jī)器a���、在電腦上ping一下網(wǎng)關(guān)的IP地址,然后使用ARP -a的命令看得到的網(wǎng)關(guān)對(duì)應(yīng)的MAC地址是否與實(shí)際情況相符�,如不符����,可去查找與該MAC地址對(duì)應(yīng)的電腦��。
??? b����、使用抓包工具,分析所得到的ARP數(shù)據(jù)報(bào)���。有些ARP病毒是會(huì)把通往網(wǎng)關(guān)的路徑指向自己�����,有些是發(fā)出虛假ARP回應(yīng)包來(lái)混淆網(wǎng)絡(luò)通信。第一種處理比較容易��,第二種處理比較困難�����,如果殺毒軟件不能正確識(shí)別病毒的話�,往往需要手工查找感染病毒的電腦和手工處理病毒,比較困難��。
??? c、使用MAC地址掃描工具���,掃描全網(wǎng)段IP地址和MAC地址對(duì)應(yīng)表���,有助于判斷感染ARP病毒對(duì)應(yīng)MAC地址和IP地址。
??? 預(yù)防措施
??? 1����、及時(shí)升級(jí)客戶端的操作系統(tǒng)和應(yīng)用程式補(bǔ)丁;
??? 2、安裝和更新殺毒軟件�����。
??? 3��、如果網(wǎng)絡(luò)規(guī)模較少���,盡量使用手動(dòng)指定IP設(shè)置�����,而不是使用DHCP來(lái)分配IP地址����。
??? 4、如果交換機(jī)支持����,在交換機(jī)上綁定MAC地址與IP地址。(不過(guò)這個(gè)實(shí)在不是好主意)
關(guān)鍵詞標(biāo)簽:局域網(wǎng),ARP病毒
