教你清理局域網(wǎng)ARP病毒
現(xiàn)在局域網(wǎng)中感染ARP 病毒的情況比較多�����,清理和防范都比較困難�,給不少的網(wǎng)絡(luò)管理員造成了很多的困擾。下面就是個(gè)人在處理這個(gè)問題的一些經(jīng)驗(yàn)�,同時(shí)也在網(wǎng)上翻閱了不少的參考資料。
ARP 病毒的癥狀:
有時(shí)候無法正常上網(wǎng)����,有時(shí)候有好了�����,包括訪問網(wǎng)上鄰居也是如此����,拷貝文件無法完成����,出現(xiàn)錯(cuò)誤;局域網(wǎng)內(nèi)的ARP 包爆增�,使用Arp 查詢的時(shí)候會(huì)發(fā)現(xiàn)不正常的Mac 地址,或者是錯(cuò)誤的Mac 地址對應(yīng)���,還有就是一個(gè)Mac 地址對應(yīng)多個(gè)IP 的情況也會(huì)有出現(xiàn)���。
ARP 攻擊的原理:
ARP 欺騙攻擊的包一般有以下兩個(gè)特點(diǎn),滿足之一可視為攻擊包報(bào)警:第一以太網(wǎng)數(shù)據(jù)包頭的源地址�����、目標(biāo)地址和ARP 數(shù)據(jù)包的協(xié)議地址不匹配�。或者����,ARP數(shù)據(jù)包的發(fā)送和目標(biāo)地址不在自己網(wǎng)絡(luò)網(wǎng)卡MAC 數(shù)據(jù)庫內(nèi)���,或者與自己網(wǎng)絡(luò)MAC 數(shù)據(jù)庫MAC/IP 不匹配。這些統(tǒng)統(tǒng)第一時(shí)間報(bào)警�,查這些數(shù)據(jù)包(以太網(wǎng)數(shù)據(jù)包)的源地址(也有可能偽造)���,就大致知道那臺(tái)機(jī)器在發(fā)起攻擊了����,F(xiàn)在有網(wǎng)絡(luò)管理工具比如網(wǎng)絡(luò)執(zhí)法官����、P2P 終結(jié)者也會(huì)使用同樣的方式來偽裝成網(wǎng)關(guān),欺騙客戶端對網(wǎng)關(guān)的訪問�����,也就是會(huì)獲取發(fā)到網(wǎng)關(guān)的流量���,從而實(shí)現(xiàn)網(wǎng)絡(luò)流量管理和網(wǎng)絡(luò)監(jiān)控等功能��,同時(shí)也會(huì)對網(wǎng)絡(luò)管理帶來潛在的危害����,就是可以很容易的獲取用戶的密碼等相關(guān)信息。
處理辦法:
通用的處理流程:
1 .先保證網(wǎng)絡(luò)正常運(yùn)行
方法一:編輯個(gè)***.bat 文件內(nèi)容如下: arp.exe s **.**.**.**(網(wǎng)關(guān)ip) **** ** ** ** **(網(wǎng)關(guān)mac 地址) end 讓網(wǎng)絡(luò)用戶點(diǎn)擊就可以了!
辦法二:編輯一個(gè)注冊表問題���,鍵值如下: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “mac“=“arp s 網(wǎng)關(guān)IP 地址網(wǎng)關(guān)Mac 地址“ 然后保存成Reg 文件以后在每個(gè)客戶端上點(diǎn)擊導(dǎo)入注冊表�。
2 找到感染ARP 病毒的機(jī)器����。
a:在電腦上ping 一下網(wǎng)關(guān)的IP 地址,然后使用ARP -a 的命令看得到的網(wǎng)關(guān)對應(yīng)的MAC 地址是否與實(shí)際情況相符�,如不符,可去查找與該MAC 地址對應(yīng)的電腦��。
b:使用抓包工具����,分析所得到的ARP 數(shù)據(jù)報(bào)。有些ARP 病毒是會(huì)把通往網(wǎng)關(guān)的路徑指向自己�����,有些是發(fā)出虛假ARP 回應(yīng)包來混淆網(wǎng)絡(luò)通信��。第一種處理比較容易�,第二種處理比較困難�����,如果殺毒軟件不能正確識(shí)別病毒的話����,往往需要手工查找感染病毒的電腦和手工處理病毒��,比較困難����。
c:使用mac 地址掃描工具����,nbtscan 掃描全網(wǎng)段IP 地址和MAC 地址對應(yīng)表,有助于判斷感染ARP 病毒對應(yīng)MAC 地址和IP 地址���。
預(yù)防措施:
1�,及時(shí)升級(jí)客戶端的操作系統(tǒng)和應(yīng)用程式補(bǔ)�。
2�����,安裝和更新殺毒軟件。
3����,如果網(wǎng)絡(luò)規(guī)模較少,盡量使用手動(dòng)指定IP 設(shè)置���,而不是使用DHCP 來分配IP 地址���。
4,如果交換機(jī)支持���,在交換機(jī)上綁定MAC 地址與IP 地址�。
