一、ARP病毒發作的可能症狀
1. 感染ARP病毒的電腦:
(1). 系統啓動了可疑的進程
(2). 系統向外發送大量的ARP廣播包(可由第三方軟件攔截提示,比如最新版的ARP防火牆單)
此時用戶應
(1). 立即通過網絡(網絡保持連通的情況下)或通過U盤下載安裝最新版的ARP防火牆,攔截本機向外發起的ARP攻擊,保證不影響同網段的其他用戶。
(2). 下載和安裝殺毒軟件或者專殺工具,進行安全模式,全面查殺病毒。
2. 受ARP欺騙攻擊影響的電腦:
(1).網速偏慢
(2). QQ、MSN或上網直通車出現頻繁掉線
(3).網絡時斷時續
(4).甚至是長時間斷網
此時用戶可立即通過網絡(網絡連通的情況下)或通過U盤下載並安裝最新版的ARP防火牆①,或者靜態綁定網關MAC②,從而來
(1). 攔截外部ARP攻擊,保證正常上網。
(2).鎖定攻擊者,同時將攻擊者的MAC地址提交到我們的網絡報障系統,由我們的網管人員來定位出攻擊者機器,隔離進行殺毒。
使用方法:下載後解壓縮,運行包內TSC.exe文件,不要關閉程序,直到它運行完畢自動關閉,然後查看report文檔便可查看本次病毒查殺情況。
1.靜態綁定網關MAC
方法一、手工綁定:
(1).確定用戶計算機所在網段
(2).查出用戶網段網關IP
(3).根據網關IP查出用戶網段網關Mac
(4).用命令 arp -s 網關IP 網關MAC 靜態綁定網關IP和MAC
舉例:
(1).確定用戶計算機所在網段
開始->程序->附件->命令提示符,打開命令提示符窗口,輸入ipconfig命令,查出用戶正常分配到的IP地址:
本機IP: 10.13.2.62
網關IP: 10.13.2.254
IP爲 10.13.3.254 的網關的MAC地址爲 00-0b-46-01-01-00
arp –d //清空ARP緩存
arp -s 10.13.2.254 00-0b-46-01-01-00 //靜態綁定網關MAC地址
arp –a //查看ARP緩存記錄
將下面的代碼拷貝到記事本中,保存爲.bat文件,雙擊運行即可
-------------------------------------------------------------------------------------
::arp -d&arp -s Default Gateway mac
::綁定本機的批處理
@echo off
@color f0
if exist ipconfig.txt del ipconfig.txt
ipconfig /all >ipconfig.txt
if exist phyaddr.txt del phyaddr.txt
find "Physical Address" ipconfig.txt >phyaddr.txt
for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M
if exist IPAddr.txt del IPaddr.txt
find "IP Address" ipconfig.txt >IPAddr.txt
for /f "skip=2 tokens=15" %%I in (IPAddr.txt) do set IP=%%I
@echo %ip% %mac%
arp -s %IP% %Mac%
del ipaddr.txt
del ipconfig.txt
del phyaddr.txt
pause
-------------------------------------------------------------------------------------
2.使用第三方工具 推薦工具:ARP防火牆單機版 官方站點:http://www.antiarp.com/ 最新版本:v4.0.2 功能特性: * 攔截外部攻擊。 * 攔截IP衝突。 * 攔截外對攻擊。 * 監測ARP緩存。 * 主動防禦。 * 鎖定攻擊者。 |
四、上網安全建議
1.及時更新系統補丁;
2.安裝殺毒軟件,及時更新病毒定義庫,並定期查殺病毒;
3.不隨便打開QQ、MSN等聊天工具上發來的鏈接信息;
4.不隨便接收、打開或運行陌生、可疑文件和程序,如郵件中的陌生附件,QQ好友發送的可疑文件等;
5.不隨便去非官方的小型站點下載程序或文件。
6.不隨便訪問不明、不健康的網站。
可以連網則通過網絡安裝,已經斷網則通過移動U盤等方式安裝
2.運行ARP防火牆,觀察ARP防火牆攔截對外攻擊日誌,一旦有對外攻擊的跡象則表明ARP病毒發表,此時用戶應立即
(1).安裝殺毒軟件
(2).重啓系統並進入安全模式
(3).全面殺毒
當ARP防火牆不再報告本機對外發起攻擊時才表明全部ARP病毒已經被清除乾淨。
3.若用戶計算機再次被發現或被舉報發送ARP欺騙攻擊時,網管人員可關閉用戶上網端口3天。