現在局域網中感染ARP病毒的情況比較多,清理和防範都比較困難,給不少的網絡管理員造成了很多的困擾。下面就是個人在處理這個問題的一些經驗,同時也在網上翻閱了不少的參考資料。
ARP病毒的症狀
有時候無法正常上網,有時候有好了,包括訪問網上鄰居也是如此,拷貝文件無法完成,出現錯誤;局域網內的ARP包爆增,使用ARP查詢的時候會發現不正常的MAC地址,或者是錯誤的MAC地址對應,還有就是一個MAC地址對應多個IP的情況也會有出現。
ARP***的原理
ARP欺騙***的包一般有以下兩個特點,滿足之一可視爲***包報警:第一以太網數據包頭的源地址、目標地址和ARP數據包的協議地址不匹配。或者,ARP數據包的發送和目標地址不在自己網絡網卡MAC數據庫內,或者與自己網絡MAC數據庫MAC/IP不匹配。這些統統第一時間報警,查這些數據包(以太網數據包)的源地址(也有可能僞造),就大致知道那臺機器在發起***了。現在有網絡管理工具比如網絡執法官、P2P終結者也會使用同樣的方式來僞裝成網關,欺騙客戶端對網關的訪問,也就是會獲取發到網關的流量,從而實現網絡流量管理和網絡監控等功能,同時也會對網絡管理帶來潛在的危害,就是可以很容易的獲取用戶的密碼等相關信息。
處理辦法
通用的處理流程
1.先保證網絡正常運行
方法一:編輯一個***.bat文件內容如下:
arp.exe s **.**.**.**(網關ip) **** ** ** ** **( 網關MAC地址) end |
讓網絡用戶點擊就可以了!
辦法二:編輯一個註冊表問題,鍵值如下:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MAC"="arp s 網關IP地址網關MAC地址" |
然後保存成Reg文件以後在每個客戶端上點擊導入註冊表。
2.找到感染ARP病毒的機器
a、在電腦上ping一下網關的IP地址,然後使用ARP -a的命令看得到的網關對應的MAC地址是否與實際情況相符,如不符,可去查找與該MAC地址對應的電腦。
b、使用抓包工具,分析所得到的ARP數據報。有些ARP病毒是會把通往網關的路徑指向自己,有些是發出虛假ARP迴應包來混淆網絡通信。第一種處理比較容易,第二種處理比較困難,如果殺毒軟件不能正確識別病毒的話,往往需要手工查找感染病毒的電腦和手工處理病毒,比較困難。
c、使用MAC地址掃描工具,Nbtscan掃描全網段IP地址和MAC地址對應表,有助於判斷感染ARP病毒對應MAC地址和IP地址。
預防措施
1、及時升級客戶端的操作系統和應用程式補丁;
2、安裝和更新殺毒軟件。
3、如果網絡規模較少,儘量使用手動指定IP設置,而不是使用DHCP來分配IP地址。
4、如果交換機支持,在交換機上綁定MAC地址與IP地址。
推薦專欄更多
猜你喜歡
我的友情鏈接
一個強大的密碼生成
DNS域名系統
CentOS 7 網絡配置詳解
Nginx配置跨域請求 Access-Control-Allow-Origin *
××× 連接800錯誤的解決辦法(轉)
常用郵箱、網盤地址列表
Linux運維高級篇—CentOS 7下Postfix郵件服務器搭建
什麼是WDS功能?橋接模式和中繼模式又有什麼區別?
nginx 域名跳轉一例~~~(rewrite、proxy)
linux加入windows域之完美方案
爲什麼我們需要域?Active Directory系列之一
Kali Linux安裝dvwa本地shentou測試環境
道路千萬條,安全第一條——一次服務器安全處理經過
Hydra破解SSH端口
淺談QOS服務訪問質量
Cisco防火牆基礎介紹及配置
【SRX】RE與PFE策略不同步,導致Commit失敗-----案例分析
蟻劍xss漏洞,獲取者shell
GandCrab5.0.9樣本詳細分析
掃一掃,領取大禮包
Ctrl+Enter 發佈
發佈
取消