一、中ARP病毒(Windows系統):
現象:老是提示ip與局域網中的ip衝突。
主要原因是在局域網中有人使用了ARP欺騙的木馬程序,比如一些盜號的軟件。
傳奇外掛攜帶的ARP木馬攻擊,當局域網內使用外掛時,外掛攜帶的病毒會將該機器的MAC地址映射到網關的IP地址上,向局域網內大量發送ARP包,致同一網段地址內的其它機器誤將其作爲網關,掉線時內網是互通的,計算機卻不能上網。方法是在能上網時,進入MS-DOS窗口,輸入命令:arp –a查看網關IP對應的正確MAC地址,將其記錄,如果已不能上網,則先運行一次命令arp –d將arp緩存中的內容刪空,計算機可暫時恢復上網,一旦能上網就立即將網絡斷掉,禁用網卡或拔掉網線,再運行arp –a。
如已有網關的正確MAC地址,在不能上網時,手工將網關IP和正確MAC綁定,可確保計算機不再被攻擊影響。可在MS-DOS窗口下運行以下命令:arp –s 網關IP 網關MAC。如被攻擊,用該命令查看,會發現該MAC已經被替換成攻擊機器的MAC,將該MAC記錄,以備查找。找出病毒計算機:如果已有病毒計算機的MAC地址,可使用NBTSCAN軟件找出網段內與該MAC地址對應的IP,即病毒計算機的IP地址。
建議採用雙向綁定解決和防止ARP欺騙。在電腦上綁定路由器的IP和MAC地址
首先,獲得路由器的內網的MAC地址(例如HiPER網關地址192.168.16.254的MAC地址爲0022aa0022aa局域網端口MAC地址>)。
編寫一個批處理文件rarp.bat內容如下:
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa
將網關IP和MAC更改爲您自己的網關IP和MAC即可,讓這個文件開機運行(拖到“開始-程序-啓動”)。