一、首先诊断是否为ARP病毒攻击
1、当发现上网明显变慢,或者突然掉线时,我们可以用arp-命令来检查ARP表:(点击“开始”按钮-选择“运行”-输入“cmd”点击"确定"按钮,在窗口中输入“arp-a”命令)如果发现网关的MAC地址发生了改变,或者发现有很多IP指向同一个物理地址,那么肯定就是ARP欺骗所致。
2、利用AntiARPSniffer软件查看(详细使用略)。
二、找出ARP病毒主机
1、用“arp–d”命令,只能临时解决上网问题,要从根本上解决问题,就得找到病毒主机。通过上面的arp–a命令,可以判定改变了的网关MAC地址或多个IP指向的物理地址,就是病毒机的MAC地址。哪么对应这个MAC地址的主机又是哪一台呢,windows中有ipconfig/all命令查看每台的信息,但如果电脑数目多话,一台台查下去不是办法,因此可以下载一个叫“NBTSCAN”的软件,它可以取到PC的真实IP地址和MAC地址。
命令:“nbtscan-r192.168.80.0/24”(搜索整个192.168.80.0/24网段,即192.168.80.1-192.168.80.254);或“nbtscan192.168.80.25-137”搜索192.168.80.25-137网段,即192.168.80.25-192.168.80.137。输出结果第一列是IP地址,最后一列是MAC地址。这样就可找到病毒主机的IP地址。
2、如果手头一下没这个软件怎么办呢?这时也可在客户机运行路由跟踪命令如:tracert–dwww.163.com,马上就发现第一条不是网关机的内网ip,而是本网段内的另外一台机器的IP,再下一跳才是网关的内网IP;正常情况是路由跟踪执行后的输出第一条应该是默认网关地址,由此判定第一跳的那个非网关IP地址的主机就是罪魁祸首。
当然找到了IP之后,接下来是要找到这个IP具体所对应的机子了,如果你每台电脑编了号,并使用固定IP,IP的设置也有规律的话,那么就很快找到了。但如果不是上面这种情况,IP设置又无规律,或者IP是动态获取的那该怎么办呢?难道还是要一个个去查?非也!你可以这样:把一台机器的IP地址设置成与作祟机相同的相同,然后造成IP地址冲突,使中毒主机报警然后找到这个主机。
三、处理病毒主机
1、用杀毒软件查毒,杀毒。
2、建议重装系统,一了百了。(当然你应注意除系统盘外其他盘有无病毒)
四、如何防范ARP病毒攻击
1、从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。因此很多人建议用户采用双向绑定的方法解决并且防止ARP欺骗,这个确实是最好解决的办法,但如果电脑数量多的情况下,在路由器上作绑定工作量将很大,我个人认为主要做好在PC上绑定路由器的IP和MAC地址就行了,在PC上绑定可以按下面方法做:
1)首先,获得路由器的内网的MAC地址(例如网关地址172.16.1.254的MAC地址为0022aa0022ee)。
2)编写一个批处理文件rarp.bat内容如下:
@echooff
arp-d
arp-s172.16.1.25400-22-aa-00-22-ee
将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。将这个批处理软件拖到“windows--开始--程序--启动”中。
这样即减轻了一台台设置的麻烦,也避免了由于电脑重新启动使得数据又要重做的麻烦。当然最好电脑要有还原卡和保护系统,使得这个批处理不会被随意删除掉。
2、作为网络管理员,我认为应该充分利用一些工具软件,备一些常用的工具,就ARP而言,推荐在手头准备这样几个软件:
①“AntiARPSniffer”(使用AntiARPSniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包,并能查找攻击主机的IP及MAC地址)。
②“NBTSCAN”(NBTSCAN可以取到PC的真实IP地址和MAC地址,利用它可以知道局域网内每台IP对应的MAC地址)
③“网络执法官”(一款局域网管理辅助软件,采用网络底层协议,能穿透各客户端防火墙对网络中的每一台主机、交换机等配有IP的网络设备进行监控;采用网卡号(MAC)识别用户,主要功能是依据管理员为各主机限定的权限,实时监控整个局域网,并自动对非法用户进行管理,可将非法用户与网络中某些主机或整个网络隔离,而且无论局域网中的主机运行何种防火墙,都不能逃避监控,也不会引发防火墙警告,提高了网络安全性)
3、定时检查局域网病毒,对机器进行病毒扫描,平时给系统安装好补丁程序,最好是局域网内每台电脑保证有杀毒软件(可升级)
4、指导好网络内使用者不要随便点击打开QQ、MSN等聊天工具上发来的链接信息,不要随便打开或运行陌生、可疑文件和程序,如邮件中的陌生附件,外挂程序等。
5、建议对局域网的每一台电脑尽量作用固定IP,路由器不启用DHCP,对给网内的每一台电脑编一个号,每一个号对应一个唯一的IP,这样有利用以后故障的查询也方便管理。并利用“NBTSCAN”软件查出每一IP对应的MAC地址,建立一个“电脑编号-IP地址-MAC地址”一一对应的数据库。
相关推荐
ARP 病毒查找和防范 ARP 病毒是一种常见的网络攻击方式,通过欺骗路由器或内网 PC 的 ARP 表,来截获数据包或使网络连接中断。在本文中,我们将介绍 ARP 病毒的查找和防范方法。 一、ARP 病毒的查找 1. 使用 ARP ...
7. **教育与培训**:提供关于ARP病毒的详细信息,帮助用户理解和防范这种威胁,提高网络安全意识。 在提供的文件列表中,“Arp Checker.exe”很可能是这个arp病毒检测工具的可执行程序。用户需要运行这个程序,按照...
运行过程中,工具会扫描网络,查找ARP病毒感染的迹象,并可能要求用户采取相应措施,如隔离感染设备或更新网络设备的配置。最后,检查`report`和`debug`中的文件,以确认清理过程是否成功,以及是否存在其他潜在问题...
局域网ARP病毒查看工具是一种专门用于检测和防范局域网内ARP病毒的软件。ARP,全称为Address Resolution Protocol(地址解析协议),是TCP/IP协议栈中的一个重要组件,主要用于将网络层的IP地址转换为数据链路层的...
ARP(Address Resolution Protocol)是网络层的一个重要协议,它的主要作用是将IP地址转换为物理MAC地址,使得数据能够在局域网中...同时,保持良好的网络使用习惯和定期进行网络安全检查也是防范ARP病毒的有效手段。
一、 ARP欺骗原理: 在TCP/IP网络环境下,一个IP数据包到达目的地所经过的网络路径是由路由器根据数据包的目的IP地址查找路由表决定的,但IP地址只是主机在网络层中的地址,要在实际的物理链路上传送数据包,还需要...
为了防范ARP病毒攻击,可以采取以下措施: 1. 使用静态ARP绑定,将主机和网关的IP与MAC地址进行固定映射,防止动态更新带来的风险。 2. 部署ARP防火墙,监控和过滤异常的ARP请求和响应。 3. 使用ARP代理或中间设备,...
4. **保存IP-MAC地址对照表**:在网络运行正常时记录下全网的IP-MAC地址对照表,以便在查找ARP病毒源时快速定位。 5. **部署网络流量检测设备**:持续监控全网的ARP广播包,检查MAC地址的有效性,及时发现异常情况...
【ARP协议及其工作原理】 ARP(Address Resolution ...总的来说,理解和防范ARP欺骗与攻击对于维护校园网络安全至关重要。通过加强网络管理和教育,以及采用相应的技术手段,可以有效降低这类攻击对校园网的影响。
解决局域网中某台电脑中毒导致网速变慢的问题归类.pdf 本篇文章主要讲解了解决局域网中某...解决局域网中某台电脑中毒导致网速变慢的问题需要通过诊断、找出病毒主机、处理病毒主机和防范ARP病毒攻击四个步骤来解决。
ARP病毒是一种特殊类型的ARP模拟攻击,它不具有自我复制的特性,但会持续发送伪造的ARP信息,导致网络性能下降,甚至完全中断网络连接。常见症状包括网络频繁掉线、部分或全部计算机无法正常上网、网页打开缓慢以及...
- **AntiARPSniffer**:这是一种专门用于防范ARP欺骗攻击的安全工具。 - **ARP欺骗防护**:通过输入网关IP地址并点击“获取网关MAC地址”,可以获取网关的真实MAC地址。接着选择“自动防护”,可以保护当前网卡与...
5. **教育用户意识**:提高用户对ARP欺骗的认识,教育用户不要轻易点击未知链接,不随意运行来源不明的软件,以减少感染病毒或恶意软件的风险,这些软件可能包含ARP欺骗的功能。 6. **网络隔离**:对于关键业务系统...
- ARP病毒防御的核心在于防止ARP缓存表被非法修改。 - 通过使用静态ARP条目、安全交换机、ARP检查等功能来加固网络环境。 2. **ARP病毒防御方案设计:** - 设计方案应该包括但不限于静态ARP条目的设置、ARP检查...
解决ARP欺骗攻击的方法有多种,包括使用NBTSCAN工具来快速查找病毒主机的IP地址和MAC地址,使用双向绑定的方法来防止ARP欺骗等。 使用NBTSCAN工具可以快速查找病毒主机的IP地址和MAC地址。NBTSCAN工具可以取到PC的...
综上所述,针对局域网受到ARP欺骗攻击的情况,通过提高安全意识、使用防病毒软件、实施静态ARP绑定、监控ARP表变化以及利用第三方工具检测与修复等方法,可以有效地减少ARP欺骗攻击带来的影响,保障局域网的安全稳定...
【ARP攻击】是一种针对局域网的网络攻击方式,它通过篡改ARP缓存表,导致数据包被错误地...综上所述,排查和防范ARP攻击需要结合网络监控、IP/MAC绑定、杀毒软件以及用户教育等多个层面,以保障网络环境的稳定和安全。
总结起来,"Sniffer案例分析-ARP欺骗"这个主题涵盖了网络嗅探的基本概念、ARP协议的工作原理、ARP欺骗的实施方法及其危害,以及如何使用工具检测和防范这种攻击。通过学习这个案例,不仅可以提升对网络安全的理解,...
1. **使用静态ARP绑定**:手动配置IP地址与MAC地址的对应关系,避免依赖动态ARP解析。 2. **ARP防火墙**:安装和配置ARP防火墙软件,它可以检测和阻止非法的ARP请求和响应。 3. **启用网络设备的ARP防护功能**:...
- 删除病毒文件:查找并删除与病毒相关的文件。 4. 杀毒工具的效果验证: 实验中,启动“WormVirusKiller.exe”杀毒工具,观察到的现象是相关端口被关闭,病毒的网页弹窗消失,蠕虫进程被终止,并且注册表中的病毒...