局域网中有电脑中了arp病毒
ARP欺骗方式共分为两种:一种是对路由器ARP表的欺骗,该种攻击截获网关数据。通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息,导致上网时断时通或上不了网;另一种是对内网PC的网关欺骗,仿冒网关的mac地址,发送arp包欺骗别的客户端,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网,造成上网时断时通或上不了网。
针对这种情况瑞星公司提供以下解决办法:
方法一、在收到ARP欺骗的本机,在开始--运行中,输入“cmd”,进入ms-dos,通过命令行窗口输入“arp -a”命令,查看ARP列表。会发现该MAC已经被替换成攻击机器的MAC,将该MAC记录(以备查找),然后根据此MAC找出中病毒的计算机。
方法二、借助第三方抓包工具(如sniffer或antiarp)查找局域网中发arp包最多的IP地址,也可判断出中病毒计算机。
造成arp欺骗的病毒,其实是普通的病毒,只要判断出发包源,使用杀毒软件进行清查,是可以彻底解决的。
ARP病毒是局域网攻击,360安全卫士中的arp防护墙可以拦截arp攻击的。你可以设置一下,设置方法。打开360木马防护墙,开启arp防护墙,在点右边的智能设置.......更多设置
,左边找到arp防护墙,找到手动绑定网关。设置完了别人就攻击不了你了。
1 .检查本机的“ ARP 欺骗”木马染毒进程
同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键,选择“任务管理器”,点选“进程”标签。察看其中是否有一个名为“ MIR0.dat ”的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。参见右图。
2 .检查网内感染“ ARP 欺骗”木马染毒的计算机
在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令:
ipconfig
记录网关 IP 地址,即“ Default Gateway ”对应的值,例如“ 59.66.36.1 ”。再输入并执行以下命令:
arp –a
在“ Internet Address ”下找到上步记录的网关 IP 地址,记录其对应的物理地址,即“ Physical Address ”值,例如“ 00-01-e8-1f-35-54 ”。在网络正常时这就是网关的正确物理地址,在网络受“ ARP 欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。
也可以扫描本子网内的全部 IP 地址,然后再查 ARP 表。如果有一个 IP 对应的物理地址与网关的相同,那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。
3 .设置 ARP 表避免“ ARP 欺骗”木马影响的方法
本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关 IP 地址和网关物理地址,然后在 “命令提示符”窗口中输入并执行以下命令:
arp –s 网关 IP 网关物理地址
4.态ARP绑定网关
步骤一:
在能正常上网时,进入MS-DOS窗口,输入命令:arp -a,查看网关的IP对应的正确MAC地址, 并将其记录下来。
注意:如果已经不能上网,则先运行一次命令arp -d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话)。一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp -a。
步骤二:
如果计算机已经有网关的正确MAC地址,在不能上网只需手工将网关IP和正确的MAC地址绑定,即可确保计算机不再被欺骗攻击。
要想手工绑定,可在MS-DOS窗口下运行以下命令:
arp -s 网关IP 网关MAC
例如:假设计算机所处网段的网关为192.168.1.1,本机地址为192.168.1.5,在计算机上运行arp -a后输出如下:
Cocuments and Settings>arp -a
Interface:192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 dynamic
其中,00-01-02-03-04-05就是网关192.168.1.1对应的MAC地址,类型是动态(dynamic)的,因此是可被改变的。
被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC。如果希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找该攻击的机器做准备。
手工绑定的命令为:
arp -s 192.168.1.1 00-01-02-03-04-05
绑定完,可再用arp -a查看arp缓存:
Cocuments and Settings>arp -a
Interface: 192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 static
这时,类型变为静态(static),就不会再受攻击影响了。
但是,需要说明的是,手工绑定在计算机关机重启后就会失效,需要再次重新绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,把病毒杀掉,才算是真正解决问题。
5 .作批处理文件
在客户端做对网关的arp绑定,具体操作步骤如下:
步骤一:
查找本网段的网关地址,比如192.168.1.1,以下以此网关为例。在正常上网时,“开始→运行→cmd→确定”,输入:arp -a,点回车,查看网关对应的Physical Address。
比如:网关192.168.1.1 对应00-01-02-03-04-05。
步骤二:
编写一个批处理文件rarp.bat,内容如下:
@echo off
arp -d
arp -s 192.168.1.1 00-01-02-03-04-05
保存为:rarp.bat。
步骤三:
运行批处理文件将这个批处理文件拖到“Windows→开始→程序→启动”中,如果需要立即生效,请运行此文件。
注意:以上配置需要在网络正常时进行
6.使用安全工具软件
及时下载Anti ARP Sniffer软件保护本地计算机正常运行。具体使用方法可以在网上搜索。
如果已有病毒计算机的MAC地址,可使用NBTSCAN等软件找出网段内与该MAC地址对应的IP,即感染病毒的计算机的IP地址,然后报告单位的网络中心对其进行查封。
或者利用单位提供的集中网络防病毒系统来统一查杀木马。另外还可以利用木马杀客等安全工具进行查杀。
我给你俩个我积累下来解决arp病毒的方法。你可以试试。
第一种:现在局域网中感染ARP病毒的情况比较多,清理和防范都比较困难,给不少的网络管理员造成了很多的困扰。下面就是个人在处理这个问题的一些经验,同时也在网上翻阅了不少的参考资料。
ARP病毒的症状
有时候无法正常上网,有时候有好了,包括访问网上邻居也是如此,拷贝文件无法完成,出现错误;局域网内的ARP包爆增,使用ARP查询的时候会发现不正常的MAC地址,或者是错误的MAC地址对应,还有就是一个MAC地址对应多个IP的情况也会有出现。
ARP攻击的原理
ARP欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警:第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。或者,ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内,或者与自己网络MAC数据库MAC/IP不匹配。这些统统第一时间报警,查这些数据包(以太网数据包)的源地址(也有可能伪造),就大致知道那台机器在发起攻击了。现在有网络管理工具比如网络执法官、P2P终结者也会使用同样的方式来伪装成网关,欺骗客户端对网关的访问,也就是会获取发到网关的流量,从而实现网络流量管理和网络监控等功能,同时也会对网络管理带来潜在的危害,就是可以很容易的获取用户的密码等相关信息。
处理办法
通用的处理流程
1.先保证网络正常运行
方法一:编辑一个***.bat文件内容如下:arp.exes
**.**.**.**(网关ip)************(网关MAC地址)end 让网络用户点击就可以了! Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"M2.找到感染ARP病毒的机器
a、在电脑上ping一下网关的IP地址,然后使用ARP -a的命令看得到的网关对应的MAC地址是否与实际情况相符,如不符,可去查找与该MAC地址对应的电脑。
b、使用抓包工具,分析所得到的ARP数据报。有些ARP病毒是会把通往网关的路径指向自己,有些是发出虚假ARP回应包来混淆网络通信。第一种处理比较容易,第二种处理比较困难,如果杀毒软件不能正确识别病毒的话,往往需要手工查找感染病毒的电脑和手工处理病毒,比较困难。
c、使用MAC地址扫描工具,Nbtscan扫描全网段IP地址和MAC地址对应表,有助于判断感染ARP病毒对应MAC地址和IP地址。
预防措施
1、及时升级客户端的操作系统和应用程式补丁;
2、安装和更新杀毒软件。
3、如果网络规模较少,尽量使用手动指定IP设置,而不是使用DHCP来分配IP地址。
4、如果交换机支持,在交换机上绑定MAC地址与IP地址。(不过这个实在不是好主意)
AC"="arp s网关IP地址网关MAC地址"然后保存成Reg文件以后在每个客户端上点击导入注册表。
办法二:编辑一个注册表问题,键值如下:
第二种方法:五、ARP病毒电脑的定位方法
下面,又有了一个新的课题摆在我们面前:如何能够快速检测定位出局域网中的ARP病毒电脑?
面对着局域网中成百台电脑,一个一个地检测显然不是好办法。其实我们只要利用ARP病毒的基本原理:发送伪造的ARP欺骗广播,中毒电脑自身伪装成网关的特性,就可以快速锁定中毒电脑。可以设想用程序来实现以下功能:在网络正常的时候,牢牢记住正确网关的IP地址和MAC地址,并且实时监控着来自全网的ARP数据包,当发现有某个ARP数据包广播,其IP地址是正确网关的IP地址,但是其MAC地址竟然是其它电脑的MAC地址的时候,这时,无疑是发生了ARP欺骗。对此可疑MAC地址报警,在根据网络正常时候的IP-MAC地址对照表查询该电脑,定位出其IP地址,这样就定位出中毒电脑了。下面详细说一下几种不同的检测ARP中毒电脑的方法。
5.1 命令行法
这种方法比较简便,不利用第三方工具,利用系统自带的ARP命令即可完成。上文已经说过,当局域网中发生ARP欺骗的时候,ARP病毒电脑会向全网不停地发送ARP欺骗广播,这时局域网中的其它电脑就会动态更新自身的ARP缓存表,将网关的MAC地址记录成ARP病毒电脑的MAC地址,这时候我们只要在其它受影响的电脑中查询一下当前网关的MAC地址,就知道中毒电脑的MAC地址了,查询命令为 ARP -a,需要在cmd命令提示行下输入。输入后的返回信息如下: Internet Address Physical Address Type 192.168.0.1 00-50-56-e6-49-56 dynamic
这时,由于这个电脑的ARP表是错误的记录,因此,该MAC地址不是真正网关的MAC地址,而是中毒电脑的MAC地址!这时,再根据网络正常时,全网的IP—MAC地址对照表,查找中毒电脑的IP地址就可以了。由此可见,在网络正常的时候,保存一个全网电脑的IP—MAC地址对照表是多么的重要。可以使用nbtscan 工具扫描全网段的IP地址和MAC地址,保存下来,以备后用。
5.2 工具软件法
现在网上有很多ARP病毒定位工具,其中做得较好的是Anti ARP Sniffer(现在已更名为ARP防火墙),下面我就演示一下使用Anti ARP Sniffer这个工具软件来定位ARP中毒电脑首先打开Anti ARP Sniffer 软件,输入网关的IP地址之后,再点击红色框内的“枚举MAC”按钮,即可获得正确网关的MAC地址,接着点击“这时,我们再根据欺骗机的MAC地址,对比查找全网的IP-MAC地址对照表,即可快速定位出中毒电脑。
5.3 Sniffer 抓包嗅探法
当局域网中有ARP病毒欺骗时,往往伴随着大量的ARP欺骗广播数据包,这时,流量检测机制应该能够很好的检测出网络的异常举动,此时Ethereal 这样的抓包工具就能派上用场。自动保护”按钮,即可保护当前网卡与网关的正常通信。 当局域网中存在ARP欺骗时,该数据包会被Anti ARP Sniffer记录,该软件会以气泡的形式报警。以上三种方法有时需要结合使用,互相印证,这样可以快速准确的将ARP中毒电脑定位出来。
将每台电脑的IP和mac地址绑定,然后在各台机器的IP缓存表中将网管的IP和mac地址绑定
然后每台机器安装arp防火墙
查出中毒机器,将中毒机器重装系统
下面是在我空间复制的
在网络管理中,IP地址盗用现象经常发生,不仅对网络的正常使用造成影响,同时由于被盗用的地址往往具有较高的权限,因而也对用户造成了大量的经济上的损失和潜在的安全隐患。有没有什么措施能最大限度地避免此类现象的发生呢?为了防止IP地址被盗用,可以在代理服务器端分配IP地址时,把IP地址与网卡地址进行捆绑。 对于动态分配IP,做一个DHCP服务器来绑定用户网卡MAC地址和IP地址,然后再根据不同IP设定权限。对于静态IP,如果用三层交换机的话,你可以在交换机的每个端口上做IP地址的限定,如果有人改了自己的IP地址,那么他的网络就不通了。我们现在针对静态IP地址的绑定讲解一个实例。 查看网卡MAC地址 先点击“开始”选择“运行”,然后在里面输入“ipconfig /all”命令,这就可以查出自己的网卡地址。如下图: 记录后再到代理服务器端让网络管理员把您上网的静态IP地址与所记录计算机的网卡地址进行捆绑。具体命令是: ARP -s 192.168.0.4 00-EO-4C-6C-08-75 这样,就将您上网的静态IP地址192.168.0.4与网卡地址为00-EO-4C-6C-08-75的计算机绑定在一起了,即使别人盗用您的IP地址192.168.0.4也无法通过代理服务器上网。其中应注意的是此项命令仅在局域网中上网的代理服务器端有用,还要是静态IP地址,像一般的Modem拨号上网是动态IP地址就不起作用。接下来我们对各参数的功能作一些简单的介绍: ARP �-s�� -d��-a� -s——将相应的IP地址与物理地址的捆绑。 -d——删除所给出的IP地址与物理地址的捆绑。 -a——通过查询Arp协议表来显示IP地址和对应物理地址情况。 作为一个网络管理人员,如果对MAC地址和IP的绑定能灵活熟练的运用,就会创建一个十分安全有利的环境,可以大大减小安全隐患。
ARP欺骗方式共分为两种:一种是对路由器ARP表的欺骗,该种攻击截获网关数据。通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息,导致上网时断时通或上不了网;另一种是对内网PC的网关欺骗,仿冒网关的mac地址,发送arp包欺骗别的客户端,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网,造成上网时断时通或上不了网。
针对这种情况瑞星公司提供以下解决办法:
方法一、在收到ARP欺骗的本机,在开始--运行中,输入“cmd”,进入ms-dos,通过命令行窗口输入“arp -a”命令,查看ARP列表。会发现该MAC已经被替换成攻击机器的MAC,将该MAC记录(以备查找),然后根据此MAC找出中病毒的计算机。
方法二、借助第三方抓包工具(如sniffer或antiarp)查找局域网中发arp包最多的IP地址,也可判断出中病毒计算机。
造成arp欺骗的病毒,其实是普通的病毒,只要判断出发包源,使用杀毒软件进行清查,是可以彻底解决的。
下个anti ARP sniffer现在叫arp防火墙的可以防,然后根据它拦截下来的IP找到中病毒的那台机,把那台机杀了毒就不会了
局域网内有台电脑中了arp病毒,怎么以最快速度确定出这台主机
所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,令其杀毒,方可解决。找出病毒计算机的方法:如果已有病毒计算机的MAC地址,可使用NBTSCAN软件找出网段内与该MAC地址对应的IP,即病毒计算机的IP地址,然后可报告校网络中心对其进行查封。参考资料:<a href="http:\/\/www.15gw.com\/a\/Net\/2010\/040...
局域网中有电脑中了arp病毒
arp –a 在“ Internet Address ”下找到上步记录的网关 IP 地址,记录其对应的物理地址,即“ Physical Address ”值,例如“ 00-01-e8-1f-35-54 ”。在网络正常时这就是网关的正确物理地址,在网络受“ ARP 欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。也可以扫描本子网内的...
怎么查出局域网中哪一个电脑中了ARP病毒,它老是发ARP来冲突网关!_百度...
单单的一个防火墙是不行的,现在你们的电脑都是在局域网里共享的,并且共享一个出口带宽。而arp属于以太网中正常的协议行为。arp欺骗属于以太网自身的协议漏洞。比如你提到的arp欺骗。但是你共享的网络里还是一大堆arp垃圾广播包。有条件的话你可以用抓包软件分析看看比如国产的科来分析软件。内网充斥这大...
局域网内的一台电脑访问A电脑老要用户名和密码
你在那台电脑上手动将网络凭据添加进去就好了。
怎样有效判断局域网里哪台机器中了arp病毒?
可以在路由器里看每台电脑的外网连线数,如果没有BT迅雷下载连线数肯定不会超过两位数,中ARP病毒的电脑连线数都会有几千。这个方法最快,可以迅速查处中毒电脑给其断网。一般的企业路由器都有这个功能。还有一种方法比较麻烦,就是一台一台查。你只要看每台电脑的本地连线就可以了(就是萤幕右下脚那两个小电脑)。
局域网防护(ARP)是什么?需要开启吗
局域网防护(ARP)是360一项防护功能,先了解ARP是什么:ARP病毒并不是某一种病毒的名称,而是对利用ARP协议的漏洞进行传播的一类病毒的总称。ARP病毒并不是某一种病毒的名称,而是对利用ARP协议的漏洞进行传播的一类病毒的总称。当局域网内有某台电脑运行了此类ARP欺骗的木马的时候,其他用户原来直接通过...
局域网中电脑A访问路由器连接下的子网电脑B怎么实现?电脑A和路由器同一...
默认路由就可以了。图上的子网掩码255.255.255.128有点复杂,不懂。需要网关10.28.40.129的路由器设置路由,使电脑A能跳回无线路由器10.28.40.200,访问192.168.1.XXX。电脑B,电脑C是能互相访问,也能访问电脑A,但电脑A不能访问电脑B,C ,所以要电脑A的网关设置路由表来跳转到内部网段。
...有时“网络”中却又没有A机,有时又能找到,怎么回事?
1、在Windows防火墙中“例外”“选项卡”中,选中“文件和打印机共享”2、在资源管理器中,“工具—文件夹选项—查看—使用简单文件共享(推荐)不选中 3、XP自带的“共享文档”设置为共享。右击“共享文档”—属性—共享—共享此文件夹选中。将需要共享的文档复制到此“共享文档”。六、重启电脑 祝好运...
局域网中B电脑可以访问A电脑中的共享文件。但是当A电脑的管理员账户加...
当你开启了guest账户却还是根本不能访问时,请检查设置是否为拒绝guest从网络访问计算机,因为XP默认是不允许guest从网络登录的,所以即使开了guest也一样不能访问。在开启了系统Guest用户的情况下解除对Guest账号的限制,点击“开始→运行”,在“运行”对话框中输入“GPEDIT.MSC”,打开组策略编辑器,依次...
局域网中出现陌生IP
你下载Anti ARP Sniffer软件,看看局域网内是否有人中了ARP欺骗病毒造成的 http:\/\/www.hunnu.edu.cn\/Antiarp.exe 下载 附:Anti Arp Sniffer 的使用方法 双击Anti Arp图标,出现所示对话框。输入网关地址,(点击“开始”à “运行”,在窗口中输入“cmd”,点“确定”,调出“命令提示符”。输入并...
妫态清肝: 一、找出病毒的根源 首先打开局域网内所有电脑,随后下载了一款名为“Anti Arp Sniffer”的工具,这是一款ARP防火墙软件,该软件通过在系统内核层拦截虚假ARP数据包来获取中毒电脑的IP地址和MAC地址.此外,该软件能有效拦截ARP...
蓟县18415294871: 我自己的电脑中了arp欺骗病毒,是局域网内的病毒源怎么办? - ?
妫态清肝: arp防止 开始--运行--cmd--arp -a 查看中毒机器arp列表.找到那台mac地址电脑 隔离杀毒,或者按照arp防火墙 拦截 在上网设备上设置如路由器上做 ip地址 计算机mac 地址绑定 就能防止arp攻击 首先要能登录你的网络设备路由等.然后做mac地址绑定
蓟县18415294871: 局域网有电脑中arp病毒请求帮助! - ?
妫态清肝: 局域网中使用路由器共享上网的话,推荐你使用以下杀毒查毒方法:1:把1.2.3.号机器断网2.找个有网的机下个ARP专杀,再装个ARP防火墙,就OK了其实只要去下个360安全卫士就OK了http://...
蓟县18415294871: 局域网内有ARP病毒,怎么解决??
妫态清肝: 局域网内有病毒暂时没有很好的杀毒软件去杀,只能靠手工查找哪台机器中毒,然后将这个机器从局域网里断开,重装操作系统打好补丁、装好杀毒程序后再让其接入网络. arp防火墙要在自己的机器还没中毒的情况下提前安装,然后配置好网关才管用.arp防火墙在一定程度上遏制了arp病毒对本机的影响,但不能说它能完全防御arp攻击.
蓟县18415294871: 局域网内的ARP病毒怎样解决?
妫态清肝: ARP病毒也叫ARP地址欺骗类病毒,这是一类特殊的病毒.该病毒一般属于木马病毒,不具备主动传播的特性,不会自我复制,但是由于其发作的时候会向全网发送伪造的ARP数据包,严重干扰全网的正常运行,其危害甚至比一些蠕虫病毒还要...
蓟县18415294871: 公司局域网最近有电脑中ARP病毒了!经常性掉线一会又连上!因为有3个24口的交换机!机器也比较多! - ?
妫态清肝: 不是的,ARP病毒其实是一种攻击行为,原理就是攻击者冒充网关或者特定的IP给你发信息,让你以为他就是网关或者特定地址,你一上网信息都先发到他那里去了,你装个360安全卫士,开启ARP防火墙看看,你说的掉线一会又连上不一定是ARP病毒的问题,可能是其他问题造成的,你找个会操作交换机的人,看一下掉线机端口的状态,看工作模式协商是否正常,collision的包是不是又很多~ 最高告诉你一下 ARP病毒其实不是常见的,如果你360的ARP防火墙发现ARP攻击了 多半是人为攻击
蓟县18415294871: 局域网内 中ARP 病毒了 请高手帮忙 - ?
妫态清肝: 我遇到过你的问题,以为是系统中病毒了、重装系统、病毒又查不出来,电脑经常打开网页 分析问题原因: 首先排除硬件问题可以使用 1.中了arp攻击或欺骗 2.或者是别人下载抢占带宽了,导致你网页打不开 解决办法:1、在你上不去的电脑...
蓟县18415294871: 公司电脑中了局域网ARP病毒,怎么样才能彻底清楚??
妫态清肝: 要想彻底清除,就要一台台的杀毒,把中毒的电脑找出来,病毒杀掉,然后每个电脑安装一个ARP防火墙,每台电脑的ARP防火墙设置都自动终止本台计算机发送的ARP攻击,以后局域网内就不会有ARP攻击了.
蓟县18415294871: 局域网中有人进行arp攻击怎么办?
妫态清肝: 你好朋友,这情况应当是你局域网中其它电脑中了ARP病毒了,这情况个人建议你按360提示的MAC地址,找到那台中毒的电脑清理那台电脑的病毒就可以了.
蓟县18415294871: 局域网中了ARP病毒 应该怎么办??
妫态清肝: 装个ARP防火墙,然后杀毒
