ARP病毒查找與防范

一、首先診斷是否為ARP病毒攻擊

1、當發(fā)現(xiàn)上網(wǎng)明顯變慢，或者突然掉線時，我們可以用arp-命令來檢查ARP表：（點擊“開始”按鈕-選擇“運行”-輸入“cmd”點擊"確定"按鈕，在窗口中輸入“arp-a”命令）如果發(fā)現(xiàn)網(wǎng)關(guān)的MAC地址發(fā)生了改變，或者發(fā)現(xiàn)有很多IP指向同一個物理地址，那么肯定就是ARP欺騙所致。

2、利用AntiARPSniffer軟件查看（詳細使用略）。

二、找出ARP病毒主機

1、用“arp–d”命令，只能臨時解決上網(wǎng)問題，要從根本上解決問題，就得找到病毒主機。通過上面的arp–a命令，可以判定改變了的網(wǎng)關(guān)MAC地址或多個IP指向的物理地址，就是病毒機的MAC地址。哪么對應這個MAC地址的主機又是哪一臺呢，windows中有ipconfig/all命令查看每臺的信息，但如果電腦數(shù)目多話，一臺臺查下去不是辦法，因此可以下載一個叫“NBTSCAN”的軟件，它可以取到PC的真實IP地址和MAC地址。

命令：“nbtscan-r192.168.80.0/24”（搜索整個192.168.80.0/24網(wǎng)段,即192.168.80.1-192.168.80.254）；或“nbtscan192.168.80.25-137”搜索192.168.80.25-137網(wǎng)段，即192.168.80.25-192.168.80.137。輸出結(jié)果第一列是IP地址，最后一列是MAC地址。這樣就可找到病毒主機的IP地址。

2、如果手頭一下沒這個軟件怎么辦呢？這時也可在客戶機運行路由跟蹤命令如：tracert–dwww.163.com，馬上就發(fā)現(xiàn)第一條不是網(wǎng)關(guān)機的內(nèi)網(wǎng)ip，而是本網(wǎng)段內(nèi)的另外一臺機器的IP，再下一跳才是網(wǎng)關(guān)的內(nèi)網(wǎng)IP；正常情況是路由跟蹤執(zhí)行后的輸出第一條應該是默認網(wǎng)關(guān)地址，由此判定第一跳的那個非網(wǎng)關(guān)IP地址的主機就是罪魁禍首。

當然找到了IP之后，接下來是要找到這個IP具體所對應的機子了，如果你每臺電腦編了號，并使用固定IP，IP的設(shè)置也有規(guī)律的話，那么就很快找到了。但如果不是上面這種情況，IP設(shè)置又無規(guī)律，或者IP是動態(tài)獲取的那該怎么辦呢？難道還是要一個個去查？非也！你可以這樣：把一臺機器的IP地址設(shè)置成與作祟機相同的相同，然后造成IP地址沖突，使中毒主機報警然后找到這個主機。

三、處理病毒主機

1、用殺毒軟件查毒，殺毒。

2、建議重裝系統(tǒng)，一了百了。（當然你應注意除系統(tǒng)盤外其他盤有無病毒）

四、如何防范ARP病毒攻擊

1、從影響網(wǎng)絡(luò)連接通暢的方式來看，ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在PC看來，就是上不了網(wǎng)了，“網(wǎng)絡(luò)掉線了”。因此很多人建議用戶采用雙向綁定的方法解決并且防止ARP欺騙，這個確實是最好解決的辦法，但如果電腦數(shù)量多的情況下，在路由器上作綁定工作量將很大，我個人認為主要做好在PC上綁定路由器的IP和MAC地址就行了，在PC上綁定可以按下面方法做：

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]