局域网中如何清理ARP 病毒

ARP 病毒的症状:

有时候无法正常上网,有时候有好了,包括访问网上邻居也是如此,拷贝文件无法完成,出现错误;局域网内的ARP 包爆增,使用Arp 查询的时候会发现不正常的Mac 地址,或者是错误的Mac 地址对应,还有就是一个Mac 地址对应多个IP 的情况也会有出现。

ARP 攻击的原理:

ARP 欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警:第一以太网数据包头的源地址、目标地址和ARP 数据包的协议地址不匹配。或者,ARP数据包的发送和目标地址不在自己网络网卡MAC 数据库内,或者与自己网络MAC 数据库MAC/IP 不匹配。这些统统第一时间报警,查这些数据包(以太网数据包)的源地址(也有可能伪造),就大致知道那台机器在发起攻击了。现在有网络管理工具比如网络执法官、P2P 终结者也会使用同样的方式来伪装成网关,欺骗客户端对网关的访问,也就是会获取发到网关的流量,从而实现网络流量管理和网络监控等功能,同时也会对网络管理带来潜在的危害,就是可以很容易的获取用户的密码等相关信息。

处理办法:

通用的处理流程:

1 .先保证网络正常运行

方法一:编辑个***.bat 文件内容如下:

arp.exe s

**.**.**.**(网关ip) ****

**

**

**

**(网关mac 地址)

end

让网络用户点击就可以了!

办法二:编辑一个注册表问题,键值如下:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]

“mac“=“arp s

网关IP 地址网关Mac 地址“

然后保存成Reg 文件以后在每个客户端上点击导入注册表。

2 找到感染ARP 病毒的机器。

a:在电脑上ping 一下网关的IP 地址,然后使用ARP -a 的命令看得到的网关对应的MAC 地址是否与实际情况相符,如不符,可去查找与该MAC 地址对应的电脑。

b:使用抓包工具,分析所得到的ARP 数据报。有些ARP 病毒是会把通往网关的路径指向自己,有些是发出虚假ARP 回应包来混淆网络通信。第一种处理比较容易,第二种处理比较困难,如果杀毒软件不能正确识别病毒的话,往往需要手工查找感染病毒的电脑和手工处理病毒,比较困难。

c:使用mac 地址扫描工具,nbtscan 扫描全网段IP 地址和MAC 地址对应表,有助于判断感染ARP 病毒对应MAC 地址和IP 地址。

预防措施:

1,及时升级客户端的操作系统和应用程式补丁;

2,安装和更新杀毒软件。

4,如果网络规模较少,尽量使用手动指定IP 设置,而不是使用DHCP 来分配IP 地址。

5,如果交换机支持,在交换机上绑定MAC 地址与IP 地址。

分类:局域网
时间:2015-10-08

局域网中如何清理ARP 病毒的相关文章

揪出藏在局域网中的ARP病毒

最近,小武单位的局域网总是不稳定,连连出现断网的现象。给同事们网络办公带来很多不便。起初小武还以为局内信息中心故障呢?可是小武发现掉线越来越频繁。与信息中心联系后,才发现其他单位电脑正常,没有发生过掉线现象。小武这下才认定问题出现在自己单位。经过对硬件检测后,小武断定是病毒在捣鬼!根据局域网内计算机频繁掉线的现象,小武认为单位的某台电脑可能中了“ARP”的病毒,这种病毒有些杀毒软件很难根除,于是小武便在局域网内展开了ARP病毒捕杀过程。

局域网中ARP攻击和浏览器挟持的解决方法

在局域网中,通过ARP协议来进行IP地址(第三层)与第二层物理地址(即MAC地址)的相互转换。网吧中的一些设备如路由器、装有TCP/IP协议的电脑等都提供ARP缓存表,以提高通信速度。目前很多带有ARP欺骗功能的攻击软件都是利用ARP协议的这个特点来对网络设备进行攻击,通过伪造的MAC与局域网内的IP地址对应,并修改路由器或电脑的ARP缓存表,使得具有合法MAC的电脑无法与IP对应,从而无法通过路由器上网。 在掉线重启路由器后,ARP缓存表会刷新,网络会在短时间内恢复正常,待ARP攻击启动后,又

局域网ARP病毒检测 ARP断网攻击查杀及防御方法

局域网受到ARP断网攻击怎么办呢?ARP攻击,通过伪造网关实现拦截任何通过自身的数据包,从而造成整个局域网通信的混乱及数据的丢失,严重时会造成整个局域网上网的瘫痪。因此必须采取有效的措施以防止ARP造成的断网攻击,同时还需要采取有效的检测技术实现“早发现早防御”的长效机制。接下来就与大家一起来探讨一下有关ARP攻防的具体解决办法。

局域网中解决ARP病毒的有效方法

一、找出病毒的根源 首先打开局域网内所有电脑,随后下载了一款名为“Anti Arp Sniffer”的工具,这是一款ARP防火墙软件,该软件通过在系统内核层拦截虚假ARP数据包来获取中毒电脑的IP地址和MAC地址。此外,该软件能有效拦截ARP病毒的攻击,保障该电脑数据流向正确。 使用“Anti Arp Sniffer”查找感染毒电脑时,启动该程序,随后在右侧的“网关地址”项中输入该局域网内的网关IP,随后单击“枚取MAC”这是该出现会自动获取到网关电脑网卡的MAC地址。MAC获取后单击“自动保护

怎样追踪并查杀局域网ARP病毒

目前防护局域网中ARP木马病毒最有效的方法是通过网关和终端双向绑定ip和mac地址来实现,但是这种方法还是不能有效的阻止ARP对局域网的攻击,原因何在?其实最重要的原因是在我们发现ARP病毒并设置双向绑定时,ARP病毒早已更改了本地电脑的MAC地址,从而导致绑定无效。另一方面就是人为的破坏,比如说局域网中有人使用P2P终结者等诸多情况,都可能导致局域网中充斥着大量的ARP包,这些都将会导致网络性能的下降。针对这些问题,我们应该如何面对和解决呢?下面笔者就如何解决此类问题的方法和经验拿来与大家分享。

win7系统通过清理缓存来达到防止arp病毒攻击的方法

今天小编来为大家介绍win7系统如何清除缓存防止arp病毒攻击,所谓ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击.特别是在清除缓存的情况下,用户容易遇到arp病毒攻击.病毒不是我们所希望的,那我们该如何预防arp病毒攻击呢?下面小编就来为大家介绍具体方法. 1.按下win+r组合键,打开运行窗口,然后输入cmd命令,并按下回

如何清除arp病毒

咨询:局域网内大部分电脑不可以上网,但是上不了网的机子ping网关是通的.我初步估计是中了ARP病毒了,可是该如何清除arp病毒成为了最为头疼的事情. 答复:你的判断没错,是中了ARP病毒. 手工查找感染arp病毒的主机太过于烦琐,可以使用网络监听工具,看一下局域网内哪台主机的ARP包特多.利用ARP协议进行攻击一般会出现 MAC相同的用户,如果手中有MAC表那就可以对应着找了. 笔者建议你在局域网内所有主机都装上ARP卫士,这样就算有机器想攻击也不行了.ARP卫士可以从病毒源上对非法的ARP数

Win7系统如何清除arp病毒

1.同时按下Windows标志键及R键,打开运行;在运行窗口中输入"cmd",然后回车或者单击确定按钮,进入命令提示符界面; 2.在命令提示符下输入:ipconfig /all,查看本机的IP及MAC地址; 3.在命令提示符下输入:arp -a,显示在电脑缓存中存储的IP与MAC地址对应表,同时可查看网关的IP地址及MAC地址; 4.在命令提示符下键入:arp -d,删除IP与MAC地址对应表,并重新建立; 5.在局域网中找到ARP病毒的源头,通过ARP -a命令中获得的网关的MAC地

安全,360安全卫士如何设置才能防止ARP病毒攻击

我们在使用网络时,特别是有多台电脑的局域网,有时会出现网络时好时坏的情况,这其中一个原因是网络中存在arp病毒,并在攻击网关,导致网络瘫痪,360安全卫士有个设置可以避免此现象的发生,那么,360安全卫士如何设置才能防止ARP病毒避免ARP病毒攻击呢?