ARP病毒原理 当局域网内有机器中ARP病毒时,ARP病毒会将该机器的MAC地址映射到网关的IP地址上,向局域网内大量发送 ARP包,致同一网段地址内的其它机器误将其作为网关,掉线时内网是互通的,计算机却不能上网。
中ARP病毒电脑表现症状
当局域网内有某台电脑中了此类ARP欺骗的木马的时候,其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。 由于ARP欺骗的木马发作的时候会发出大量的数据包导致局域网通讯拥塞,用户会感觉上网速度越来越慢。当木马程序停止运行时,用户会恢复从路由器上网,切换中用户会再断一次线
还有表现局域网内的电脑IP、协议
设置都没有问题,却访问不了路由,连不上互联网。
那么我们如何确认是否中了ARP病毒,最直接简单的方法,就是通过cmd命令行: arp -a 来查看,如图: 此主题相关图片如下:1.jpg
正常情况下,只有一行返回值,如果出现多列返回值,那么估计就是中了ARP病毒了 临时解决方法 进入MS-DOS窗口,输入命令:arp –d将arp缓存中的内容删空,计算机可暂时恢复上网,一旦能上网就立即将网络断掉,禁用网卡或拔掉网线,再运行arp –a。 〇解决思路 不要把你的网络安全信任关系建立在IP基础上或MAC基础上。 设置静态的MAC--IP对应表,不要让主机刷新你设定好的转换表。 除非必要,否则停止ARP使用,把ARP做为永久条目保存在对应表中。 使用ARP服务器。确保这台ARP服务器不被黑。 使用"proxy"代理IP传输。 使用硬件屏蔽主机。 定期用响应的IP包中获得一个rarp请求,检查ARP响应的真实性。 定期轮询,检查主机上的ARP缓存。 使用防火墙连续监控网络。
解决方案 建议采用双向绑定解决和防止ARP欺骗。在电脑上绑定路由器的IP和MAC地址 首先,获得路由器的内网的MAC地址(例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa局域网端口MAC地址)。 编写一个批处理文件rarp.bat内容如下: @echo off arp -d arp -s 192.168.16.254 00-22-aa-00-22-aa 将网关IP和MAC更改为您自己的网关IP和MAC即可,让这个文件开机运行(拖到“开始-程序-启动”)。 ARP防火墙:下载地址
http://hpcn.biz/Soft/Soft_911.html
ARP病毒查杀
http://hpcn.biz/Soft/Soft_911.html ARP攻击时的主要现象: 1、网上银行、游戏及QQ账号的频繁丢失 一些人为了获取非法利益,利用ARP欺骗程序在网内进行非法活动,此类程序的主要目的在于破解账号登陆时的加密解密算法,通 过截取局域网中的数据包,然后以分析数据通讯协议的方法截获用户的信息。运行这类木马病毒,就可以获得整个局域网中上网用 户账号的详细信息并盗取。 2、网速时快时慢,极其不稳定,但单机进行光纤数据测试时一切正常 当局域内的某台计算机被ARP的欺骗程序非法侵入后,它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包, 阻塞网络通道,造成网络设备的承载过重,导致网络的通讯质量不稳定。 3、局域网内频繁性区域或整体掉线,重启计算机或网络设备后恢复正常 当带有ARP欺骗程序的计算机在网内进行通讯时,就会导致频繁掉线,出现此类问题后重启计算机或禁用网卡会暂时解决问题,但掉 线情况还会发生
