返回列表 回復 發帖

局域網ARP病毒快速處理→〖批次處理和防火牆〗

作者: wen 日期: 2007-7-5 12:42 閱讀: 1275打印 收藏
【分享】局域網ARP病毒快速處理→〖批次處理和防火牆〗
 最近ARP病毒極為猖獗,許多校園網及網吧因受到攻擊而導致網路緩慢、時斷時續或者徹底無法上網。我用的是校園網,也不幸遭遇到了ARP病毒攻擊,剛開始經過反復檢查網線,及網路狀況,發現並無斷線的情況,無奈之後上網查找資料才確定系ARP病毒搗鬼。

  病毒故障現象及診斷

  情況一:在局域網中當有用戶木馬程式通過ARP欺騙對網路進行攻擊,中毒的電腦會根據該網路的設置,克隆一個伺服器或者路由器的IP位址和MAC地址出來,以此來截獲網內發往外網的資料,這是典型的ARP欺騙案例。在攻擊的過程中,被攻擊的電腦常表現為突然不能上網,過段時間又能上網,常會反復掉線。

  情況二:在局域網中某台電腦感覺ARP病毒後,會在網路中不斷地向其實電腦發送ARP欺騙,讓原本流向閘道的流量改道流向病毒主機,造成受害者上網網速變慢,經常出現掉線的情況。

  情況三:在局域網當有ARP欺騙發生時,在IP位址設置正常的情況下,可能電腦會顯示“IP位址衝突”。

  如網路用戶在使用電腦過程中,突然發現無法上網,可以先禁用網卡,然後再啟用,如果啟用之後能上網,就有可能是ARP病毒所致。

  另外,也可以通過下如操作進行診斷:點擊"開始"按鈕->選擇"運行"->輸入"arp -d"->點擊"確定"按鈕,然後重新嘗試上網,如果能恢復正常,則說明此次掉線可能是受ARP欺騙所致。

  注:"arp -d"命令用於清除並重建本機arp表。"arp -d"命令並不能抵禦ARP欺騙,執行後仍有可能再次遭受ARP攻擊。



故障解決辦法

  可以使用ARP -S命令捆綁IP位址和MAC位址,將網內所有用戶端都按找這個方法做好捆綁,確保其的唯一性。

  編寫批次檔案如下:

@echo OFF
if %~n0==arp exit
if %~n0==Arp exit
if %~n0==ARP exit
echo 正在获取本机信息.....
:IP
FOR /f "skip=13 tokens=15 usebackq " %%i in (`ipconfig /all`) do Set IP=%%i && GOTO MAC
:MAC
echo IP:%IP%
FOR /f "skip=13 tokens=12 usebackq " %%i in (`ipconfig /all`) do Set MAC=%%i && GOTO GateIP
:GateIP
echo MAC:%MAC%
arp -s %IP% %MAC%
echo 正在获取网关信息.....
FOR /f "skip=17 tokens=13 usebackq " %%i in (`ipconfig /all`) do Set GateIP=%%i && GOTO GateMac
:GateMac
echo IP:%GateIP%
FOR /f "skip=3 tokens=2 usebackq " %%i in (`arp -a %GateIP%`) do Set GateMAC=%%i && GOTO Start
:Start
echo MAC:%GateMAC%
arp -d
arp -s %GateIP% %GateMAC%
echo 操作完成!!!
exit


  把以上批次處理另存為ARP.BAT,然後把檔拖到“windows--開始--程式--啟動”中即可。如果是在網吧中,可以利用收費軟體服務端程式(pubwin或者萬象都可以)發送批次檔案rarp.bat到所有客戶機的啟動目錄。

  使用以上的方法綁定IP及閘道之後,建議各位網友另外再安裝ARP防火牆,徹底拒絕病毒於大門之外。

ARP防火牆 V4.1.1 單機特別版(更新時間:2007-5-30 )
http://www.cncrk.com/downinfo/6530.html
附件: 您所在的用戶組無法下載或查看附件
2005.12.04不預期遇見什麼、才可能什麼都能遇見。
如果你是會員,有任何使用上的問題,請發短訊給我(wen)
如果你是訪客的話,註冊之後可以得到完整的瀏覽權限
返回列表