局域網ARP病毒快速處理→〖批次處理和防火牆〗 作者: wen 日期: 2007-7-5 12:42 閱讀: 1274 人 打印 收藏 大 中 小

wen

【分享】局域網ARP病毒快速處理→〖批次處理和防火牆〗
　最近ARP病毒極為猖獗，許多校園網及網吧因受到攻擊而導致網路緩慢、時斷時續或者徹底無法上網。我用的是校園網，也不幸遭遇到了ARP病毒攻擊，剛開始經過反復檢查網線，及網路狀況，發現並無斷線的情況，無奈之後上網查找資料才確定系ARP病毒搗鬼。

　　病毒故障現象及診斷

　　情況一：在局域網中當有用戶木馬程式通過ARP欺騙對網路進行攻擊，中毒的電腦會根據該網路的設置，克隆一個伺服器或者路由器的IP位址和MAC地址出來，以此來截獲網內發往外網的資料，這是典型的ARP欺騙案例。在攻擊的過程中，被攻擊的電腦常表現為突然不能上網，過段時間又能上網，常會反復掉線。

　　情況二：在局域網中某台電腦感覺ARP病毒後，會在網路中不斷地向其實電腦發送ARP欺騙，讓原本流向閘道的流量改道流向病毒主機，造成受害者上網網速變慢,經常出現掉線的情況。

　　情況三：在局域網當有ARP欺騙發生時，在IP位址設置正常的情況下，可能電腦會顯示“IP位址衝突”。

　　如網路用戶在使用電腦過程中，突然發現無法上網，可以先禁用網卡，然後再啟用，如果啟用之後能上網，就有可能是ARP病毒所致。

　　另外，也可以通過下如操作進行診斷：點擊"開始"按鈕->選擇"運行"->輸入"arp -d"->點擊"確定"按鈕，然後重新嘗試上網，如果能恢復正常，則說明此次掉線可能是受ARP欺騙所致。

　　注："arp -d"命令用於清除並重建本機arp表。"arp -d"命令並不能抵禦ARP欺騙，執行後仍有可能再次遭受ARP攻擊。



故障解決辦法

　　可以使用ARP -S命令捆綁IP位址和MAC位址，將網內所有用戶端都按找這個方法做好捆綁，確保其的唯一性。

　　編寫批次檔案如下：

@echo OFF
if %~n0==arp exit
if %~n0==Arp exit
if %~n0==ARP exit
echo 正在获取本机信息.....
:IP
FOR /f "skip=13 tokens=15 usebackq " %%i in (`ipconfig /all`) do Set IP=%%i && GOTO MAC
:MAC
echo IP:%IP%
FOR /f "skip=13 tokens=12 usebackq " %%i in (`ipconfig /all`) do Set MAC=%%i && GOTO GateIP
:GateIP
echo MAC:%MAC%
arp -s %IP% %MAC%
echo 正在获取网关信息.....
FOR /f "skip=17 tokens=13 usebackq " %%i in (`ipconfig /all`) do Set GateIP=%%i && GOTO GateMac
:GateMac
echo IP:%GateIP%
FOR /f "skip=3 tokens=2 usebackq " %%i in (`arp -a %GateIP%`) do Set GateMAC=%%i && GOTO Start
:Start
echo MAC:%GateMAC%
arp -d
arp -s %GateIP% %GateMAC%
echo 操作完成!!!
exit


　　把以上批次處理另存為ARP.BAT，然後把檔拖到“windows--開始--程式--啟動”中即可。如果是在網吧中，可以利用收費軟體服務端程式（pubwin或者萬象都可以）發送批次檔案rarp.bat到所有客戶機的啟動目錄。

　　使用以上的方法綁定IP及閘道之後，建議各位網友另外再安裝ARP防火牆，徹底拒絕病毒於大門之外。

ARP防火牆 V4.1.1 單機特別版(更新時間：2007-5-30 )
http://www.cncrk.com/downinfo/6530.html