- UID
- 2
- 帖子
- 8351
- 積分
- 13740
- 威望
- 30
- 金錢
- 527
- 貢獻
- 694
- 魅力
- 2041
- 閱讀權限
- 255
- 性別
- 男
- 在線時間
- 2106 小時
- 註冊時間
- 2005-10-4
- 最後登錄
- 2024-11-9
|
1#
發表於 2007-7-5 12:42
| 只看該作者
局域網ARP病毒快速處理→〖批次處理和防火牆〗
作者: wen 日期: 2007-7-5 12:42 閱讀: 1276 人
打印
收藏
大 中
小
【分享】局域網ARP病毒快速處理→〖批次處理和防火牆〗
最近ARP病毒極為猖獗,許多校園網及網吧因受到攻擊而導致網路緩慢、時斷時續或者徹底無法上網。我用的是校園網,也不幸遭遇到了ARP病毒攻擊,剛開始經過反復檢查網線,及網路狀況,發現並無斷線的情況,無奈之後上網查找資料才確定系ARP病毒搗鬼。
病毒故障現象及診斷
情況一:在局域網中當有用戶木馬程式通過ARP欺騙對網路進行攻擊,中毒的電腦會根據該網路的設置,克隆一個伺服器或者路由器的IP位址和MAC地址出來,以此來截獲網內發往外網的資料,這是典型的ARP欺騙案例。在攻擊的過程中,被攻擊的電腦常表現為突然不能上網,過段時間又能上網,常會反復掉線。
情況二:在局域網中某台電腦感覺ARP病毒後,會在網路中不斷地向其實電腦發送ARP欺騙,讓原本流向閘道的流量改道流向病毒主機,造成受害者上網網速變慢,經常出現掉線的情況。
情況三:在局域網當有ARP欺騙發生時,在IP位址設置正常的情況下,可能電腦會顯示“IP位址衝突”。
如網路用戶在使用電腦過程中,突然發現無法上網,可以先禁用網卡,然後再啟用,如果啟用之後能上網,就有可能是ARP病毒所致。
另外,也可以通過下如操作進行診斷:點擊"開始"按鈕->選擇"運行"->輸入"arp -d"->點擊"確定"按鈕,然後重新嘗試上網,如果能恢復正常,則說明此次掉線可能是受ARP欺騙所致。
注:"arp -d"命令用於清除並重建本機arp表。"arp -d"命令並不能抵禦ARP欺騙,執行後仍有可能再次遭受ARP攻擊。
故障解決辦法
可以使用ARP -S命令捆綁IP位址和MAC位址,將網內所有用戶端都按找這個方法做好捆綁,確保其的唯一性。
編寫批次檔案如下:
@echo OFF
if %~n0==arp exit
if %~n0==Arp exit
if %~n0==ARP exit
echo 正在获取本机信息.....
:IP
FOR /f "skip=13 tokens=15 usebackq " %%i in (`ipconfig /all`) do Set IP=%%i && GOTO MAC
:MAC
echo IP:%IP%
FOR /f "skip=13 tokens=12 usebackq " %%i in (`ipconfig /all`) do Set MAC=%%i && GOTO GateIP
:GateIP
echo MAC:%MAC%
arp -s %IP% %MAC%
echo 正在获取网关信息.....
FOR /f "skip=17 tokens=13 usebackq " %%i in (`ipconfig /all`) do Set GateIP=%%i && GOTO GateMac
:GateMac
echo IP:%GateIP%
FOR /f "skip=3 tokens=2 usebackq " %%i in (`arp -a %GateIP%`) do Set GateMAC=%%i && GOTO Start
:Start
echo MAC:%GateMAC%
arp -d
arp -s %GateIP% %GateMAC%
echo 操作完成!!!
exit
把以上批次處理另存為ARP.BAT,然後把檔拖到“windows--開始--程式--啟動”中即可。如果是在網吧中,可以利用收費軟體服務端程式(pubwin或者萬象都可以)發送批次檔案rarp.bat到所有客戶機的啟動目錄。
使用以上的方法綁定IP及閘道之後,建議各位網友另外再安裝ARP防火牆,徹底拒絕病毒於大門之外。
ARP防火牆 V4.1.1 單機特別版(更新時間:2007-5-30 )
http://www.cncrk.com/downinfo/6530.html |
附件: 您所在的用戶組無法下載或查看附件
2005.12.04不預期遇見什麼、才可能什麼都能遇見。
如果你是會員,有任何使用上的問題,請發短訊給我(wen)
如果你是訪客的話,註冊之後可以得到完整的瀏覽權限
|
|