局域网内的ARP病毒怎样解决
使用AntiArp软件抵御ARP攻击。 先查明本机的网关IP地址,可通过以下操作获取:点击“开始”按钮->选择“运行”->输入“cmd”点击“确定”->输入“ipconfig”按回车,“Default ateway”后的IP地址就是网关地址。 运行AntiArp,在管理右栏那“网关地址”里填入刚才查到的IP地址,然后点击“获取MAC”,检查网关IP地址和MAC地址无误后,点击“自动保护”。 2. 除用AntiArp软件外,也可以用arp命令抵御ARP攻击(也就是手动修改了): 先打开命令提示符窗口(方法如上),然后用“arp –a”命令查出默认网关和mac地址 运行arp –a 命令后会得出类似如下列表 Internet Address Physical Address Type 222.200.112.1 00-e0-fc-22-ab-c2 dynamic 其中Internet Address就是默认网关,Physical Address就是mac地址 然后就用“arp -s 默认网关 mac地址”进行绑定 例如: arp –s 222.200.112.1 00-e0-fc-22-ab-c2 不过因为这重启机后是不起作用的,如需开机就自行绑定arp,则需利用bat处理文件 该bat文件写法如下: @echo off arp -d arp -s 网关IP地址 网关MAC地址 然后再将该bat文件加入“启动”项,系统启动后会自动执行arp命令绑定网关。
ARP 病毒攻击症状:
有时候无法正常上网,有时候有好了,包括访问网上邻居也是如此,拷贝文件无法完成,出现错误;局域网内的ARP 包爆增,使用Arp 查询的时候会发现不正常的Mac 地址,或者是错误的Mac 地址对应,还有就是一个Mac 地址对应多个IP 的情况也会有出现。
ARP 攻击的原理:
ARP 欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警:第一以太网数据包头的源地址、目标地址和ARP 数据包的协议地址不匹配。或者,ARP数据包的发送和目标地址不在自己网络网卡MAC 数据库内,或者与自己网络MAC 数据库MAC/IP 不匹配。这些统统第一时间报警,查这些数据包(以太网数据包)的源地址(也有可能伪造),就大致知道那台机器在发起攻击了。现在有网络管理工具比如网络执法官、P2P 终结者也会使用同样的方式来伪装成网关,欺骗客户端对网关的访问,也就是会获取发到网关的流量,从而实现网络流量管理和网络监控等功能,同时也会对网络管理带来潜在的危害,就是可以很容易的获取用户的密码等相关信息。
处理办法:
通用的处理流程:
1 .先保证网络正常运行
方法一:编辑个***.bat 文件内容如下:
arp.exe s
**.**.**.**(网关ip) ****
**
**
**
**(
网关mac 地址)
end
让网络用户点击就可以了!
办法二:编辑一个注册表问题,键值如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"mac"="arp s
网关IP 地址网关Mac 地址"
然后保存成Reg 文件以后在每个客户端上点击导入注册表。
2 找到感染ARP 病毒的机器。
a:在电脑上ping 一下网关的IP 地址,然后使用ARP -a 的命令看得到的网关对应
的MAC 地址是否与实际情况相符,如不符,可去查找与该MAC 地址对应的电脑。
b:使用抓包工具,分析所得到的ARP 数据报。有些ARP 病毒是会把通往网关的路径指向自己,有些是发出虚假ARP 回应包来混淆网络通信。第一种处理比较容易,第二种处理比较困难,如果杀毒软件不能正确识别病毒的话,往往需要手工查找感染病毒的电脑和手工处理病毒,比较困难。
c:使用mac 地址扫描工具,nbtscan 扫描全网段IP 地址和MAC 地址对应表,有助于判断感染ARP 病毒对应MAC 地址和IP 地址。
预防措施:
1,及时升级客户端的操作系统和应用程式补丁;
2,安装和更新杀毒软件。
4,如果网络规模较少,尽量使用手动指定IP 设置,而不是使用DHCP 来分配IP 地址。
5,如果交换机支持,在交换机上绑定MAC 地址与IP 地址。(不过这个实在不是好主意)
对于ARP,可以安装360的ARP防火墙,想要彻底清除它,可以通过ARP
-A
命令,查看网关,这样可以找到,病毒机器!然后断网杀毒即可。
您好!
ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接。
为了防止ARP的攻击您可以下载专门的ARP防护软件,但我们还是建议您下载腾讯电脑管家,用管家中的ARP防火墙来解决。
下载安装电脑管家在工具中找到ARP防火墙双击进入即可,如图:
电脑管家不仅可以给您决绝ARP的问题,而且它集合木马、病毒查杀于一身,其电脑加速、电脑诊所、清理垃圾、工具箱等功能可以有效的防止你的电脑受到病毒侵袭,以及让你的电脑可以运转快速、更加稳定。
祝你生活愉快,更多问题可以向电脑管家企业平台提问哦!!
腾讯电脑管家企业平台:http://zhidao.baidu.com/c/guanjia/
对于ARP病毒,即使你的机器没有感染病毒,但你所在的局域网中有机器感染了病毒。你仍然会被不能忍受的网速、无故
掉线以及网址的重定向所困扰。在ARP欺骗病毒开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址( 即所
有信息的MAC New地址都一致为病毒主机的MAC地址),同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。
(1)在命令行下输入并执行以下命令:ipconfig /all记录网关 IP 地址,即Default Gateway对应的值。
(2)再输入并执行以下命令:arp –a
(3)在Internet Address下找到上步记录的网关IP地址,记录其对应的物理地址,即Physical Address 值。 在网络正常
时这就是网关的正确物理地址,在网络受ARP欺骗病毒影响而不正常时,它就是病毒所在计算机的网卡物理地址。也可以扫描
本子网内的全部IP地址,然后再查ARP表。如果有一个IP对应的物理地址与网关的相同,那么这个IP地址和物理地址就是中毒
计算机的IP地址和网卡物理地址。本方法可在一定程度上减轻中木马的其它计算机对本机的影响。 用上边介绍的方法确定正
确的网关 IP地址和网关物理地址。
(4) 输入并执行以下命令:arp –s 网关 IP 网关物理地址 。
(5) 对感染病毒的机器进行杀毒处理。
安全建议:
(1) 安装防病毒软件,并更新至最新病毒库,然后对内存和硬盘进行全面扫描。
(2) 更新操作系统补丁,修复弱口令。
(3) 使用文件共享功能,应先设置好权限并加上一定强度的密码,尽量不设置可写或可控制。
该病毒变种有局域网“杀手”之称,除具备以往ARP病毒发作的特征,诸如:局域网内部分计算机不能正常上网,或是所有计算机均不能上网,还有无法打开Web网页或打开Web 网页速度较慢以及局域网连接时断时续并且网速较慢等现象以外,它还会向局域网内发送伪造的ARP欺骗广播,并将受感染的计算机系统伪装成局域网网关,当局域网中的计算机系统发出访问Web网页请求的时候,伪装成网关的计算机系统会把Web网页下载下来并在其中添加一段恶意地址代码一并发送给发出请求的计算机,造成该计算机系统访问Web网站时会主动连接该恶意网址。并且会导致局域网内任意电脑访问网页时,打开的网页都被杀毒软件报告带毒,同时该带毒网页会通过微软的MS06-014和MS07-017两个系统漏洞给电脑植入一个木马下载器,而该木马下载器会下载10多个恶性网游木马,可以盗多款网络账号及密码。 防范措施: 1、立即升级操作系统中的防病毒软件和防火墙,同时打开“实时监控”功能,实时地拦截来自局域网络上的各种ARP病毒变种。 2、立即根据自己的操作系统版本下载微软MS06-014( http://www.microsoft.com/china/technet/security/bulletin/ms06-014.mspx)和MS07-017( http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx)两个系统漏洞补丁程序,将补丁程序安装到局域网络中存在这两个漏洞的计算机系统中,防止病毒变种的感染和传播。 3、检查是否已经中毒: a. 在设备管理器中, 单击“查看—显示隐藏的设备” b. 在设备树结构中,打开“非即插即用设备” c. 查找是否存在:“NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter”,如果存在,就表明已经中毒。 4、对没有中毒机器,可以下载软件Anti ARP Sniffer,填入网关,启用自动防护,保护自己的ip地址以及网关地址,保证正常上网。 5、对已经中毒电脑可以用以下方法手动清除病毒: (1)删除:%windows%\System32\LOADHW.EXE (有些电脑可能没有) (2)a. 在设备管理器中, 单击“查看—显示隐藏的设备” b. 在设备树结构中,打开“非即插即用设备” c. 找到 “NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter” d. 右点击,”卸载” e. 重启系统 (3)删除:%windows%\System32\drivers\npf.sys (4)删除%windows%\System32\msitinit.dll(有些电脑可能没有) (5)删除注册表服务项:开始〉运行〉regedit〉打开,进入注册表,全注册表搜索npf.sys,把文件所在文件夹Npf整个删除.(应该有2个).至此arp病毒清除. (6)根据经验,该病毒会下载大量病毒,木马及恶意软件,并修改winsocks,导致不能打开网页,不能打开netmeeting等,为此还需要做下面几步工作: a.用清理助手,360等软件清理恶意软件,木马. b.检查并删除下列文件并相关启动项: 1)%windows%\System32\nwizwmgjs.exe(一般诺顿会隔离) 2)%windows%\System32\nwizwmgjs.dll(一般诺顿会隔离) 3)%windows%\System32\ravzt.exe(一般诺顿会隔离) 4)%windows%\System32\ravzt.dat 3)%windows%\System32\googleon.exe c.重置winsocks(可以用兔子等软件修复,下面介绍一个比较简单的办法): 开始>运行>CMD,进入命令提示符,输入cd..回车,一直退出至c盘根目录,在C:>下输入netsh winsock reset回车,然后按提示重启计算机
做双绑+arp免强+antiarp防火墙
做双绑+arp免疫+antiarp防火墙
你是否需要了解?
局域网内的ARP病毒怎样解决
1、做好IP-MAC地址的绑定工作(即将IP地址与硬件识别地址绑定),在交换机和客户端都要绑定,这是可以使局域网免疫ARP病毒侵扰的好办法。2、全网所有的电脑都打上MS06-014和MS07-017这两个补丁,这样可以免疫绝大多数网页木马,防止在浏览网页的时候感染病毒。MS06-014 中文版系统补丁下载地址:http:...
如何彻底解决ARP攻击?
如果记录的MAC地址与客户端列表中的MAC地址不符,表明存在ARP攻击,攻击源为该客户端所在的主机。4. 确认攻击源后,立即对其进行隔离。可以通过物理隔离或路由器设置隔离。通常,局域网内的ARP攻击是由病毒感染引起的。隔离攻击源后,对其进行彻底检查。如果无法清除病毒,可选择格式化硬盘并重装操作系统。
局域网中了arp断网病毒,电脑蓝屏,求大神
将该MAC记录(以备查找),然后根据此MAC找出中病毒的计算机。方法二、借助第三方抓包工具(如sniffer或antiarp)查找局域网中发arp包最多的IP地址,也可判断出中病毒计算机。造成arp欺骗的病毒,其实是普通的病毒,只要判断出发包源,使用杀毒软件进行清查,是可以彻底解决的。
单位局域网中了ARP病毒,共几百台机器,怎么查出,怎么杀掉
【解决方法】您好!通常对待局域网中的ARP病毒处理方法:1.检测确认是否中了ARP病毒。ARP病毒的症状:上网时好时断,访问网上邻居也是如此,拷贝文件无法完成,出现错误;局域网内的ARP包爆增,使用ARP查询的时候会发现不正常的MAC地址,或者是错误的MAC地址对应,还有就是一个MAC地址对应多个IP的情况也会...
win7系统中了arp病毒怎么办|win7系统彻底清除arp病毒的方法
win7电脑如果出现经常无法上网,经常无缘无故断网,这个时候你需要检查下是不是中了arp病毒了。那么win7系统中了arp病毒怎么办?需要怎么清除?下面一起看看解决的方法。推荐:具体的解决方法:1、同时按下Windows标志键及R键,打开运行;在运行窗口中输入“cmd”,然后回车或者单击确定按钮,进入命令提示...
局域网中毒怎么办?
局域网内的电脑一台中毒,会不会导致其他部分电脑不能上网?关键要看是什么病毒。如果是单纯文件破坏型的,不会影响其他的电脑。如果病毒带有网络攻击功能,这种病毒严重的可以瘫痪网络。局域网内某台电脑中毒会影响网络吗 楼主你好,根据你的描述很可能是某台电脑中了ARP病毒导致的,解决方法是首先在某一台...
如何彻底解决局域网内ARP攻击
从技术原理上,彻底解决ARP欺骗和攻击,要有三个技术要点。1、终端对网关的绑定要坚实可靠,这个绑定能够抵制被病毒捣毁。2、接入路由器或网关要对下面终端IP-MAC的识别始终保证唯一准确。3、网络内要有一个最可依赖的机构,提供对网关IP-MAC最强大的保护。它既能够分发正确的网关信息,又能够对出现的假...
我家里的路由器中了arp病毒怎么解决,
除非必要,否则停止ARP使用,把ARP做为永久条目保存在对应表中。使用ARP服务器。确保这台ARP服务器不被黑。使用"proxy"代理IP传输。使用硬件屏蔽主机。定期用响应的IP包中获得一个rarp请求,检查ARP响应的真实性。定期轮询,检查主机上的ARP缓存。使用防火墙连续监控网络。中病毒后解决方法:自己手动清除病毒...
电脑中了arp病毒怎么办(电脑被arp攻击怎么办)
2. 电脑遭受arp攻击怎么解决 电脑已经感染病毒,建议将杀毒软件升至到最新版本,全盘进行查杀~3. 如何arp攻击 ARP欺骗(英语:ARP spoofing),又称ARP毒化(ARP poisoning,网上上多译为ARP病毒)或ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术,通过欺骗局域网内访问者PC的网关MAC地址,使...
ARP病毒怎么除去
使用防火墙连续监控网络。一般出现局域网 网吧用户一般可以用ROS路由进行绑定,在主机上安装上ARP防火墙服务端,客户机安装客户端,双相绑定比较安全。软件百度搜索下 推荐软件:http:\/\/www.antiarp.com\/down.asp?ArticleID=81 市面上有众多的ARP防火墙 推荐使用360 建议采用双向绑定解决和防止ARP欺骗。在...