ARP病毒攻击的防范和处理

1、ARP病毒攻击的防范和处理 如果在使用网络时速度越来越慢，直至掉线，而过一段时间后又可能恢复正常，或者，重启路由器后又可正常上网。故障出现时，网关ping 不通或有数据丢失，那么很有可能是受到了ARP病毒攻击。下面我就谈谈对这种情况处理的一些意见。 一、首先诊断是否为ARP病毒攻击 1、当发现上网明显变慢，或者突然掉线时，我们可以用arp-命令来检查ARP表：（点击 开始 按钮->选择运行->输入 cmd 点击 确定 按钮，在窗口中输入 arp -a 命令）如果发现网关的MAC地址发生了改变，或者发现有很多IP指向同一个物理地址，那么肯定就是ARP欺骗所致。 2、利用Anti AR

2、P Sniffer软件查看（详细使用略）。 二、找出ARP病毒主机 如果已经不能上网，则先运行一次命令arp d将arp缓存中的内容删空，计算机(电脑)可暂时恢复上网(攻击如果不停止的话)，一旦能上网就立即将网络断掉(禁用网卡或拔掉网线)，再运行arp a。1、用“arp d”命令，只能临时解决上网问题，要从根本上解决问题，就得找到病毒主机。通过上面的arp a命令，可以判定改变了的网关MAC地址或多个IP指向的物理地址，就是病毒机的MAC地址。哪么对应这个MAC地址的主机又是哪一台呢，windows中有ipconfig/all命令查看每台的信息，但如果电脑(计算机(电脑)数目多话，一台台查下

3、去不是办法，因此可以下载一个叫“NBTSCAN”的软件，它可以取到PC的真实IP地址和MAC地址。 命令：“nbtscan -r 192.168.80.0/24”（搜索整个192.168.80.0/24网段, 即 192.168.80.1-192.168.80.254）；或“nbtscan 192.168.80.25-137”搜索192.168.80.25-137 网段，即192.168.80.25-192.168.80.137。输出结果第一列是IP地址，最后一列是MAC地址。这样就可找到病毒主机的IP地址。 2、如果手头一下没这个软件怎么办呢？这时也可在客户机运行路由跟踪命令如：tracer

4、t d ，马上就发现第一条不是网关机的内网ip，而是本网段内的另外一台机器的IP，再下一跳才是网关的内网IP；正常情况是路由跟踪执行后的输出第一条应该是默认网关地址，由此判定第一跳的那个非网关IP 地址的主机就是罪魁祸首。 当然找到了IP之后，接下来是要找到这个IP具体所对应的机子了，如果你每台电脑(计算机(电脑)编了号，并使用固定IP，IP的设置也有规律的话，那么就很快找到了。但如果不是上面这种情况，IP设置又无规律，或者IP是动态获取的那该怎么办呢？难道还是要一个个去查？非也！你可以这样：把一台机器的IP地址设置成与作祟机相同的相同，然后造成IP地址冲突，使中毒主机报警然后找到这个主机。

5、三、处理病毒主机 1、用杀毒软件（反病毒软件或防毒软件杀毒软件下载）查毒，杀毒。 2、建议重装系统，一了百了。（当然你应注意除系统盘外其他盘有无病毒） 四、如何防范ARP病毒攻击 1、从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数

6、据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。因此很多人建议用户采用双向绑定的方法解决并且防止ARP欺骗，这个确实是最好解决的办法，但如果电脑(计算机(电脑)数量多的情况下，在路由器上作绑定工作量将很大，我个人认为主要做好在PC上绑定路由器的IP和MAC地址就行了，在PC上绑定可以按下面方法做： 1）首先，获得路由器的内网的MAC地址（例如网关地址172.16.1.254的MAC地址为0022aa0022ee）。 2）编写一个批处理文件rarp.bat内容如下： echo off arp -d arp -s 172.16.1.254 00-22-aa-00-2

7、2-ee 将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。将这个批处理软件拖到“windows-开始-程序-启动”中。 这样即减轻了一台台设置的麻烦，也避免了由于电脑(计算机(电脑)重新启动使得数据又要重做的麻烦。当然最好电脑(计算机(电脑)要有还原卡和保护系统，使得这个批处理不会被随意删除掉。 2、作为网络管理员，我认为应该充分利用一些工具软件，备一些常用的工具，就ARP而言，推荐在手头准备这样几个软件： “Anti ARP Sniffer”（使用Anti ARP Sniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包，并能查

8、找攻击主机的IP及MAC地址）。 “NBTSCAN”（NBTSCAN可以取到PC的真实IP地址和MAC地址，利用它可以知道局域网内每台IP对应的MAC地址） “网络执法官” （一款局域网管理辅助（是通过模拟人工手动操作辅助，实现自动打怪，自动挂机等）软件，采用网络底层协议，能穿透各客户端防火墙对网络中的每一台主机、交换机等配有IP的网络设备进行监控；采用网卡号（MAC）识别用户，主要功能是依据管理员为各主机限定的权限，实时监控整个局域网，并自动对非法用户进行管理，可将非法用户与网络中某些主机或整个网络隔离，而且无论局域网中的主机运行何种防火墙，都不能逃避监控，也不会引发防火墙警告，提高了网络安

9、全性） 3、定时检查局域网病毒，对机器进行病毒扫描，平时给系统安装好补丁程序，最好是局域网内每台电脑(计算机(电脑)保证有杀毒软件（反病毒软件或防毒软件杀毒软件下载）（可升级） 4、指导好网络内使用者不要随便点击打开QQ、MSN等聊天工具上发来的链接信息，不要随便打开或运行陌生、可疑文件和程序，如邮件中的陌生附件，外挂(改变网络游戏软件的程软件下载序)程序等。 5、建议对局域网的每一台电脑(计算机(电脑)尽量作用固定IP，路由器不启用DHCP，对给网内的每一台电脑(计算机(电脑)编一个号，每一个号对应一个唯一的IP，这样有利用以后故障的查询也方便管理。并利用“NBTSCAN”软件查出每一IP对

10、应的MAC地址，建立一个“电脑(计算机(电脑)编号-IP地址-MAC地址”一一对应的数据库。 -如何防止ARP攻击！路由共享上网，2M的5人用！在路由里设置了静态IP-IP和MAC对应！也只设成有限的几个！今天开机上网居然上了一下就上不了！其中的四个人有嫌疑，IP可以改，MAC也可以改！显示过攻击的MAC都有其中的三个人！自己也开了个AntiArp软件防护，居然没作用！以前如果给攻击了就会提示！-（就是给别人用网管之类的软件限制不能上网）今天有时就有提示，有提示也不能上网，这个软件等于失效了！路由的设置是我控制-可以排除是路由限制！我自己动手改网的MAC重新连上有时可以，有时不可以，就算可以也

11、是只能上一会就不行！我想有人先用软件禁止我上网，然后改用了我的MAC上网！这个软件的功能肯定很强大！用了这个软件就等于先发制人！可能所用和网关通讯的数据都给它欺骗了！所以无论我怎么做也没用！不明白的是，开了个AntiArp也没用！-不过也难怪，软件的东西出来就就肯定有破解的了，以前新出的时候可以有软件去限别人的网速，后来出了个防ARP欺骗的，现在我的这个防ARP欺骗（AntiArp）的也不起作用-不会是版本太低吧！郁闷呀！E天的高手快来支招吧！ -我觉得局域网内应该有人使用ARP欺骗的木马程序（比如：魔兽<是一款非常著名的即时战略游戏下载软件>世界，劲舞团等盗号的软件，某

12、些外挂(改变网络游戏软件的程软件下载序)中也被恶意加载了此程序）。1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在IP+MAC基础上。 2、设置静态的MAC->IP对应表，不要让主机刷新你设定好的转换表。 3、除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。 4、使用ARP服务器。通过该服务器(server网络资源下载)查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。 5、使用"proxy"代理IP的传输。 6、使用硬件屏蔽主机。设置好你的路由，确保I

13、P地址能到达合法的路径。（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。 7、管理员定期用响应的IP包中获得一个rarp请求，然后检查ARP响应的真实性。 8、管理员定期轮询，检查主机上的ARP缓存。 9、使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢失。-每台主机都有一个临时存放IP-MAC的对应表ARP攻击就通过更改这个缓存来达到欺骗的目的,使用静态的ARP来绑定正确的MAC是一个有效的方法.在命令行下使用arp -a可以查看当前的ARP缓存表.以下是本机的ARP表 ： C:Documents and Settingscnqin

14、g>arp -a Interface: 192.168.0.1 on Interface 0x1000003 Internet Address Physical Address Type 192.168.0.1 00-03-6b-7f-ed-02 dynamic 其中代表动态缓存,即收到一个相关ARP包就会修改这项.如果是个非法的含有不正确的网关的ARP包,这个表就会自动更改.这样我们就不能找到正确的网关MAC,就不能正常和其他主机通信.静态表的建立用ARP -S IP MAC. 执行arp -s 192.168.0.1 00-03-6b-7f-ed-02后,我们再次查看ARP缓存表.

15、C:Documents and Settingscnqing>arp -a Interface: 192.168.0.1 on Interface 0x1000003 Internet Address Physical Address Type 192.168.0.1 00-03-6b-7f-ed-02 static 此时"TYPE"项变成了"static",静态类型.这个状态下,是不会在接受到ARP包时改变本地缓存的.从而有效的防止ARP攻击.静态的ARP条目在每次重启后都要消失需要重新设置. 此时我们就可以自己写一个批处理文件，文件内容如下：

16、echo off arp -d arp -s 192.168.0.1 00-03-6b-7f-ed-02 写好之后我们把它存储为 rarp.bat，再把此文件放到开始菜单-程序-启动栏，这样每次启动机器时，就自动执行此批处理文件。菜单-程序-启动栏默认目录：C:Documents and SettingsAll Users开始菜单程序启动。-arp 修改和显示“地址解析协议”    Arp显示和修改“地址解析协议 (ARP)”缓存中的项目。ARP 缓存中包含一个或多个表，它们用于存储 IP 地址及其经过解析的以太网或令牌环物理地址。计算机(电脑)上安装的

17、每一个以太网或令牌环网络适配器都有自己单独的表。如果在没有参数的情况下使用，则 arp 命令将显示帮助信息。语法arp-a InetAddr -N IfaceAddr -g InetAddr -N IfaceAddr -d InetAddr IfaceAddr -s InetAddr EtherAddr IfaceAddr参数-a InetAddr -N IfaceAddr 显示所有接口的当前 ARP 缓存表。要显示特定 IP 地址的 ARP 缓存项，请使用带有 InetAddr 参数的 arp -a，此处的 InetAddr 代表 IP 地址。如果未指定 InetAddr，则使用第一个适用的

18、接口。要显示特定接口的 ARP 缓存表，请将 -N IfaceAddr 参数与 -a 参数一起使用，此处的 IfaceAddr 代表指派给该接口的 IP 地址。-N 参数区分大小写。-g InetAddr -N IfaceAddr 与 -a 相同。-d InetAddr IfaceAddr 删除指定的 IP 地址项，此处的 InetAddr 代表 IP 地址。对于指定的接口，要删除表中的某项，请使用 IfaceAddr 参数，此处的 IfaceAddr 代表指派给该接口的 IP 地址。要删除所有项，请使用星号 (*) 通配符代替 InetAddr。-s InetAddr EtherAddr I

19、faceAddr 向 ARP 缓存添加可将 IP 地址 InetAddr 解析成物理地址 EtherAddr 的静态项。要向指定接口的表添加静态 ARP 缓存项，请使用 IfaceAddr 参数，此处的 IfaceAddr 代表指派给该接口的 IP 地址。/?在命令提示符下显示帮助。注释? InetAddr 和 IfaceAddr 的 IP 地址用带圆点的十进制记数法表示。 ? EtherAddr 的物理地址由六个字节组成，这些字节用十六进制记数法表示并且用连字符隔开（比如，00-AA-00-4F-2A-9C）。 ? 通过 -s 参数添加的项属于静态项，它们不会 ARP 缓存超时。如果终止 T

20、CP/IP 协议后再启动，这些项会被删除。要创建永久的静态 ARP 缓存项，请将适当的 arp 命令置于批处理文件中，并使用“任务计划”在启动时运行该批处理文件。示例要显示所有接口的 ARP 缓存表，可键入：arp -a对于指派的 IP 地址为 10.0.0.99 的接口，要显示其 ARP 缓存表，可键入：arp -a -N 10.0.0.99要添加将 IP 地址 10.0.0.80 解析成物理地址 00-AA-00-4F-2A-9C 的静态 ARP 缓存项，可键入：arp -s 10.0.0.80 00-AA-00-4F-2A-9C临时处理对策：步骤一、在能上网时，进入MS-DOS窗口，输入

21、命令：arp a 查看网关IP对应的正确MAC地址，将其记录下来。解决ARP病毒欺骗攻击常用方法注：如果已经不能上网，则先运行一次命令arpd将arp缓存中的内容删空，计算机(电脑)可暂时恢复上网(攻击如果不停止的话)，一旦能上网就立即将网络断掉(禁用网卡或拔掉网线)，再运行arpa。步骤二、如果已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机(电脑)不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令：arps网关IP网关MAC例如：假设计算机(电脑)所处网段的网关为218.197.192.254，本机地址为218.197.192.1在计算机(电脑

22、)上运行arpa后输出如下：C:Documents and Settings>arp -aInterface: 218.197.192.1 - 0x2Internet Address Physical Address Type218.197.192.254 00-01-02-03-04-05 dynamic其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址，类型是动态(dynamic)的，因此是可被改变。被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC，如果大家希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，

23、为以后查找做准备。解决ARP病毒欺骗攻击常用方法手工绑定的命令为：arp s 218.197.192.254 00-01-02-03-04-05绑定完，可再用arp a查看arp缓存：C:Documents and Settings>arp -aInterface: 218.197.192.1 - 0x2Internet Address Physical Address Type218.197.192.254 00-01-02-03-04-05 static这时，类型变为静态(static)，就不会再受攻击影响了。但是，需要说明的是，手工绑定在计算机(电脑)关机重开机后就会失效，需要再绑

24、定。所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机(电脑)，令其杀毒，方可解决。找出病毒计算机(电脑)的方法：解决ARP病毒欺骗攻击常用方法如果已有病毒计算机(电脑)的MAC地址，可使用NBTSCAN软件找出网段内与该MAC地址对应的IP，即病毒计算机(电脑)的IP地址，然后可报告校网络中心对其进行查封。解决措施NBTSCAN的使用方法：下载nbtscan.rar到硬盘（硬碟HDD存储媒介之一）后解压，然后将cygwin1.dll和nbtscan.exe两文件拷贝到c:windowssystem32(或system)下，进入MSDOS窗口就可以输入命令：nbtscan-r218.197.192.0/24(假设本机所处的网段是218.197.192，掩码是255.255.255.0;实际使用该命令时，应将斜体字部分改为正确的网段)。注：使用nbtscan时，有时因为有些计算机(电脑)