現在局域網中感染ARP 病毒的情況比較多,清理和防範都比較困難,給不少的網路管理員造成了很多的困擾。下麵就是個人在處理這個問題的一些經驗,同時也在網上翻閱了不少的參考資料。
ARP 病毒的症狀:
有時候無法正常上網,有時候有好了,包括訪問網上鄰居也是如此,拷貝檔無法完成,出現錯誤;局域網內的ARP 包爆增,使用Arp 查詢的時候會發現不正常的Mac 地址,或者是錯誤的Mac 地址對應,還有就是一個Mac 地址對應多個IP 的情況也會有出現。
ARP 攻擊的原理:
ARP 欺騙攻擊的包一般有以下兩個特點,滿足之一可視為攻擊包報警:第一以太網數據包頭的源地址、目標地址和ARP 數據包的協議地址不匹配。或者,ARP數據包的發送和目標地址不在自己網路網卡MAC 資料庫內,或者與自己網路MAC 資料庫MAC/IP 不匹配。這些統統第一時間報警,查這些數據包(以太網數據包)的源地址(也有可能偽造),就大致知道那臺機器在發起攻擊了。現在有網路管理工具比如網路執法官、P2P 終結者也會使用同樣的方式來偽裝成網關,欺騙客戶端對網關的訪問,也就是會獲取發到網關的流量,從而實現網路流量管理和網路監控等功能,同時也會對網路管理帶來潛在的危害,就是可以很容易的獲取用戶的密碼等相關資訊。
處理辦法:
通用的處理流程:
1 .先保證網路正常運行
方法一:編輯個***.bat 檔內容如下:
arp.exe s
**.**.**.**(網關ip) ****
**
**
**
**(網關mac 地址)
end
讓網路用戶點擊就可以了!
辦法二:編輯一個註冊表問題,鍵值如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
“mac“=“arp s
網關IP 地址網關Mac 地址“
然後保存成Reg 檔以後在每個客戶端上點擊導入註冊表。
2 找到感染ARP 病毒的機器。
a:在電腦上ping 一下網關的IP 地址,然後使用ARP -a 的命令看得到的網關對應的MAC 地址是否與實際情況相符,如不符,可去查找與該MAC 地址對應的電腦。
b:使用抓包工具,分析所得到的ARP 數據報。有些ARP 病毒是會把通往網關的路徑指向自己,有些是發出虛假ARP 回應包來混淆網路通信。第一種處理比較容易,第二種處理比較困難,如果殺毒軟體不能正確識別病毒的話,往往需要手工查找感染病毒的電腦和手工處理病毒,比較困難。
c:使用mac 地址掃描工具,nbtscan 掃描全網段IP 地址和MAC 地址對應表,有助於判斷感染ARP 病毒對應MAC 地址和IP 地址。
預防措施:
1,及時升級客戶端的操作系統和應用程式補丁;
2,安裝和更新殺毒軟體。
4,如果網路規模較少,儘量使用手動指定IP 設置,而不是使用DHCP 來分配IP 地址。
5,如果交換機支持,在交換機上綁定MAC 地址與IP 地址。 |