ARP病毒攻击的防范和处理

ARP病毒攻击的防范和处理如果在使用网络时速度越来越慢，直至掉线，而过一段时间后又可能恢复正常，或者，重启路由器后又可正常上网。故障出现时，网关ping不通或有数据丢失，那么很有可能是受到了ARP病毒攻击。下面我就谈谈对这种情况处理的一些意见。一、首先诊断是否为ARP病毒攻击1、当发现上网明显变慢，或者突然掉线时，我们可以用arp-命令来检查ARP表：（点击开始按钮-选择运行-输入cmd点击确定按钮，在窗口中输入arp-a命令）如果发现网关的MAC地址发生了改变，或者发现有很多IP指向同一个物理地址，那么肯定就是ARP欺骗所致。2、利用AntiARPSniffer软件查看（详细使用略）。二、找出ARP病毒主机如果已经不能上网，则先运行一次命令arp–d将arp缓存中的内容删空，计算机(电脑)可暂时恢复上网(攻击如果不停止的话)，一旦能上网就立即将网络断掉(禁用网卡或拔掉网线)，再运行arp–a。1、用“arp–d”命令，只能临时解决上网问题，要从根本上解决问题，就得找到病毒主机。通过上面的arp–a命令，可以判定改变了的网关MAC地址或多个IP指向的物理地址，就是病毒机的MAC地址。哪么对应这个MAC地址的主机又是哪一台呢，windows中有ipconfig/all命令查看每台的信息，但如果电脑(计算机(电脑))数目多话，一台台查下去不是办法，因此可以下载一个叫“NBTSCAN”的软件，它可以取到PC的真实IP地址和MAC地址。命令：“nbtscan-r192.168.80.0/24”（搜索整个192.168.80.0/24网段,即192.168.80.1-192.168.80.254）；或“nbtscan192.168.80.25-137”搜索192.168.80.25-137网段，即192.168.80.25-192.168.80.137。输出结果第一列是IP地址，最后一列是MAC地址。这样就可找到病毒主机的IP地址。2、如果手头一下没这个软件怎么办呢？这时也可在客户机运行路由跟踪命令如：tracert–d，马上就发现第一条不是网关机的内网ip，而是本网段内的另外一台机器的IP，再下一跳才是网关的内网IP；正常情况是路由跟踪执行后的输出第一条应该是默认网关地址，由此判定第一跳的那个非网关IP地址的主机就是罪魁祸首。当然找到了IP之后，接下来是要找到这个IP具体所对应的机子了，如果你每台电脑(计算机(电脑))编了号，并使用固定IP，IP的设置也有规律的话，那么就很快找到了。但如果不是上面这种情况，IP设置又无规律，或者IP是动态获取的那该怎么办呢？难道还是要一个个去查？非也！你可以这样：把一台机器的IP地址设置成与作祟机相同的相同，然后造成IP地址冲突，使中毒主机报警然后找到这个主机。三、处理病毒主机1、用杀毒软件（反病毒软件或防毒软件）查毒，杀毒。2、建议重装系统，一了百了。（当然你应注意除系统盘外其他盘有无病毒）四、如何防范ARP病毒攻击1、从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。因此很多人建议用户采用双向绑定的方法解决并且防止ARP欺骗，这个确实是最好解决的办法，但如果电脑(计算机(电脑))数量多的情况下，在路由器上作绑定工作量将很大，我个人认为主要做好在PC上绑定路由器的IP和MAC地址就行了，在PC上绑定可以按下面方法做：1）首先，获得路由器的内网的MAC地址（例如网关地址172.16.1.254的MAC地址为0022aa0022ee）。2）编写一个批处理文件rarp.bat内容如下：@echooffarp-darp-s172.16.1.25400-22-aa-00-22-ee将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。将这个批处理软件拖到“windows--开始--程序--启动”中。这样即减轻了一台台设置的麻烦，也避免了由于电脑(计算机(电脑))重新启动使得数据又要重做的麻烦。当然最好电脑(计算机(电脑))要有还原卡和保护系统，使得这个批处理不会被随意删除掉。2、作为网络管理员，我认为应该充分利用一些工具软件，备一些常用的工具，就ARP而言，推荐在手头准备这样几个软件：①“AntiARPSniffer”（使用AntiARPSniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包，并能查找攻击主机的IP及MAC地址）。②“NBTSCAN”（NBTSCAN可以取到PC的真实IP地址和MAC地址，利用它可以知道局域网内每台IP对应的MAC地址）③“网络执法官”（一款局域网管理辅助（是通过模拟人工手动操作，实现自动打怪，自动挂机等）软件，采用网络底层协议，能穿透各客户端防火墙对网络中的每一台主机、交换机等配有IP的网络设备进行监控；采用网卡号（MAC）识别用户，主要功能是依据管理员为各主机限定的权限，实时监控整个局域网，并自动对非法用户进行管理，可将非法用户与网络中某些主机或整个网络隔离，而且无论局域网中的主机运行何种防火墙，都不能逃避监控，也不会引发防火墙警告，提高了网络安全性）3、定时检查局域网病毒，对机器进行病毒扫描，平时给系统安装好补丁程序，最好是局域网内每台电脑(计算机(电脑))保证有杀毒软件（反病毒软件或防毒软件）（可升级）4、指导好网络内使用者不要随便点击打开QQ、MSN等聊天工具上发来的链接信息，不要随便打开或运行陌生、可疑文件和程序，如邮件中的陌生附件，外挂(改变网络游戏软件的程序)程序等。5、建议对局域网的每一台电脑(计算机(电脑))尽量作用固定IP，路由器不启用DHCP，对给网内的每一台电脑(计算机(电脑))编一个号，每一个号对应一个唯一的IP，这样有利用以后故障的查询也方便管理。并利用“NBTSCAN”软件查出每一IP对应的MAC地址，建立一个“电脑(计算机(电脑))编号-IP地址-MAC地址”一一对应的数据库。--------如何防止ARP攻击！路由共享上网，2M的5人用！在路由里设置了静态IP-----IP和MAC对应！也只设成有限的几个！今天开机上网居然上了一下就上不了！其中的四个人有嫌疑，IP可以改，MAC也可以改！显示过攻击的MAC都有其中的三个人！自己也开了个AntiArp软件防护，居然没作用！以前如果给攻击了就会提示！---------------------（就是给别人用网管之类的软件限制不能上网）今天有时就有提示，有提示也不能上网，这个软件等于失效了！路由的设置是我控制----------可以排除是路由限制！我自己动手改网的MAC重新连上有时可以，有时不可以，就算可以也是只能上一会就不行！我想有人先用软件禁止我上网，然后改用了我的MAC上网！这个软件的功能肯定很强大！用了这个软件就等于先发制人！可能所用和网关通讯的数据都给它欺骗了！所以无论我怎么做也没用！不明白的是，开了个AntiArp也没用！-------------不过也难怪，软件的东西出来就就肯定有破解的了，以前新出的时候可以有软件去限别人的网速，后来出了个防ARP欺骗的，现在我的这个防ARP欺骗（AntiArp）的也不起作用------不会是版本太低吧！郁闷呀！E天的高手快来支招吧！------我觉得局域网内应该有人使用ARP欺骗的木马程序（比如：魔兽是一款非常著名的即时战略游戏世界，劲舞团等盗号的软件，某些外挂(改变网络游戏软件的程序)中也被恶意加载了此程序）。1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在IP+MAC基础上。2、设置静态的MAC--IP对应表，不要让主机刷新你设定好的转换表。3、除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。4、使用ARP服务器。通过该服务器(server网络资源)查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。5、使用proxy代理IP的传输。6、使用硬件屏蔽主机。设置好你的路由，确保IP地址能到达合法的路径。（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。7、管理员定期用响应的IP包中获得一个rarp请求，然后检查ARP响应的真实性。8、管理员定期轮询，检查主机上的ARP缓存。9、使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢失。--每台主机都有一个临时存放IP-MAC的对应表ARP攻击就通过更改这个缓存来达到欺骗的目的,使用静态的ARP来绑定正确的MAC是一个有效的方法.在命令行下使用arp-a可以查看当前的ARP缓存表.以下是本机的ARP表：C:\DocumentsandSettings\cnqingarp-aInterface:192.168.0.1onInterface0x1000003InternetAddressPhysicalAddressType192.168.0.100-03-6b-7f-ed-02dynamic其中代表动态缓存,即收到一个相关ARP包就会修改这项.如果是个非法的含有不正确的网关的ARP包,这个表就会自动更改.这样我们就不能找到正确的网关MAC,就不能正常和其他主机通信.静态表的建立用ARP-SIPMAC.执行arp-s192.168.0.100-03-6b-7f-ed-02后,我们再次查看ARP缓存表.C:\DocumentsandSettings\cnqingarp-aInterface:192.168.0.1onInterface0x1000003InternetAddressPhysicalAddressType192.168.0.100-03-6b-7f-ed-02static此时TYPE项变成了static,静态类型.这个状态下,是不会在接受到ARP包时改变本地缓存的.从而有效的防止ARP攻击.静态的ARP条目在每次重启后都要消失需要重新设置.此时我们就可以自己写一个批处理文件，文件内容如下：@echooffarp-darp-s192.168.0.100-03-6b-7f-ed-02写好之后我们把它存储为rarp.bat，再把此文件放到开始菜单-程序-启动栏，这样每次启动机器时，就自动执行此批处理文件。菜单-程序-启动栏默认目录：C:\DocumentsandSettings\AllUsers\「开始」菜单\程序\启动。---arp修改和显示“地址解析协议”Arp显示和修改“地址解析协议(ARP)”缓存中的项目。ARP缓存中包含一个或多个表，它们用于存储IP地址及其经过解析的以太网或令牌环物理地址。计算机(电脑)上安装的每一个以太网或令牌环网络适配器都有自己单独的表。如果在没有参数的情况下使用，则arp命令将显示帮助信息。语法arp[-a[InetAddr][-NIfaceAddr]][-g[InetAddr][-NIfaceAddr]][-dInetAddr[IfaceAddr]][-sInetAddrEtherAddr[IfaceAddr]]参数-a[InetAddr][-NIfaceAddr]显示所有接口的当前ARP缓存表。要显示特定IP地址的ARP缓存项，请使用带有InetAddr参数的arp-a，此处的InetAddr代表IP地址。如果未指定InetAddr，则使用第一个适用的接口。要显示特定接口的ARP缓存表，请将-NIfaceAddr参数与-a参数一起使用，此处的If