最佳答案1如何快速解決局域網(wǎng)中ARP病毒

使用AntiArp軟件抵御ARP攻擊,。   先查明本機(jī)的網(wǎng)關(guān)IP地址，可通過(guò)以下操作獲?。狐c(diǎn)擊“開始”按鈕->選擇“運(yùn)行”->輸入“cmd”點(diǎn)擊“確定”->輸入“ipconfig”按回車,，“Default ateway”后的IP地址就是網(wǎng)關(guān)地址,。      運(yùn)行AntiArp,，在管理右欄那“網(wǎng)關(guān)地址”里填入剛才查到的IP地址，然后點(diǎn)擊“獲取MAC”,，檢查網(wǎng)關(guān)IP地址和MAC地址無(wú)誤后,，點(diǎn)擊“自動(dòng)保護(hù)”,。   2. 除用AntiArp軟件外，也可以用arp命令抵御ARP攻擊（也就是手動(dòng)修改了）：   先打開命令提示符窗口（方法如上）,，然后用“arp –a”命令查出默認(rèn)網(wǎng)關(guān)和mac地址   運(yùn)行arp –a 命令后會(huì)得出類似如下列表   Internet Address Physical Address Type   222.200.112.1 00-e0-fc-22-ab-c2 dynamic   其中Internet Address就是默認(rèn)網(wǎng)關(guān),，Physical Address就是mac地址   然后就用“arp -s 默認(rèn)網(wǎng)關(guān) mac地址”進(jìn)行綁定   例如: arp –s 222.200.112.1 00-e0-fc-22-ab-c2   不過(guò)因?yàn)檫@重啟機(jī)后是不起作用的，如需開機(jī)就自行綁定arp,，則需利用bat處理文件   該bat文件寫法如下:   @echo off   arp -d   arp -s 網(wǎng)關(guān)IP地址 網(wǎng)關(guān)MAC地址   然后再將該bat文件加入“啟動(dòng)”項(xiàng),，系統(tǒng)啟動(dòng)后會(huì)自動(dòng)執(zhí)行arp命令綁定網(wǎng)關(guān)。

ARP 病毒攻擊癥狀：

有時(shí)候無(wú)法正常上網(wǎng),，有時(shí)候有好了,，包括訪問(wèn)網(wǎng)上鄰居也是如此，拷貝文件無(wú)法完成,，出現(xiàn)錯(cuò)誤,；局域網(wǎng)內(nèi)的ARP 包爆增，使用Arp 查詢的時(shí)候會(huì)發(fā)現(xiàn)不正常的Mac 地址,，或者是錯(cuò)誤的Mac 地址對(duì)應(yīng),，還有就是一個(gè)Mac 地址對(duì)應(yīng)多個(gè)IP 的情況也會(huì)有出現(xiàn)。

ARP 攻擊的原理：

ARP 欺騙攻擊的包一般有以下兩個(gè)特點(diǎn),，滿足之一可視為攻擊包報(bào)警:第一以太網(wǎng)數(shù)據(jù)包頭的源地址,、目標(biāo)地址和ARP 數(shù)據(jù)包的協(xié)議地址不匹配?；蛘?，ARP數(shù)據(jù)包的發(fā)送和目標(biāo)地址不在自己網(wǎng)絡(luò)網(wǎng)卡MAC 數(shù)據(jù)庫(kù)內(nèi)，或者與自己網(wǎng)絡(luò)MAC 數(shù)據(jù)庫(kù)MAC/IP 不匹配,。這些統(tǒng)統(tǒng)第一時(shí)間報(bào)警,，查這些數(shù)據(jù)包(以太網(wǎng)數(shù)據(jù)包)的源地址(也有可能偽造)，就大致知道那臺(tái)機(jī)器在發(fā)起攻擊了?，F(xiàn)在有網(wǎng)絡(luò)管理工具比如網(wǎng)絡(luò)執(zhí)法官,、P2P 終結(jié)者也會(huì)使用同樣的方式來(lái)偽裝成網(wǎng)關(guān)，欺騙客戶端對(duì)網(wǎng)關(guān)的訪問(wèn)，也就是會(huì)獲取發(fā)到網(wǎng)關(guān)的流量,，從而實(shí)現(xiàn)網(wǎng)絡(luò)流量管理和網(wǎng)絡(luò)監(jiān)控等功能,，同時(shí)也會(huì)對(duì)網(wǎng)絡(luò)管理帶來(lái)潛在的危害,，就是可以很容易的獲取用戶的密碼等相關(guān)信息,。

處理辦法：

通用的處理流程：

1 .先保證網(wǎng)絡(luò)正常運(yùn)行

方法一：編輯個(gè)***.bat 文件內(nèi)容如下：

arp.exe s

**.**.**.**（網(wǎng)關(guān)ip） ****

**

**

**

**（

網(wǎng)關(guān)mac 地址）

end

讓網(wǎng)絡(luò)用戶點(diǎn)擊就可以了!

辦法二：編輯一個(gè)注冊(cè)表問(wèn)題，鍵值如下：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"mac"="arp s

網(wǎng)關(guān)IP 地址網(wǎng)關(guān)Mac 地址"

然后保存成Reg 文件以后在每個(gè)客戶端上點(diǎn)擊導(dǎo)入注冊(cè)表,。

2 找到感染ARP 病毒的機(jī)器,。

a：在電腦上ping 一下網(wǎng)關(guān)的IP 地址，然后使用ARP －a 的命令看得到的網(wǎng)關(guān)對(duì)應(yīng)

的MAC 地址是否與實(shí)際情況相符,，如不符,，可去查找與該MAC 地址對(duì)應(yīng)的電腦。

b：使用抓包工具,，分析所得到的ARP 數(shù)據(jù)報(bào),。有些ARP 病毒是會(huì)把通往網(wǎng)關(guān)的路徑指向自己，有些是發(fā)出虛假ARP 回應(yīng)包來(lái)混淆網(wǎng)絡(luò)通信,。第一種處理比較容易,，第二種處理比較困難，如果殺毒軟件不能正確識(shí)別病毒的話,，往往需要手工查找感染病毒的電腦和手工處理病毒,，比較困難。

c：使用mac 地址掃描工具,，nbtscan 掃描全網(wǎng)段IP 地址和MAC 地址對(duì)應(yīng)表,，有助于判斷感染ARP 病毒對(duì)應(yīng)MAC 地址和IP 地址。

預(yù)防措施：

1,，及時(shí)升級(jí)客戶端的操作系統(tǒng)和應(yīng)用程式補(bǔ)?。?/span>

2,，安裝和更新殺毒軟件,。

4，如果網(wǎng)絡(luò)規(guī)模較少,，盡量使用手動(dòng)指定IP 設(shè)置,，而不是使用DHCP 來(lái)分配IP 地址。

5,，如果交換機(jī)支持,，在交換機(jī)上綁定MAC 地址與IP 地址。（不過(guò)這個(gè)實(shí)在不是好主意）

最佳答案2

一,、找出病毒的根源

首先打開局域網(wǎng)內(nèi)所有電腦,，隨后下載了一款名為“Anti Arp Sniffer”的工具，這是一款ARP防火墻軟件，該軟件通過(guò)在系統(tǒng)內(nèi)核層攔截虛假ARP數(shù)據(jù)包來(lái)獲取中毒電腦的IP地址和MAC地址,。此外,，該軟件能有效攔截ARP病毒的攻擊，保障該電腦數(shù)據(jù)流向正確,。

使用“Anti Arp Sniffer”查找感染毒電腦時(shí),，啟動(dòng)該程序，隨后在右側(cè)的“網(wǎng)關(guān)地址”項(xiàng)中輸入該局域網(wǎng)內(nèi)的網(wǎng)關(guān)IP,，隨后單擊“枚取MAC”這是該出現(xiàn)會(huì)自動(dòng)獲取到網(wǎng)關(guān)電腦網(wǎng)卡的MAC地址(見圖1),。MAC獲取后單擊“自動(dòng)保護(hù)”按鈕，這樣“Anti Arp Sniffer”便開始監(jiān)視通過(guò)該網(wǎng)關(guān)上網(wǎng)的所有電腦了,。

片刻功夫,，看到系統(tǒng)的任務(wù)欄中的“Anti Arp Sniffer”圖標(biāo)上彈出一個(gè)“ARP欺騙數(shù)據(jù)包”提示信息(見圖2)。這就說(shuō)明該軟件已經(jīng)偵測(cè)到ARP病毒,。于是打開“Anti Arp Sniffer”程序的主窗口,，在程序的“欺騙數(shù)據(jù)詳細(xì)記錄”列表中看到一條信息(見圖3)，這就是“Anti Arp Sniffer”程序捕獲的ARP病毒信息,。

其中“網(wǎng)關(guān)IP地址”和“網(wǎng)關(guān)MAC地址”兩項(xiàng)中是網(wǎng)關(guān)電腦的的真實(shí)地址,，后面的欺騙機(jī)MAC地址就是中ARP病毒的MAC地址。ARP病毒將該局域網(wǎng)的網(wǎng)關(guān)指向了這個(gè)IP地址,，導(dǎo)致其他電腦無(wú)法上網(wǎng),。

二、獲取欺騙機(jī)IP

“Anti Arp Sniffer”雖然能攔截ARP病毒,，但是不能有效的根除病毒,。要想清除病毒,決定還要找到感染ARP病毒的電腦才行。通過(guò)“Anti Arp Sniffer”程序已經(jīng)獲取了欺騙機(jī)的MAC,，這樣只要找到該MAC對(duì)應(yīng)的IP地址即可,。

獲取IP地址，請(qǐng)來(lái)了網(wǎng)管工具“網(wǎng)絡(luò)執(zhí)法官”,，運(yùn)行該出現(xiàn)后,，在“指定監(jiān)控范圍”中輸入單位局域網(wǎng)IP地址段，隨后單擊“添加/修改”按鈕,，這樣剛剛添加的IP地址段將被添加到下面的IP列表中,。如果局域網(wǎng)內(nèi)有多段IP，還可以進(jìn)行多次添加,。添加后,，單擊“確定”按鈕，進(jìn)入到程序主界面,。“網(wǎng)絡(luò)執(zhí)法官”開始對(duì)局域網(wǎng)內(nèi)的所有電腦進(jìn)行掃描,，隨后顯示出所有在線電腦信息,，其中包括網(wǎng)卡MAC地址、內(nèi)網(wǎng)IP地址,、用戶名,、上線時(shí)間以及下線時(shí)間等。在這樣我就可以非常方便地通過(guò)MAC查找對(duì)應(yīng)的IP地址了(見圖4),。

三,、清除ARP病毒

順藤摸瓜，通過(guò)IP地址有找到了感染病毒的電腦,，第一反應(yīng)就是將這臺(tái)電腦斷網(wǎng),，隨后在該電腦上運(yùn)行“ARP病毒專殺”包中的“TSC.EXE”程序,，該程序運(yùn)行后,，自動(dòng)掃描電腦中的ARP病毒，功夫不大就將該電腦上的ARP病毒清除了,。