下载文档原格式
ARP 病毒防治方案ARP 病毒利用 ARP 协议的漏洞,发送假的 ARP 数据包,使得同网段的计算机误以为中毒计算机是网关, 造成其它计算机上网中断。
为了避免中毒计算机对网络造成影响, 趋势科技提供以下解决方案,解决 ARP 病毒问题:采用网关 MAC 地址绑定工具,避免用户遭受攻击:ARP 病毒主要作用是发送假的 ARP 数据包,修改其他计算机的 ARP 缓存,让其他计算机误以为中毒计算机是网关,将数据包发送到中毒计算机。
因此在客户机上绑定网关的 MAC 地址,可以有效地避免用户遭受中毒计算机的袭击,影响用户上网。
趋势科技提供网关 MAC 地址绑定工具,通过运行该工具可以使用户计算机的 ARP 表中静态绑定网关的 MAC 地址。
部署方式:1. 建议采用 AD 下发的方式,通过域服务器将该文件部署到各加入域的计算机,并添加注册表启动项,使得所有登陆域服务器的计算机都会自动执行该程序,以绑定网关 MAC 地址;2. 将该程序放置于防病毒服务器的 PCCSRV 目录下, 修改登录域脚本, 添加如下内容: \\10.0.0.1\ofcscan\ipmac_bind_tools_silent.exe,这样加入域的计算机在启动检查完防病毒软件的安装情况之后, 会自动连接到防病毒服务器运行该程序, 绑定网关 MAC 地址,注意其中的 ip 地址需要替换成实际环境的地址;3. 同时可将该工具放置于共享服务器上,让没有加入 AD 域的计算机,可让自己运行该工具,运行该工具不会弹出任何窗口,不会对用户造成影响。
4. 如果没有域环境,趋势科技提供专用的 TSC 程序,通过部署 TSC 的方式,将该程序部署到所有安装有 Officescan 的客户端,并自动执行该程序。
部署方法如下 : 服务器端 :1. 解压缩后 , 将 ARP_Prevent.v999 目录下的 TSC.exe ,TSC.ptn ,ipmac_binds_tools.exe 放置在 OSCE 服务器安装目录下的 admin 目录中2. 修改配置文件 :在 OSCE 服务器安装目录下的 Autopcc.cfg 目录中 , 找到 ap95.ini 以及 apnt.ini 文件 , 在这两个文件中添加行 admin\ipmac_binds_tools.exe. 3. 然后执行 osce 服务器安装目录下 Admin\Utility\Touch中的tmtouch.exe:将 Admin\Utility\Touch中的 tmtouch.exe 复制到 Admin 目录下, 然后在命令行模式下切换到 C: \Program Files\TrendMicro\OfficeScan\PCCSRV\Admin下执行Tmtouch tsc.exeTmtouch tsc.ptnTmtouch ipmac_binds_tools.exe此命令会将以上文件的修改时间改为服务器的当前系统时间注意 :请确保服务器当前系统时间是正确的,如果服务器系统时间低与客户端系统时间则可能会导致自动部署失败注意以上操作请在服务器端进行。
ARP攻击防范与解决方案ARP(Address Resolution Protocol)攻击是一种常见的网络攻击手段,攻击者通过伪造ARP响应包,将目标主机的IP地址与自己的MAC地址进行绑定,从而实现中间人攻击、数据篡改等恶意行为。
为了保障网络安全,我们需要了解ARP 攻击的原理和防范方法。
一、ARP攻击原理1.1 ARP攻击原理:攻击者发送伪造的ARP响应包,欺骗目标主机将攻击者的MAC地址与目标主机的IP地址进行绑定。
1.2 中间人攻击:攻击者获取目标主机的通信数据,进行篡改或窃取敏感信息。
1.3 数据劫持:攻击者截取目标主机的通信数据,对数据进行篡改或篡改。
二、ARP攻击的危害2.1 窃取敏感信息:攻击者可以窃取目标主机的敏感信息,如账号密码、银行卡信息等。
2.2 数据篡改:攻击者可以篡改目标主机的通信数据,导致数据不一致或损坏。
2.3 网络拒绝服务:攻击者可以通过ARP攻击导致网络拥堵,影响网络正常运行。
三、ARP攻击防范方法3.1 ARP缓存监控:定期监控网络设备的ARP缓存表,及时发现异常ARP绑定。
3.2 静态ARP绑定:在网络设备上设置静态ARP绑定表,限制ARP响应包的发送。
3.3 ARP防火墙:使用ARP防火墙软件,对网络中的ARP流量进行监控和过滤。
四、ARP攻击解决方案4.1 使用ARP检测工具:如ARPWatch、ArpON等工具,检测网络中的ARP 攻击行为。
4.2 网络隔离:将网络划分为多个子网,减少ARP攻击的影响范围。
4.3 加密通信:使用加密通信协议,保护通信数据的安全性。
五、总结5.1 ARP攻击是一种常见的网络攻击手段,对网络安全造成严重威胁。
5.2 了解ARP攻击的原理和危害,采取相应的防范措施是保障网络安全的重要举措。
5.3 通过监控ARP缓存、设置静态ARP绑定、使用ARP防火墙等方法,可以有效防范和解决ARP攻击。
网络ARP病毒DIY攻克宝典一、ARP病毒问题及攻克1、中毒现象运算机往常可正常上网的,突然显现不能上网的现象(无法ping通网关),或者上网的时候时断时通,重启机器或在MSDOS窗口下运行命令ARP -d后,又可复原上网一段时刻。
2、中毒缘故这是APR病毒欺诈攻击造成的。
引起问题的缘故一样是由传奇外挂携带的ARP木马攻击。
当有同学在宿舍局域网内使用上述外挂时,外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上,向局域网内大量发送ARP包,从而致使同一网段地址内的其它机器误将其作为网关,这确实是什么缘故掉线时内网是互通的,运算机却不能上网的缘故。
3、检查自己是否中毒检查本机的“ARP 欺诈”木马染毒进程同时按住键盘上的“CTRL ”和“ALT ”键再按“DEL ”键,选择“任务治理器”,点选“进程”标签。
观看其中是否有一个名为“MIR0.dat ”的进程。
假如有,则说明差不多中毒。
右键点击此进程后选择“终止进程”。
同时查杀该病毒。
4、网络解毒剂DIY方法一:下载风云防火墙个人版V1.23软件并运行(下载://10.1.0.211/student/down.html ),同时把此软件ARP功能启用。
方法二:步骤一、在能上网时(假如差不多不能上网,则先运行一次命令arp -d将arp缓存中的内容删空),进入MS-DOS,输入命令:arp -a ,查看网关IP对应的正确MAC地址,将其记录下来。
步骤二:如差不多有正确的网关MAC地址,手工绑定可在MS-DOS窗口下运行以下命令:Arp -s 网关IP 网关MAC然而,需要说明的是,手工绑定在运算机关机重开机后就会失效,需要再次绑定。
二、解毒DIY的“外援”关于感染病毒的运算机,假如严峻的阻碍到网络通讯质量,造成恶劣阻碍的,学院网管中心有责任责令其杀毒,并对其采取断网的处理措施,直到其对网络无阻碍为止。
更重要的是,通过此次宣传,期望各位老师、同学能增强使用网络的安全意识,能主动安装查杀病毒软件和防火墙软件来保证本机的安全,同时这宜宾学院网管中心:// 也是对保证大伙儿共有网络的正常使用作出了奉献。
ARP病毒分析与防治一、实验目的简单了解ARP病毒的原理、感染方式、危害、预防和查杀方法二、实验原理(1) ARP简介ARP(Address Resolution Protocol,地址解析协议),局域网中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。
所谓的“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
ARP协议的基本功能是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
ARP是一种将IP转化成以IP对应的网卡的物理地址的一种协议,或者说ARP 协议是一种将IP地址转化成MAC地址的一种协议。
它靠在内存中保存的一张表来使IP得以在网络上被目标主机应答。
因为在TCP网络环境下,一个IP包走到哪里,要怎么走是靠路由表定义。
但是,当IP包到达该网络后,哪台机器响应这个IP包却是靠该IP包中所包含的MAC地址来识别的。
也就是说,只有机器的MAC 地址和该IP包中的MAC地址相同的机器才会应答这个IP包。
因为在网络中,每一台机器都会有发送IP包的时候,所以在每台机器的内存中,都有一个ARP—MAC 的转换表,通常是动态的转换表,也就是说该对应表会被主机在需要的时候刷新。
这是由于以太网在子网层上的传输是靠48位的MAC地址决定的。
ARP协议对网络安全具有重要的意义。
(2) ARP病毒的工作原理ARP病毒属于木马/蠕虫类病毒,windows95/98/Me/NT/2000/xp/2003将受到影响,病毒攻击的方式从影响网络连接畅通来看有两种:对路由器的ARP表的欺骗和对内网PC网关的欺骗。
前者是先截获网关数据,再将一系列的错误的内网MAC信息不停发送给路由器,造成路由器发出的也是错误的MAC地址,造成正常的PC无法收到信息。
后者是对内网的PC进行攻击,它先建立一个假网关,让被它欺骗的PC向假网关发送数据,使内网PC机的ARP表混乱,由于在局域网中,通过ARP 协议来完成IP地址转换为第二层物理地址(即MAC地址)的。
浅谈局域网ARP病毒的防治策略摘要:随着信息技术的突破性发展,互联网应用日益普及,目前,网络已经深入到人们日常工作、生活中的方方面面、各行各业。
由于网络资源具有开放性、共享性、互联性,因此在给人们生活和工作带来便利的同时在安全方面也潜藏着诸多隐患,为病毒提供了可乘之机。
ARP病毒是现如今局域网中较为广泛传播的病毒之一,它严重威胁着局域网的稳定性和安全性,发作时会导致局域网频繁终端严重时甚至会导致网络瘫痪、信息数据被盗,危害严重。
因此,对局域网ARP病毒的防治策略研究势在必行。
关键词:局域网ARP病毒防治策略1 ARP协议介绍ARP是地址解析协议的英文简写,全称为Address Resolution Protocol,它的工作原理是基于TCP/IP协议,局域网中的计算机安装该协议后会在ARP缓冲区内创建一个IP地址与MAC地址一一对应的映射表。
当局域网中一台计算机要与另一台计算发起链接时,首先要获得目标计算机的MAC地址,这是就需要利用ARP协议将IP地址转换为MAC地址。
此时,如果源计算机的ARP缓冲区中存在目标计算机的IP地址与MAC地址的对应关系,就会直接发送一个数据包到目标计算机的MAC地址;倘若源计算机的ARP缓冲区中没有该对应关系,就要对局域网广播ARP请求数据包来查询目标计算机的MAC地址。
由于该请求数据包是向局域网所有计算机发出的,因此目标计算机受到这个包含目标计算机IP地址和源计算机IP地址、MAC地址的数据包后会核对IP地址与自己是否一致,并返回一个响应数据包。
源计算机收到响应数据包后首先更新自己的ARP缓冲区列表并重新发起链接,从而完成两台计算机的链接,保证顺利的进行通信。
2 ARP病毒介绍2.1 中毒后的症状(1)遭到ARP病毒攻击的局域网计算机最明显的症状就是频繁断线,过一段时间又自己恢复,然后再断开、再恢复,同时网络流量猛增但传输数据的速度却很低甚至为零,利用“PING”命令PING网关会显示严重的数据包丢失或者PING不通。
arp攻击处理办法什么是arp攻击,需要怎么处理arp攻击呢,今天我就arp攻击的各个方面给大家全面的讲解一下,希望能帮助到大家。
什么是arp攻击ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
ARP攻击主要是存在于局域网网络中,局域网中若有一个人感染ARP木马,则感染该ARP木马的系统将会试图通过"ARP欺骗'手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
arp攻击处理办法1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上,(rarp 同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。
2、设置静态的MAC--IP对应表,不要让主机刷新你设定好的转换表。
3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
4、使用ARP服务器。
通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。
确保这台ARP服务器不被黑。
5、使用proxy代理IP的传输。
6、使用硬件屏蔽主机。
设置好你的路由,确保IP地址能到达合法的路径。
(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。
8、管理员定期轮询,检查主机上的ARP缓存。
9、使用防火墙连续监控网络。
注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
以上就是arp攻击处理办法的全部内容,希望对用户有帮助。
一招绝杀ARP病毒信不信由你,对于一般网络来讲,95%以上的问题都是发生在内网。
现实中,很难想象外部人员攻破了防火墙,进到内网转了一圈然后扬长而去这样的事情发生。
事情往往是这样的,一台电脑因上网或使用U盘中了毒,然后以它为“中心”影响到了公司内网;或有不轨之徒,将未授权的电脑轻松地接入了内网,因为内网没有任何安全策略,导致所有资源一览无余,同时TA还可以进行一些破坏活动,比如ARP攻击。
如何才能让内网变得更加安全?其实答案非常简单——牢牢管住每台交换机上的每个端口。
对交换机端口实施有效的管理,其目的是抑制存在风险的流量进入网络,只要做到这一点,什么ARP攻击,DHCP攻击等等,一切都将是浮云。
要知道,在内网中搞破坏其实很简单,所以我们必须具备一定的风险防御手段。
飞鱼星防攻击安全联动系统(ASN)注解:当路由器发现内网有SYN FLOOD类别的DDoS攻击时,它会将管理指令发给交换机,交换机在相关端口执行命令,关闭攻击源所在的端口,并实施5分钟的断网惩罚,以保护整体网络的安全和稳定。
今天我们要介绍的不是一款产品,而是一套方案——飞鱼星防攻击安全联动系统(ASN)。
ASN系统由路由器和交换机两部分组成,由于引入了交换机,所以这套系统可以将管理策略延伸至网络的末端,也就是交换机的每个端口上。
除了“延伸”了可管理性,ASN系统的另一大特点是设备间的联动,只需将交换机接入网络,路由器就可以自动查找并接管交换机。
这种设计的一大优势就是简化管理,试想,也许管理1台交换机很容易,但如果是10台交换机,甚至是更大型的网络该怎么办?集中管理手段还是很必要的。
飞鱼星 6200图片评测论坛报价网购实价我们先来看一下ASN联动系统的核心组件——路由器。
本次试用我们拿到的是Volans-6200,这是一款全千兆多WAN防火墙宽带路由器,针对网吧应用进行了大量优化。
6200内置了64位处理器,1G主频,内存达到了256M,最高支持40万条网络会话。
关于ARP病毒的防治近期国内很多单位的局域网爆发ARP病毒,具体表现为局域网内一些正在上网的电脑主机频繁掉线或是断线。
现我校也开始发现某些宿舍楼校园网用户出现掉线的故障,经调查发现,该故障应该是ARP 病毒所致。
一、故障原因及现象局域网内有电脑使用ARP欺骗程序(比如:传奇、QQ盗号的软件等)发送ARP数据包,致使被攻击的电脑不能上网。
当局域网内某台电脑A向电脑B发送ARP欺骗数据包时,会欺骗电脑B将其通信的数据发向电脑A,电脑A通过对截获的数据进行分析,达到窃取数据(如用户账号)的目的。
被ARP欺骗的电脑会出现突然不能上网,重新连接后又能上网,但过会还是掉线的反复现象。
二、故障诊断如果用户出现上述现象,可以通过如下操作进行诊断:点击“开始”按钮->选择“运行”->输入“arp -d”->点击“确定”按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。
“arp -d”命令能清除本机的arp表,arp表被清除后接着系统会自动重建新的arp表。
“arp -d”命令并不能抵御ARP欺骗,执行“arp -d”命令后仍有可能再次遭受ARP攻击。
三、故障处理1. 杀毒(1)诺顿、卡巴斯基、瑞星等杀毒软件均可查杀此类病毒,注意:查杀病毒能避免电脑主机成为ARP攻击方,并不能抵御ARP攻击。
(2)ARP病毒专杀工具下载(arpkiller)下载后解压缩,运行包内TSC.exe文件,不要关让它一直运行完,最后查看 report文档便知是否中毒。
2. 使用AntiArp软件抵御ARP攻击(下载AntiArp软件)先查明本机的网关IP地址,可通过以下操作获取:点击“开始”按钮-> 选择“运行”->输入“cmd”点击“确定”->输入“ipconfig”按回车。
“Default Gateway”后的IP地址就是网关地址。
安装并运行AntiArp,在右栏“网关地址”那里填入刚才查到的IP地址,然后点击“获取MAC”,检查网关IP地址和MAC地址无误后,点击“自动保护”。
ARP攻击防范与解决方案一、背景介绍ARP(地址解析协议)是在局域网中解决IP地址和MAC地址之间映射关系的协议。
然而,ARP协议的设计缺陷导致了ARP攻击的出现。
ARP攻击是一种常见的网络安全威胁,攻击者通过发送伪造的ARP响应包来篡改网络中的ARP缓存表,从而实现中间人攻击、拒绝服务攻击等恶意行为。
为了保护网络安全,我们需要采取相应的防范与解决方案。
二、防范ARP攻击的措施1. 使用静态ARP表静态ARP表是一种手动配置的ARP表,将IP地址和MAC地址的映射关系固定在ARP表中,可以有效防止ARP缓存污染攻击。
管理员可以根据网络拓扑结构手动添加ARP表项,并定期检查和更新。
2. 使用ARP欺骗检测工具ARP欺骗检测工具可以实时监测网络中的ARP请求和响应,检测是否存在异常的ARP活动。
当检测到ARP欺骗行为时,可以及时发出警报并采取相应的防御措施。
3. 使用静态ARP绑定静态ARP绑定是将特定IP地址和MAC地址的映射关系绑定在ARP表中,使得ARP缓存表中的映射关系不易被篡改。
管理员可以手动配置静态ARP绑定,确保网络中重要主机的ARP映射关系的安全性。
4. 使用网络入侵检测系统(IDS)网络入侵检测系统可以实时监测网络流量,检测是否存在异常的ARP活动。
当检测到ARP攻击行为时,可以自动触发警报,并采取相应的防御措施,如断开与攻击者的连接。
5. 使用虚拟局域网(VLAN)虚拟局域网可以将网络划分为多个逻辑上的独立网络,不同的VLAN之间无法直接通信,从而有效隔离了网络流量,减少了ARP攻击的风险。
三、解决ARP攻击的方法1. 及时更新操作系统和网络设备的补丁厂商会定期发布针对操作系统和网络设备的安全补丁,这些补丁通常包含了对已知漏洞的修复。
及时安装这些补丁可以有效减少ARP攻击的风险。
2. 使用网络流量监测工具网络流量监测工具可以实时监测网络流量,检测是否存在异常的ARP活动。
当检测到ARP攻击行为时,可以及时发出警报并采取相应的解决措施。
ARP攻击防制的基本方法_路由器怎么抵御ARP病毒ARP欺骗/攻击反复袭击,是近来网络行业普遍了解的现象,随着ARP攻击的不断升级,不同的解决方案在市场上流传。
这里小编解释了ARP攻击防制的基本思想。
我们认为读者如果能了解这个基本思想,就能自行判断何种防制方式有效,也能了解为何双向绑定是一个较全面又持久的解决方式。
不坚定的ARP协议一般计算机中的原始的ARP协议,很像一个思想不坚定,容易被其它人影响的人,ARP欺骗/攻击就是利用这个特性,误导计算机作出错误的行为。
ARP攻击的原理,互联网上很容易找到,这里不再覆述。
原始的ARP协议运作,会附在局域网接收的广播包或是ARP询问包,无条件覆盖本机缓存中的ARP/MAC对照表。
这个特性好比一个意志不坚定的人,听了每一个人和他说话都信以为真,并立刻以最新听到的信息作决定。
就像一个没有计划的快递员,想要送信给“张三”,只在马路上问“张三住那儿?”,并投递给最近和他说“我就是!”或“张三住那间!”,来决定如何投递一样。
在一个人人诚实的地方,快递员的工作还是能切实地进行;但若是旁人看快递物品值钱,想要欺骗取得的话,快递员这种工作方式就会带来混乱了。
我们再回来看ARP攻击和这个意志不坚定快递员的关系。
常见ARP攻击对象有两种,一是网络网关,也就是路由器,二是局域网上的计算机,也就是一般用户。
攻击网络网关就好比发送错误的地址信息给快递员,让快递员整个工作大乱,所有信件无法正常送达;而攻击一般计算机就是直接和一般人谎称自己就是快递员,让一般用户把需要传送物品传送给发动攻击的计算机。
针对ARP攻击的防制方法1、利用ARP echo传送正确的ARP讯息:通过频繁地提醒正确的ARP对照表,来达到防制的效果。
2、利用绑定方式,固定ARP对照表不受外来影响:通过固定正确的ARP对照表,来达到防制的效果。
3、舍弃ARP协议,采用其它寻址协议:不采用ARP作为传送的机制,而另行使用其它协议例如PPPoE方式传送。
ARP病毒的彻底解决思路ARP病毒的彻底解决思路写这个帖子有两个原因,第一、单位前一段时间中了这个病毒;第二看见还有好多人一直询问中了arp后怎么办。
首先开始之前假如几个数字;假如当前网关为:192.168.1.1 真实的mac地址是:00-00-00-00-00-01假如中毒的机子为:192.168.1.8 其真实mac地址为:00-00-00-00-00-08网络还同时存在主机:192.168.1.2 其真实mac地址为:00-00-00-00-00-02192.168.1.3 其真实mac地址为:00-00-00-00-00-03其中,中毒后,192.168.1.2和192.168.1.3的主机的arp缓存表中,网关的mac地址变成00-00-00-00-00-08,也就是被192.168.1.8的主机欺骗了。
以上只是为了方便说明情况,假如的几个数字。
如何判断局域网中了arp,这里就不说了~~下面提供三种解决思路:一、【原创】利用网关欺骗中毒的机子,从而找到中毒的机子这个方法是自己想的,也试验成功了,不知道别人有没有用过这个方法。
这个方法适用于大型的网络中,主机不好找的时候。
言归正传,在中毒后,网关的mac地址被欺骗,这个时候用mac地址扫描器,扫描网络中各个主机的mac地址和ip地址时就会发现,192.168.1.1和192.168.1.1.8的主机的mac地址相同。
那么我们可以利用,网关的arp缓存或者服务器的arp缓存表来欺骗中毒的机子,使这台机子脱离局域网,从而达到隔离中毒机子的目的。
查看网关或者服务器的arp缓存表。
(具体命令,怎么进入暂不说)在命令提示符状态下输入:========================命令提示符状态===================arp -d 192.168.1.8arp -s 192.168.1.8 00:50:50:50:50:50arp -s 192.168.230.230 00:00:00:00:00:08========================命令提示符状态===================上面的什么意思呢?第一行:arp -d 192.168.1.8即删除当前arp缓存表中,192.168.1.8的主机的信息。
第二行:arp -s 192.168.1.8 00:50:50:50:50:50即绑定ip 192.168.1.8 和mac 00:50:50:50:50:50(这个mac是随便写的一个假的,当前网络中没有的mac地址)绑定后会怎么样?192.168.1.8的主机会弹出ip地址和网上有冲突,从而无法和网关交换数据,达到隔离目的。
第三行:arp -s 192.168.230.230 00:00:00:00:00:08绑定mac 00-00-00-00-00-08和ip 192.168.230.230(这个ip也是随便写的,当前网络中没有的ip 地址)绑定后会怎么样?192.168.1.8的主机会弹出ip地址和网上有冲突,从而无法和网关交换数据,达到隔离目的。
其实上面的第二行和第三行只要一行就够了,全用上也可以第二行适合ip地址是固定的网络,第三行适合ip地址是随机的网络中。
我想现在中了arp病毒的朋友,应该能理解上面的。
没有中毒或者没有经历过的不好理解!然后怎么办呢?给192.168.1.8的主机杀毒,杀掉病毒后,再运行========================命令提示符状态===================arp -d 192.168.1.8arp -d 192.168.230.230========================命令提示符状态===================删掉网关或者服务器中的有关主机的arp信息,即解决问题!二、完美策略【欧阳锋版主提供】解决中毒的机子是用记事本等做一个空白文件,然后重命名为npptools.dll,然后替换system32文件夹里的同名文件,然后双绑,完美抵御arp。
(单绑也可以,但别忘了把dllcache里的同名文件也替换了,要不windows 的文件保护会重新覆盖这个文件,FAT的文件系统属性可以改为只读)但是个别防火墙会用到这个文件,如果要使用此方法,意味着放弃那款防火墙!具体哪款没试过,好像是za。
如果不想删除,可以利用组策略中的散列原理设置任何用户禁止访问此文件,具体操作参考:/read.php?tid=691888如果用策略的话那就来个绝的,全局禁止npptools.dll,因为现在已发现自身生成这个dll文件的arp 病毒,一般是释放到临时文件夹里.所以干脆全局用策略禁止.再完美就是用权限把Registry.pol这个文件的写入.修改.和删除的权限都拒绝.三、不完美的解决策略【参考网友】利用假网关欺骗arp病毒ARP病毒是靠读取本机TCP/IP里的网关的,来欺骗的。
下面以网关为192.168.0.1为例,实际应用当中把他换成你自己的网关。
现在我们运行-CMD-route print 会出现========================================================================= ==Active Routes:Network Destination Netmask Gateway Interface Metric0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.129 10127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1192.168.0.0 255.255.255.0 192.168.0.129 192.168.0.129 10192.168.0.129 255.255.255.255 127.0.0.1 127.0.0.1 10192.168.0.255 255.255.255.255 192.168.0.129 192.168.0.129 10224.0.0.0 240.0.0.0 192.168.0.129 192.168.0.129 10255.255.255.255 255.255.255.255 192.168.0.129 192.168.0.129 1Default Gateway: 192.168.0.254========================================================================= ==Persistent Routes:None这样一个路由表(这个是我的路由表。
你们的可能IP不同),最后一个Metric是这条路由表的优先等级(权限)1最大10最小我们来看第一行Network Destination Netmask Gateway Interface Metric0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.129 10任何IP 任何IP 网关IP 本机IP 优先等级(10是最小)这行的意思是如果我要访问Internet的话从本机(192.168.0.129)通过网关(192.168.0.1)到任何Internet的服务器下面几行路由表无关紧要简单的说。
如果你要访问Internet先经过本机的路由表再到路由器(网关)再到你要访问的Internet 服务器现在我们知道路由表的作用了。
还有A RP病毒是读取本机TCP/IP里的网关的。
以后的ARP变种会不会读路由表那我不知道。
现在我开始。
方法:(反欺骗A RP病毒)比如你现在网关(本地连接属性tcp/ip里设置的那个,后面同是)是192.168.0.1 那我们现在要把网关IP换成192.168.0.1-192.168.0.254之间的任意一个。
但不能和其他客户机冲突。
最好换个不用的IP,(其实这个方法网关IP随便你添什么。
那怕123.123.123.123都没事,但为了能反欺骗A RP和避免被怀疑,我们最好能用同网段的IP。
)我们现在换成192.168.0.200,上不了网了吧?(网关不对当然上不了。
傻子都知道~!-_-!)好了第一步做好了。
NEXT现在我们CMD-route print看下路由表。
第一行的网关IP变成了你刚才设置的IP了。
而且这个网关IP是上不了网的。
中国人都知道。
接下来。
我们仍旧在CMD下输入route add -p 0.0.0.0 mask 0.0.0.0 XXX.XXX.XXX.XXX metric 1 (把xxx.xxx.xxx.xxx换成你真实的网关) 回车,我们加入一条静态的路由表优先权限是1 (最大的)在CMD下面输入route print 再查看一下路由表。
最下面一行Persistent Routes:None这个已经换成了Persistent Routes:Network Address Netmask Gateway Address Metric0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx 1一条静态路由已经添加了。
别人的教程里说这样已经可以了。
但实际使用当中还不行。
接下来。
我们做个P处理,把下面的复制下来。
保存为BAT。
如果嫌开机有黑框,那去找个BAT 转EXE的。
我记得前段时间我发过一个。
如果没有的回贴我发上来。
route add 0.0.0.0 mask 0.0.0.0 xxx.xxx.xxx.xxx metric 1 (把xxx.xxx.xxx.xxx换成你真实的网关)复制下来。
保存为BAT。
然后加在启动项里。
每次开机都运行。
你也可以加在注册表的RUN里面。
现在我们再来看看路由表,在CMD下面输入route print========================================================================= ==Active Routes:Network Destination Netmask Gateway Interface Metric0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.129 100.0.0.0 0.0.0.0 192.168.0.254 192.168.0.129 1127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1192.168.0.0 255.255.255.0 192.168.0.129 192.168.0.129 10192.168.0.129 255.255.255.255 127.0.0.1 127.0.0.1 10192.168.0.255 255.255.255.255 192.168.0.129 192.168.0.129 10224.0.0.0 240.0.0.0 192.168.0.129 192.168.0.129 10255.255.255.255 255.255.255.255 192.168.0.129 192.168.0.129 1Default Gateway: 192.168.0.254========================================================================= ==Persistent Routes:Network Address Netmask Gateway Address Metric0.0.0.0 0.0.0.0 192.168.0.254 1第一行的网关是我们在本地连接属性tcp/ip 里设置的那个假的优先等级是10(最小的)第二行的网关是我们通过手工加上去的真网关。
