" id="b1img" alt="米课”N+1“思维建站-非官方免费技术支持,Wordpress/Zencart/Opencart建站、SEO" title="米课”N+1“思维建站-非官方免费技术支持,Wordpress/Zencart/Opencart建站、SEO">
  • " alt="米课”N+1“思维建站-非官方免费技术支持,Wordpress/Zencart/Opencart建站、SEO" title="米课”N+1“思维建站-非官方免费技术支持,Wordpress/Zencart/Opencart建站、SEO" />
  • " alt="Windows/Linux服务器运维技术支持 环境搭建、应用发布、服务器管理、虚拟化、云计算" title="Windows/Linux服务器运维技术支持 环境搭建、应用发布、服务器管理、虚拟化、云计算" />
  • " alt="高校/小型企业网络运维与建设免费技术支持,网络规划、网络优化、故障排除、网络管理" title="高校/小型企业网络运维与建设免费技术支持,网络规划、网络优化、故障排除、网络管理" />

ARP病毒导致网络断断续续的解决方法(仅供参考)

网络运维2006-10-23 itlogger阅读(979) 评论(1)

近期比较盛行“ARP欺骗类”木马病毒ARP病毒发作会导致同一个子网中的计算机经常自动断网(无法ping通网关),上网断断续续。

一、查杀病毒

已经感染ARP类木马病毒的用户,下载360安全卫士/趋势SysClean工具或其他杀毒软件进行清除病毒木马。

1、360安全卫士下载地址http://www.360safe.com/

attachment/month_0610/g200610231900.png

查杀功能:查杀恶意软件、卸载多余插件等……

修复:修复IE浏览器、修复系统漏洞(将自动扫描未安装的系统补丁,推荐使用该功能安装系统补丁)

具体使用方法大家请看官方网站

2、趋势SysClean下载地址

http://antivirus.seu.edu.cn/soft/sysclean.exe。

attachment/month_0610/92006102319033.png

二、解决方法

1、临时处理对策:

1)arp –d命令

在能上网时,点出 [开始]菜单 – 选[运行] ,输入 “cmd” 并确定调出”命令提示符”窗口,进入MS-DOS窗口,输入命令:arp –a 查看网关IP对应的正确MAC地址,将其记录下来。

注:如果已经不能上网,则先运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp –a。

2)手工绑定ARP

如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令: arp –s 网关IP 网关MAC

例如:假设计算机所处网段的网关为218.197.192.254,本机地址为218.197.192.1在计算机上运行arp –a后输出如下:

=====================================================

注:网关的获取方法:

点出 [开始]菜单 – 选[运行] ,输入 “command” 并确定调出”命令提示符”窗口

输入以下命令并按回车键:

C:>ipconfig

记录网关 IP 地址,即 “Default Gateway” 对应的值,例如 “192.168.0.254” 。

屏幕输出例子:

其中: 红色部分表示用户自己的IP地址

蓝色部分表示子网掩码

棕色部分表示网关地址

Windows IP Configuration

Ethernet adapter Broadcom:

Connection-specific DNS Suffix . :

IP Address. . . . . . . . . . . . : 192.168.0.1

Subnet Mask . . . . . . . . . . . : 255.255.255.0

Default Gateway . . . . . . . . . : 192.168.0.254

————————————-

=====================================================

C:Documents and Settings>arp -a

Interface: 218.197.192.1 — 0x2

Internet Address Physical Address Type

218.197.192.254 00-01-02-03-04-05 dynamic

其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址,类型是动态(dynamic)的,因此是可被改变。

被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC,如果大家希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找做准备。

手工绑定的命令为:

arp –s 218.197.192.254 00-01-02-03-04-05

’注释: (你的网关IP) (正常上网时arp –a 看到的网关IP)

绑定完,可再用arp –a查看arp缓存,

C:Documents and Settings>arp -a

Interface: 218.197.192.1 — 0x2

Internet Address Physical Address Type

218.197.192.254 00-01-02-03-04-05 static

这时,类型变为静态(static),就不会再受攻击影响了。但是,需要说明的是,手工绑定在计算机关机重开机后就会失效,需要再绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,令其杀毒,方可解决。找出病毒计算机的方法:

=======================================================

另:可以编写一个批处理文件arp.bat

操作方法:

打开一个记事本,输入如下内容:

@echo off

arp -d

arp –s 218.197.192.254 00-01-02-03-04-05

‘ (你的网关IP) (正常上网时arp –a 看到的网关IP) —此行不要输入,只是注释用

另存为:arp.bat 文件类型选”所有文件”

将文件中的网关IP地址和MAC地址更改为实际使用的网关IP地址和MAC地址即可。

将这个批处理软件拖到“window->开始->程序->启动”中。

===================================================

2、使用防ARP欺骗软件antiarp(推荐)

Anti ARP Sniffer V3.5 免费版:下载地址: http://www.antiarp.com/download.html

attachment/month_0610/02006102319010.png

当网络中有ARP病毒时类似下图的记录

attachment/month_0610/32006102319022.png

–2006.10.23

By itlogger

http://www.itlogger.com

 

转载请注明 :IT樵客
文章地址:http://www.itlogger.com/network/357.html
标签:
相关文章

One thought on “ARP病毒导致网络断断续续的解决方法(仅供参考)

  1. fffff13a 回复@

    8124

发表评论

电子邮件地址不会被公开。 必填项已用*标注