注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

手札' 飞翔的石头

兔年 新兔样

 
 
 

日志

 
 

彻底清除局域网内ARP病毒  

2009-06-15 10:03:27|  分类: 积累点滴 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

在网络发展的今天,新的病毒会经常来骚扰我们,他们会在原先的病毒体上更新、变种,尤其近期ARP病毒的变种更加猖獗,更加充斥我们在网络的不同角落给我们的管理工作带来不大不小的问题,同时也影响到网络的正常运行。尤其是ARP病毒发作时候,要理清思路,找到问题的关键,使用行之有效方式,彻底清除。

如何定位攻击发起端

故障现象:机器以前可正常上网的,突然出现可认证,不能上网的现象,重启机器或在MS-DOS窗口下运行命令ARP -d后,又可恢复上网一段时间。

故障原因:这是典型APR病毒欺骗攻击。 

引起问题的原因:初期由传奇外挂携带的ARP木马攻击,当在局域网内使用上述外挂时,外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上,向局域网内大量发送ARP包,从而致使同一网段地址内的其它机器误将其作为网关,这就是为什么掉线时内网是互通的,计算机却不能上网的主要原因。

当病毒发作的时候,为了更快定位攻击发起端,是解决问题根源。我们通过NBTSCAN查找病毒主机,关闭所有二层交换机,把管理员的计算机接在核心交换机上,此时管理员的计算机可正常上网。Ping三层交换机的地址,查看相关MAC地址,再通过三层交换机IP地址获取三层交换机真实的MAC地址。使用同样的方法得到路由器真实MAC地址。打开所有二层交换机,在ARP病毒攻击时所有计算机都表现为有网络连接,但打不开网页。此时在dos窗口下输入命令arp -a,查看网关的IP地址和MAC地址对应关系,与刚才得到的真实MAC地址对比,如果不相同,此次获得的MAC地址即为病毒主机的MAC地址。

使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址,可以找到病毒主机的IP、机器名和MAC地址。

命 令:"nbtscan -r 192.168.2.0/24"(搜索整个192.168.2.0/24网段,输出结果第一列是IP地址,最后一列是MAC地址。

局域网彻底清除arp病毒

要彻底根除arp病毒攻击,只有找到局域网内被病毒感染的计算机,病毒程序给与清除,方可真正地解决。根据病毒在局域网中发作时间,快速定位攻击发起端,找到问题的根源。对已有病毒计算机的MAC地址,使用NBTSCAN软件找出网段内与该MAC地址对应的IP,即病毒计算机的IP地址,然后对其进行查封。 NBTSCAN的使用方法:下载nbtscan.rar到硬盘后解压,然后将cygwin1.dll和nbtscan.exe两文件拷贝到c:\windows\system32(或system)下,进入MSDOS窗口就可以输入命令: nbtscan -r 10.1.180.0/24 (假设本机所处的网段是10.1.180.192,掩码是255.255.255.0;实际使用该命令时,应将改为正确的网段)。 注:使用nbtscan时,有时因为有些计算机安装防火墙软件,nbtscan的输出不全,但在计算机的arp缓存中却能有所反应,所以使用nbtscan时,还可同时查看arp缓存,就能得到比较完全的局域网内计算机IP与MAC的对应关系。

防御方法

1、在PC上绑定路由器的IP和MAC地址。

在c:\(C盘根目录)下创建或修改autoexec.bat文件,加入如下命令:

arp -d

arp -s 10.1.180.1 00-22-aa-11-22-6s

autoexec.bat放在C盘根目录下,每次开机后会自动执行。arp -d 删除ARP缓存表中的所有条目,arp -s 10.1.180.1 00-22-aa-11-22-6s静态绑定网关IP地址与MAC地址。使用时将网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。 把该文件放到启动菜单中,重启计算机,就能执行该文件。

2、在路由器上绑定的PC上IP和MAC地址

通过NBTSCAN软件获取局域网内每台计算机IP和对应MAC地址。如图1

根据路由器所提供IP/MAC绑定功能,将路由器对没有绑定的IP/MAC将其封锁,当内网有ARP欺骗攻击的时候,其伪造IP/MAC向路由器发送消息,这时候由于伪造的IP/MAC并不在路由器的IP/MAC绑定列表里面,路由器会拒绝这类消息,将其挡掉。

如何预防

通过一些手段来进一步控制ARP的攻击。

(1)病毒源,对病毒源头的机器进行处理,杀毒或者重新装系统。

(2)管理员定期检查局域网是否有病毒,安装杀毒软件。

(3)及时为系统安装补丁程序。

(4)给系统管理员帐户设置足够复杂的强密码。

(5)经常更新杀毒软件,安装并使用网络防火墙软件。

(6)建议不要随便点击打开QQ、MSN等聊天工具上发来的链接信息,避免病毒的传播。

总结

尽管近期ARP病毒版本不断更新、不断升级,给我们网络不断带来新的冲击与危害;如果能够提前能够提前做好防制工作,相信ARP的危害会减少到最小的程度,给我们网络一片净土。

  评论这张
 
阅读(669)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017