我的电脑中了ARP病毒,学校把我IP也给禁了,各位高手我该怎么查杀ARP病毒啊
现在局域网中感染ARP病毒的情况比较多,清理和防范都比较困难,给不少的网络管理员造成了很多的困扰。下面就是个人在处理这个问题的一些经验,同时也在网上翻阅了不少的参考资料。 ARP病毒的症状 有时候无法正常上网,有时候有好了,包括访问网上邻居也是如此,拷贝文件无法完成,出现错误;局域网内的ARP包爆增,使用ARP查询的时候会发现不正常的MAC地址,或者是错误的MAC地址对应,还有就是一个MAC地址对应多个IP的情况也会有出现。 ARP攻击的原理 ARP欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警:第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。或者,ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内,或者与自己网络MAC数据库MAC/IP不匹配。这些统统第一时间报警,查这些数据包(以太网数据包)的源地址(也有可能伪造),就大致知道那台机器在发起攻击了。现在有网络管理工具比如网络执法官、P2P终结者也会使用同样的方式来伪装成网关,欺骗客户端对网关的访问,也就是会获取发到网关的流量,从而实现网络流量管理和网络监控等功能,同时也会对网络管理带来潜在的危害,就是可以很容易的获取用户的密码等相关信息。 处理办法 通用的处理流程 1.先保证网络正常运行 方法一:编辑一个***.bat文件内容如下: arp.exe s **.**.**.**(网关ip) **** ** ** ** **( 网关MAC地址) end 让网络用户点击就可以了! 办法二:编辑一个注册表问题,键值如下: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MAC"="arp s 网关IP地址网关MAC地址" 然后保存成Reg文件以后在每个客户端上点击导入注册表。 2.找到感染ARP病毒的机器 a、在电脑上ping一下网关的IP地址,然后使用ARP -a的命令看得到的网关对应的MAC地址是否与实际情况相符,如不符,可去查找与该MAC地址对应的电脑。 b、使用抓包工具,分析所得到的ARP数据报。有些ARP病毒是会把通往网关的路径指向自己,有些是发出虚假ARP回应包来混淆网络通信。第一种处理比较容易,第二种处理比较困难,如果杀毒软件不能正确识别病毒的话,往往需要手工查找感染病毒的电脑和手工处理病毒,比较困难。 c、使用MAC地址扫描工具,Nbtscan扫描全网段IP地址和MAC地址对应表,有助于判断感染ARP病毒对应MAC地址和IP地址。 预防措施 1、及时升级客户端的操作系统和应用程式补丁; 2、安装和更新杀毒软件。 3、如果网络规模较少,尽量使用手动指定IP设置,而不是使用DHCP来分配IP地址。 4、如果交换机支持,在交换机上绑定MAC地址与IP地址。 ARP病毒要想完完全全清除还是重做系统,ARP病毒只能是做防
推荐360防火墙, 360ARP防火墙通过在系统内核层拦截ARP攻击数据包,确保网关正确的MAC地址不被篡改,可以保障数据流向正确,不经过第三者,从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制,完美的解决局域网内ARP攻击问题。
ARP病毒专杀工具,请用户选择下载运行杀毒:Antiarp软件下载
NbtScan 1.5.1软件下载
趋势ARP病毒专杀
有关ARP病毒问题的处理说明:
故障现象:机器以前可正常上网的,突然出现可认证,不能上网的现象(无法ping通网关),重启机器或在MSDOS窗口下运行命令ARP -d后,又可恢复上网一段时间。
故障原因:这是APR病毒欺骗攻击造成的。
引起问题的原因一般是由传奇外挂携带的ARP木马攻击。当在局域网内使用上述外挂时,外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上,向局域网内大量发送ARP包,从而致使同一网段地址内的其它机器误将其作为网关,这就是为什么掉线时内网是互通的,计算机却不能上网的原因。
临时处理对策:
步骤一. 在能上网时,进入MS-DOS窗口,输入命令:arp –a 查看网关IP对应的正确MAC地址,将其记录下来。
注:如果已经不能上网,则先运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp –a。
步骤二. 如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令: arp –s 网关IP 网关MAC
例如:假设计算机所处网段的网关为218.197.192.254,本机地址为218.197.192.1在计算机上运行arp –a后输出如下:
C:Documents and Settings>arp -a
Interface: 218.197.192.1 --- 0x2
Internet Address Physical Address Type
218.197.192.254 00-01-02-03-04-05 dynamic
其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址,类型是动态(dynamic)的,因此是可被改变。
被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC,如果大家希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找做准备。
手工绑定的命令为:
arp –s 218.197.192.254 00-01-02-03-04-05
绑定完,可再用arp –a查看arp缓存,
C:Documents and Settings>arp -a
Interface: 218.197.192.1 --- 0x2
Internet Address Physical Address Type
218.197.192.254 00-01-02-03-04-05 static
这时,类型变为静态(static),就不会再受攻击影响了。但是,需要说明的是,手工绑定在计算机关机重开机后就会失效,需要再绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,令其杀毒,方可解决。找出病毒计算机的方法:
如果已有病毒计算机的MAC地址,可使用NBTSCAN软件找出网段内与该MAC地址对应的IP,即病毒计算机的IP地址,然后可报告校网络中心对其进行查封。
NBTSCAN的使用方法:
下载nbtscan.rar到硬盘后解压,然后将cygwin1.dll和nbtscan.exe两文件拷贝到c:windowssystem32(或system)下,进入MSDOS窗口就可以输入命令:
nbtscan -r 218.197.192.0/24 (假设本机所处的网段是218.197.192,掩码是255.255.255.0;实际使用该命令时,应将斜体字部分改为正确的网段) 。
注:使用nbtscan时,有时因为有些计算机安装防火墙软件,nbtscan的输出不全,但在计算机的arp缓存中却能有所反应,所以使用nbtscan时,还可同时查看arp缓存,就能得到比较完全的网段内计算机IP与MAC的对应关系。
电脑中了ARP病毒怎么办
答:看这描述,这台电脑中了ARP病毒可能性非常大。两种解决方法:(因杀毒软件一般还杀不掉该病毒)重装系统重装系统(重装系统前,注意保存数据),重装系统后,有些原来安装过的软件可能也要重装的。开启ARP防火墙公司所有电脑开启ARP防火墙,一般360安全卫士都自带有ARP防火墙组件。 抢首赞 已赞过 已踩过< 你对这个回...
中了ARP病毒 怎么办啊?!!急 我是校园网
答:4、对没有中毒机器,可以下载软件Anti ARP Sniffer,填入网关,启用自动防护,保护自己的ip地址以及网关地址,保证正常上网。5、对已经中毒电脑可以用以下方法手动清除病毒:(1)删除:%windows%\System32\LOADHW.EXE (有些电脑可能没有)(2)a. 在设备管理器中, 单击“查看—显示隐藏的设备”b. 在设备...
疑似中了ARP病毒,求帮助。 我们寝室用的是校园网,客户端是神州数码...
答:您好 根据您的描述应该是中了ARP攻击 建议您使用腾讯电脑管家来保护您的电脑 您可以在工具箱中打开ARP防火墙 可以有效阻断ARP攻击 希望可以帮到您,望采纳 腾讯电脑管家企业平台:http://zhidao.baidu.com/c/guanjia/
学校使用锐捷局域网自动获取IP上网,中了ARP病毒的最好解决办法_百度知 ...
答:一、打ARP免疫补丁,安装ARP防火墙 二、用ARP专杀工具查杀 三、编辑一个BAT文件,手动绑定主机MAC地址,并让局域网内电脑启动时就运行此程序
校园网络受到ARP欺骗病毒攻击 怎样才能使自己的机器正常上网
答:一、故障现象 通常上网计算机的网关设为192.168.X.254,这个地址是核心交换机(三层交换机)的IP地址。将网关改为路由器的IP地址192.168.X.253后可正常上网。病毒发作时其症状表现为计算机网络连接正常,却无法打开网页;或由于ARP欺骗的木马程序(病毒)发作时发出大量的数据包,导致政务网用户上网不稳定...
我的电脑中了arp病毒,怎么办
答:方法一、在收到ARP欺骗的本机,在开始--运行中,输入“cmd”,进入ms-dos,通过命令行窗口输入“arp -a”命令,查看ARP列表。会发现该MAC已经被替换成攻击机器的MAC,将该MAC记录(以备查找),然后根据此MAC找出中病毒的计算机。方法二、借助第三方抓包工具(如sniffer或antiarp)查找局域网中发arp包...
中了ARP病毒怎么办?不知道是电脑中了还是路由器中了?求有效实用的解决答...
答:下面将接收另外一种,可以解决感染ARP欺骗病毒的方法。2、指定ARP对应关系:其实该方法就是强制指定ARP对应关系。由于绝大部分ARP欺骗病毒都是针对网关MAC地址进行攻击的,使本机上ARP缓存中存储的网关设备的信息出现紊乱,这样当机器要上网发送数据包给网关时就会因为地址错误而失败,造成计算机无法上网。第一...
电脑被arp攻击了怎么办
答:如果您怀疑您的计算机已受到ARP攻击,那么最好的解决方式是保护您的网络。您可以尽可能将网络环境更改为有线,并采取必要的保护措施,比如使用mac地址访问控制和网络隔离等措施。同时,使用防火墙和病毒扫描程序也是必须的。第三步:更改密码 如果您的ARP攻击实际上成功了,那么您的个人密码和数据可能存在被盗...
连接校园网的电脑持续遭受ARP攻击,一直增到 6000多~求解决办法,具体详 ...
答:做法是细致地划分VLAN,减小广播域的范围,使ARP在小范围内起作用,而不至于发生大面积影响。同时,一些网管交换机具有MAC地址学习的功能,学习完成后,再关闭这个功能,就可以把对应的MAC和端口进行绑定,避免了病毒利用ARP攻击篡改自身地址。也就是说,把ARP攻击中被截获数据的风险解除了。这种方法也能起...
电脑中了ARP病毒怎么办
答:您好:电脑中了ARP病毒的话建议您使用腾讯电脑管家对您的电脑进行一下全面的杀毒吧,打开腾讯电脑管家中的杀毒功能选择闪电查杀或者全盘查杀就可以的哦,腾讯电脑管家是采用“4+1”核“芯”杀毒引擎的专业杀毒软件,是完全可以帮助您查杀病毒而且保护您的电脑的哦。您可以点击这里下载最新版的腾讯电脑管家:...
