如何清除arp病毒

來源:互聯網
上載者:User
有關ARP病毒問題的處理說明:

故障現象 :機器以前可正常上網的,突然出現可認證,不能上網的現象(無法ping通網關),重啟機器或在MSDOS視窗下運行命令ARP -d後,又可恢複上網一段時間。

故障原因:這是APR病毒欺騙攻擊造成的。

引起問題的原因一般是由傳奇外掛攜帶的ARP木馬攻擊。當在區域網路內使用上述外掛時,外掛攜帶的病毒會將該機器的MAC地址映射到網關的IP地址上,向區域網路內大量發送ARP包,從而致使同一網段地址內的其它機器誤將其作為網關,這就是為什麼掉線時內網是互連的,電腦卻不能上網的原因。

臨時處理對策:
步驟一. 在能上網時,進入MS-DOS視窗,輸入命令:arp –a 查看網關IP對應的正確MAC地址,將其記錄下來。
註:如果已經不能上網,則先運行一次命令arp –d將arp緩衝中的內容刪空,電腦可暫時恢複上網(攻擊如果不停止的話),一旦能上網就立即將網路斷掉(禁用網卡或拔掉網線),再運行arp –a。

步驟二. 如果已經有網關的正確MAC地址,在不能上網時,手工將網關IP和正確MAC綁定,可確保電腦不再被攻擊影響。手工綁定可在MS-DOS視窗下運行以下命令: arp –s 網關IP 網關MAC

例如:假設電腦所處網段的網關為218.197.192.254,本機地址為218.197.192.1在電腦上運行arp –a後輸出如下:

C:\Documents and Settings>arp -a
Interface: 218.197.192.1 --- 0x2
Internet Address Physical Address Type
218.197.192.254 00-01-02-03-04-05 dynamic

其中00-01-02-03-04-05就是網關218.197.192.254對應的MAC地址,類型是動態(dynamic)的,因此是可被改變。
被攻擊後,再用該命令查看,就會發現該MAC已經被替換成攻擊機器的MAC,如果大家希望能找出攻擊機器,徹底根除攻擊,可以在此時將該MAC記錄下來,為以後尋找做準備。

手工綁定的命令為:
arp –s 218.197.192.254 00-01-02-03-04-05

綁定完,可再用arp –a查看arp緩衝,
C:\Documents and Settings>arp -a
Interface: 218.197.192.1 --- 0x2
Internet Address Physical Address Type
218.197.192.254 00-01-02-03-04-05 static

這時,類型變為靜態(static),就不會再受攻擊影響了。但是,需要說明的是,手工綁定在電腦關機重開機後就會失效,需要再綁定。所以,要徹底根除攻擊,只有找出網段內被病毒感染的電腦,令其殺毒,方可解決。找出病毒電腦的方法:

如果已有病毒電腦的MAC地址,可使用NBTSCAN軟體找出網段內與該MAC地址對應的IP,即病毒電腦的IP地址,然後可報告校網路中心對其進行查封。

NBTSCAN的使用方法:
下載nbtscan.rar到硬碟後解壓,然後將cygwin1.dll和nbtscan.exe兩檔案拷貝到c:\windows\system32(或system)下,進入MSDOS視窗就可以輸入命令:

nbtscan -r 218.197.192.0/24 (假設本機所處的網段是218.197.192,掩碼是255.255.255.0;實際使用該命令時,應將斜體字部分改為正確的網段) 。

註:使用nbtscan時,有時因為有些電腦安裝防火牆軟體,nbtscan的輸出不全,但在電腦的arp緩衝中卻能有所反應,所以使用nbtscan時,還可同時查看arp緩衝,就能得到比較完全的網段內電腦IP與MAC的對應關係。
相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。