今日阿如那(arp病毒)
大家好,小宝来为大家解答以上问题。阿如那,arp病毒很多人还不知道,现在让我们一起来看看吧!
1、如何检查和处理“ARP欺骗”木马1?检查本机“ARP欺骗”木马的感染进程,按住键盘上的CTRL和ALT键,然后按DEL键,选择“任务管理器”,点击“进程”选项卡。
2、看看有没有名为“MIR0.dat”的进程。
3、如果是,说明已经中毒了。
4、右键单击该流程并选择“结束流程”。
5、见右图。
6、2.检查网络中被ARP欺骗木马感染的电脑,关闭开始-程序-附件菜单中的命令提示符。
7、并输入以下命令:ipconfig记录网关IP地址,即“默认网关”对应的值,如“59.66.36.1”。
8、然后输入并执行以下命令:ARPa在“Internet Address”下找到上一步记录的网关IP地址,并记录其对应的物理地址,即“Physical Address”值,例如“00-01-e8-1f-35-54”。
9、这是网络正常时网关的正确物理地址,是网络受“ARP欺骗”木马影响时木马所在电脑网卡的物理地址。
10、您也可以扫描该子网中的所有IP地址,然后检查ARP表。
11、如果存在与网关相同的IP对应物理地址,那么这个IP地址和物理地址就是被感染计算机的网卡的IP地址和物理地址。
12、3.设置ARP表,避免“ARP欺骗”木马的影响。
13、这种方法可以在一定程度上减少木马中其他电脑对本机的影响。
14、使用上述方法确定正确的网关IP地址和网关物理地址,然后在命令提示符窗口中输入并执行以下命令:ARPS gateway IP gateway physical address 4。
15、状态ARP绑定网关第一步:当可以正常上网时,进入MS-DOS窗口,输入命令:arp -s A,检查网关IP对应的正确MAC地址并记录。
16、注意:如果不能上网,先运行命令arp-D删除arp缓存的内容,电脑可以暂时恢复上网(如果攻击不停止)。
17、只要能上网,就断开网络(禁用网卡或拔掉网线),然后运行ARP-A .第二步:如果电脑已经有了正确的网关MAC地址,只需要在不能上网的时候,手动将网关IP与正确的MAC地址绑定,保证电脑不再被欺骗和攻击。
18、要手动绑定,可以在MS-DOS窗口中运行以下命令:ARP-S Gateway IP Gateway MAC例如,假设计算机所在网段的网关为192.168.1.1,本地地址为192.168.1.5,在计算机上运行ARP-A后,输出如下:C documents and settings ARP-container 3360192 . 168 . 1 . 5-0x 2 Internet address物理地址类型192.168。
19、Amic其中00-01-02-03-04-05是网关192.168.1.1对应的MAC地址,类型是动态的,可以更改。
20、被攻击后,用这个命令检查一下,会发现MAC已经被攻击机器的MAC取代了。
21、如果想找出攻击机,彻底根除攻击,可以记录下此时的MAC,为以后找到攻击机做准备。
22、手动绑定命令为:ARP-s 192.168.1.1 00-01-02-03-04-05绑定后可以使用arp-a查看ARP缓存:c文档和设置ARP-容器面3360 192.168.1.5-0x2互联网地址物理地址类型192 . 168 . 1 . 1 00-01-02-03-04-05静态。
23、此时,该类型变为静态。
24、但需要注意的是,电脑关机重启后,手动绑定会失效,需要重新绑定。
25、所以要彻底根除攻击,只有找出网段内被病毒感染的电脑,并查杀病毒,才能真正解决问题。
26、5.制作批处理文件并将arp绑定到客户端的网关。
27、具体操作步骤如下:第一步:找到这个网段的网关地址,比如192.168.1.1。
28、下面以这个网关为例。
29、正常上网时,“开始运行cmd确定”,输入ARP-A,回车,查看网关对应的物理地址。
30、例如,网关192.168.1.1对应于00-01-02-03-04-05。
31、 第二步:写一个批处理文件rarp.bat,内容如下:@ echooffarp-darp-s 192 . 168 . 1 . 1 00-01-02-03-04-05保存为:rarp.bat第三步:运行批处理文件,将这个批处理文件拖到“Windows开始程序开始”。
32、如果需要立即生效,请运行该文件。
33、注意:以上配置需要在网络正常的情况下进行。
34、6.使用安全工具软件及时下载反ARP嗅探软件,保护本地电脑的正常运行。
35、具体使用方法可以在网上搜索。
36、如果你有病毒电脑的MAC地址,可以用NBTSCAN等软件找出网段中MAC地址对应的IP,也就是被感染电脑的IP地址,然后上报公司网络中心封存。
37、或者使用单位提供的集中网络杀毒系统统一查杀木马。
38、除此之外,还可以利用木马等安全工具杀死客户。
39、7.应急计划。
40、网管人员使用上面介绍的ARP木马检测方法,在局域网交换机上找到感染病毒的端口后,立即关闭病毒的端口,通过端口找到对应的用户并通知他们彻底查杀病毒。
41、然后,做好单机防范,彻底杀毒后再打开相应的交换机端口重新上网。
42、附录一清华大学校园网络安全响应小组编制的一个小程序下载地址: ftp://166.111.8.243/tools/ArpFix.rar清华大学校园网络安全响应小组编了一个小程序,它可以保护您的计算机在同一个局域网内部有ARP欺骗木马计算机的攻击时,保持正常上网。
43、具体使用方法: 程序运行后请先选择网卡,选定网卡后点击“选定”按钮。
44、2、 选定网卡后程序会自动获取您机器的网关地址。
45、3、获得网关地址后请点击获取MAC地址按钮获取正确的网关MAC地址。
46、4、 确认网关的MAC地址后请点击连接保护,程序开始保护您的机器。
47、5、 点击程序右上角的叉,程序自动隐藏到系统托盘内。
48、6、要完全退出程序请在系统托盘中该程序图标上点击右键选择EXIT。
49、注意:这个程序只是一个ARP攻击保护程序,即受ARP木马攻击时保持自己计算机的MAC地址不被恶意篡改,从而在遭受攻击时网络不会中断。
50、本程序并不能清除已经感染的ARP木马,要预防感染或杀除木马请您安装正版的杀毒软件!。
本文到此结束,希望对大家有所帮助。