导读 大家好,小宝来为大家解答以上问题。阿如那,arp病毒很多人还不知道,现在让我们一起来看看吧!1、如何检查和处理“ARP欺骗”木马1?检查本

大家好,小宝来为大家解答以上问题。阿如那,arp病毒很多人还不知道,现在让我们一起来看看吧!

1、如何检查和处理“ARP欺骗”木马1?检查本机“ARP欺骗”木马的感染进程,按住键盘上的CTRL和ALT键,然后按DEL键,选择“任务管理器”,点击“进程”选项卡。

2、看看有没有名为“MIR0.dat”的进程。

3、如果是,说明已经中毒了。

4、右键单击该流程并选择“结束流程”。

5、见右图。

6、2.检查网络中被ARP欺骗木马感染的电脑,关闭开始-程序-附件菜单中的命令提示符。

7、并输入以下命令:ipconfig记录网关IP地址,即“默认网关”对应的值,如“59.66.36.1”。

8、然后输入并执行以下命令:ARPa在“Internet Address”下找到上一步记录的网关IP地址,并记录其对应的物理地址,即“Physical Address”值,例如“00-01-e8-1f-35-54”。

9、这是网络正常时网关的正确物理地址,是网络受“ARP欺骗”木马影响时木马所在电脑网卡的物理地址。

10、您也可以扫描该子网中的所有IP地址,然后检查ARP表。

11、如果存在与网关相同的IP对应物理地址,那么这个IP地址和物理地址就是被感染计算机的网卡的IP地址和物理地址。

12、3.设置ARP表,避免“ARP欺骗”木马的影响。

13、这种方法可以在一定程度上减少木马中其他电脑对本机的影响。

14、使用上述方法确定正确的网关IP地址和网关物理地址,然后在命令提示符窗口中输入并执行以下命令:ARPS gateway IP gateway physical address 4。

15、状态ARP绑定网关第一步:当可以正常上网时,进入MS-DOS窗口,输入命令:arp -s A,检查网关IP对应的正确MAC地址并记录。

16、注意:如果不能上网,先运行命令arp-D删除arp缓存的内容,电脑可以暂时恢复上网(如果攻击不停止)。

17、只要能上网,就断开网络(禁用网卡或拔掉网线),然后运行ARP-A .第二步:如果电脑已经有了正确的网关MAC地址,只需要在不能上网的时候,手动将网关IP与正确的MAC地址绑定,保证电脑不再被欺骗和攻击。

18、要手动绑定,可以在MS-DOS窗口中运行以下命令:ARP-S Gateway IP Gateway MAC例如,假设计算机所在网段的网关为192.168.1.1,本地地址为192.168.1.5,在计算机上运行ARP-A后,输出如下:C documents and settings ARP-container 3360192 . 168 . 1 . 5-0x 2 Internet address物理地址类型192.168。

19、Amic其中00-01-02-03-04-05是网关192.168.1.1对应的MAC地址,类型是动态的,可以更改。

20、被攻击后,用这个命令检查一下,会发现MAC已经被攻击机器的MAC取代了。

21、如果想找出攻击机,彻底根除攻击,可以记录下此时的MAC,为以后找到攻击机做准备。

22、手动绑定命令为:ARP-s 192.168.1.1 00-01-02-03-04-05绑定后可以使用arp-a查看ARP缓存:c文档和设置ARP-容器面3360 192.168.1.5-0x2互联网地址物理地址类型192 . 168 . 1 . 1 00-01-02-03-04-05静态。

23、此时,该类型变为静态。

24、但需要注意的是,电脑关机重启后,手动绑定会失效,需要重新绑定。

25、所以要彻底根除攻击,只有找出网段内被病毒感染的电脑,并查杀病毒,才能真正解决问题。

26、5.制作批处理文件并将arp绑定到客户端的网关。

27、具体操作步骤如下:第一步:找到这个网段的网关地址,比如192.168.1.1。

28、下面以这个网关为例。

29、正常上网时,“开始运行cmd确定”,输入ARP-A,回车,查看网关对应的物理地址。

30、例如,网关192.168.1.1对应于00-01-02-03-04-05。

31、 第二步:写一个批处理文件rarp.bat,内容如下:@ echooffarp-darp-s 192 . 168 . 1 . 1 00-01-02-03-04-05保存为:rarp.bat第三步:运行批处理文件,将这个批处理文件拖到“Windows开始程序开始”。

32、如果需要立即生效,请运行该文件。

33、注意:以上配置需要在网络正常的情况下进行。

34、6.使用安全工具软件及时下载反ARP嗅探软件,保护本地电脑的正常运行。

35、具体使用方法可以在网上搜索。

36、如果你有病毒电脑的MAC地址,可以用NBTSCAN等软件找出网段中MAC地址对应的IP,也就是被感染电脑的IP地址,然后上报公司网络中心封存。

37、或者使用单位提供的集中网络杀毒系统统一查杀木马。

38、除此之外,还可以利用木马等安全工具杀死客户。

39、7.应急计划。

40、网管人员使用上面介绍的ARP木马检测方法,在局域网交换机上找到感染病毒的端口后,立即关闭病毒的端口,通过端口找到对应的用户并通知他们彻底查杀病毒。

41、然后,做好单机防范,彻底杀毒后再打开相应的交换机端口重新上网。

42、附录一清华大学校园网络安全响应小组编制的一个小程序下载地址: ftp://166.111.8.243/tools/ArpFix.rar清华大学校园网络安全响应小组编了一个小程序,它可以保护您的计算机在同一个局域网内部有ARP欺骗木马计算机的攻击时,保持正常上网。

43、具体使用方法: 程序运行后请先选择网卡,选定网卡后点击“选定”按钮。

44、2、 选定网卡后程序会自动获取您机器的网关地址。

45、3、获得网关地址后请点击获取MAC地址按钮获取正确的网关MAC地址。

46、4、 确认网关的MAC地址后请点击连接保护,程序开始保护您的机器。

47、5、 点击程序右上角的叉,程序自动隐藏到系统托盘内。

48、6、要完全退出程序请在系统托盘中该程序图标上点击右键选择EXIT。

49、注意:这个程序只是一个ARP攻击保护程序,即受ARP木马攻击时保持自己计算机的MAC地址不被恶意篡改,从而在遭受攻击时网络不会中断。

50、本程序并不能清除已经感染的ARP木马,要预防感染或杀除木马请您安装正版的杀毒软件!。

本文到此结束,希望对大家有所帮助。