一、ARP病毒发作的可能症状
1. 感染ARP病毒的电脑:
(1). 系统启动了可疑的进程
(2). 系统向外发送大量的ARP广播包(可由第三方软件拦截提示,比如最新版的ARP防火墙单)
此时用户应
(1). 立即通过网络(网络保持连通的情况下)或通过U盘下载安装最新版的ARP防火墙,拦截本机向外发起的ARP攻击,保证不影响同网段的其他用户。
(2). 下载和安装杀毒软件或者专杀工具,进行安全模式,全面查杀病毒。
2. 受ARP欺骗攻击影响的电脑:
(1).网速偏慢
(2). QQ、MSN或上网直通车出现频繁掉线
(3).网络时断时续
(4).甚至是长时间断网
此时用户可立即通过网络(网络连通的情况下)或通过U盘下载并安装最新版的ARP防火墙①,或者静态绑定网关MAC②,从而来
(1). 拦截外部ARP攻击,保证正常上网。
(2).锁定攻击者,同时将攻击者的MAC地址提交到我们的网络报障系统,由我们的网管人员来定位出攻击者机器,隔离进行杀毒。
1. 感染ARP病毒的电脑:
(1). 系统启动了可疑的进程
(2). 系统向外发送大量的ARP广播包(可由第三方软件拦截提示,比如最新版的ARP防火墙单)
此时用户应
(1). 立即通过网络(网络保持连通的情况下)或通过U盘下载安装最新版的ARP防火墙,拦截本机向外发起的ARP攻击,保证不影响同网段的其他用户。
(2). 下载和安装杀毒软件或者专杀工具,进行安全模式,全面查杀病毒。
2. 受ARP欺骗攻击影响的电脑:
(1).网速偏慢
(2). QQ、MSN或上网直通车出现频繁掉线
(3).网络时断时续
(4).甚至是长时间断网
此时用户可立即通过网络(网络连通的情况下)或通过U盘下载并安装最新版的ARP防火墙①,或者静态绑定网关MAC②,从而来
(1). 拦截外部ARP攻击,保证正常上网。
(2).锁定攻击者,同时将攻击者的MAC地址提交到我们的网络报障系统,由我们的网管人员来定位出攻击者机器,隔离进行杀毒。
趋势公司推出一款ARP病毒专杀工具。
使用方法:下载后解压缩,运行包内TSC.exe文件,不要关闭程序,直到它运行完毕自动关闭,然后查看report文档便可查看本次病毒查杀情况。
使用方法:下载后解压缩,运行包内TSC.exe文件,不要关闭程序,直到它运行完毕自动关闭,然后查看report文档便可查看本次病毒查杀情况。
三、ARP病毒的防护措施
1.静态绑定网关MAC
方法一、手工绑定:
(1).确定用户计算机所在网段
(2).查出用户网段网关IP
(3).根据网关IP查出用户网段网关Mac
(4).用命令 arp -s 网关IP 网关MAC 静态绑定网关IP和MAC
举例:
(1).确定用户计算机所在网段
开始->程序->附件->命令提示符,打开命令提示符窗口,输入ipconfig命令,查出用户正常分配到的IP地址:
本机IP: 10.13.2.62
网关IP: 10.13.2.254
1.静态绑定网关MAC
方法一、手工绑定:
(1).确定用户计算机所在网段
(2).查出用户网段网关IP
(3).根据网关IP查出用户网段网关Mac
(4).用命令 arp -s 网关IP 网关MAC 静态绑定网关IP和MAC
举例:
(1).确定用户计算机所在网段
开始->程序->附件->命令提示符,打开命令提示符窗口,输入ipconfig命令,查出用户正常分配到的IP地址:
本机IP: 10.13.2.62
网关IP: 10.13.2.254
(2).在以下网关IP地址,可从本站网关MAC查询查得
IP为 10.13.3.254 的网关的MAC地址为 00-0b-46-01-01-00
IP为 10.13.3.254 的网关的MAC地址为 00-0b-46-01-01-00
(4).在命令提示符窗口中输入以下命令
arp –d //清空ARP缓存
arp -s 10.13.2.254 00-0b-46-01-01-00 //静态绑定网关MAC地址
arp –a //查看ARP缓存记录
arp –d //清空ARP缓存
arp -s 10.13.2.254 00-0b-46-01-01-00 //静态绑定网关MAC地址
arp –a //查看ARP缓存记录
方法二、脚本绑定
将下面的代码拷贝到记事本中,保存为.bat文件,双击运行即可
-------------------------------------------------------------------------------------
::arp -d&arp -s Default Gateway mac
::绑定本机的批处理
@echo off
@color f0
if exist ipconfig.txt del ipconfig.txt
ipconfig /all >ipconfig.txt
if exist phyaddr.txt del phyaddr.txt
find "Physical Address" ipconfig.txt >phyaddr.txt
for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M
if exist IPAddr.txt del IPaddr.txt
find "IP Address" ipconfig.txt >IPAddr.txt
for /f "skip=2 tokens=15" %%I in (IPAddr.txt) do set IP=%%I
@echo %ip% %mac%
arp -s %IP% %Mac%
del ipaddr.txt
del ipconfig.txt
del phyaddr.txt
pause
-------------------------------------------------------------------------------------
将下面的代码拷贝到记事本中,保存为.bat文件,双击运行即可
-------------------------------------------------------------------------------------
::arp -d&arp -s Default Gateway mac
::绑定本机的批处理
@echo off
@color f0
if exist ipconfig.txt del ipconfig.txt
ipconfig /all >ipconfig.txt
if exist phyaddr.txt del phyaddr.txt
find "Physical Address" ipconfig.txt >phyaddr.txt
for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M
if exist IPAddr.txt del IPaddr.txt
find "IP Address" ipconfig.txt >IPAddr.txt
for /f "skip=2 tokens=15" %%I in (IPAddr.txt) do set IP=%%I
@echo %ip% %mac%
arp -s %IP% %Mac%
del ipaddr.txt
del ipconfig.txt
del phyaddr.txt
pause
-------------------------------------------------------------------------------------
 |
四、上网安全建议
1.及时更新系统补丁;
2.安装杀毒软件,及时更新病毒定义库,并定期查杀病毒;
3.不随便打开QQ、MSN等聊天工具上发来的链接信息;
4.不随便接收、打开或运行陌生、可疑文件和程序,如邮件中的陌生附件,QQ好友发送的可疑文件等;
5.不随便去非官方的小型站点下载程序或文件。
6.不随便访问不明、不健康的网站。
3.将中毒计算机的MAC地址公布
1.联系中毒计算器用户,安装ARP防火墙单机版
可以连网则通过网络安装,已经断网则通过移动U盘等方式安装
2.运行ARP防火墙,观察ARP防火墙拦截对外攻击日志,一旦有对外攻击的迹象则表明ARP病毒发表,此时用户应立即
(1).安装杀毒软件
(2).重启系统并进入安全模式
(3).全面杀毒
当ARP防火墙不再报告本机对外发起攻击时才表明全部ARP病毒已经被清除干净。
3.若用户计算机再次被发现或被举报发送ARP欺骗攻击时,网管人员可关闭用户上网端口3天。
可以连网则通过网络安装,已经断网则通过移动U盘等方式安装
2.运行ARP防火墙,观察ARP防火墙拦截对外攻击日志,一旦有对外攻击的迹象则表明ARP病毒发表,此时用户应立即
(1).安装杀毒软件
(2).重启系统并进入安全模式
(3).全面杀毒
当ARP防火墙不再报告本机对外发起攻击时才表明全部ARP病毒已经被清除干净。
3.若用户计算机再次被发现或被举报发送ARP欺骗攻击时,网管人员可关闭用户上网端口3天。
