亚洲免费精品视频,精品人妻中文字幕专区,久久亚洲精品23p

您當前所在位置：首頁 → 網(wǎng)絡(luò)安全 → 病毒防治 → ARP病毒解決辦法

ARP病毒解決辦法 時間：2015-06-28 00:00:00 來源：IT貓撲網(wǎng) 作者：網(wǎng)管聯(lián)盟 我要評論(0)

故障現(xiàn)象

　　當局域網(wǎng)內(nèi)某臺主機運行ARP欺騙的木馬程序時，會欺騙局域網(wǎng)內(nèi)所有主機和路由器，讓所有上網(wǎng)的流量必須經(jīng)過病毒主機。其他用戶原來直接通過路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過病毒主機上網(wǎng)，切換的時候用戶會斷一次線。

　??? 切換到病毒主機上網(wǎng)后，如果用戶已經(jīng)登陸了傳奇服務(wù)器，那么病毒主機就會經(jīng)常偽造斷線的假像，那么用戶就得重新登錄傳奇服務(wù)器，這樣病毒主機就可以盜號了。

　　由于ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數(shù)據(jù)包導致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶會感覺上網(wǎng)速度越來越慢。當ARP欺騙的木馬程序停止運行時，用戶會恢復從路由器上網(wǎng)，切換過程中用戶會再斷一次線。

解決辦法

【HiPER用戶快速發(fā)現(xiàn)ARP欺騙木馬】

　　在路由器的"系統(tǒng)歷史記錄"中看到大量如下的信息（440以后的路由器軟件版本中才有此提示）：

　　MAC Chged 10.128.103.124

　　MAC Old 00:01:6c:36:d1:7f

　　MAC New 00:05:5d:60:c7:18

　　這個消息代表了用戶的MAC地址發(fā)生了變化，在ARP欺騙木馬開始運行的時候，局域網(wǎng)所有主機的MAC地址更新為病毒主機的MAC地址（即所有信息的MAC New地址都一致為病毒主機的MAC地址），同時在路由器的"用戶統(tǒng)計"中看到所有用戶的MAC地址信息都一樣。

　　如果是在路由器的"系統(tǒng)歷史記錄"中看到大量MAC Old地址都一致，則說明局域網(wǎng)內(nèi)曾經(jīng)出現(xiàn)過ARP欺騙（ARP欺騙的木馬程序停止運行時，主機在路由器上恢復其真實的MAC地址）。

【在局域網(wǎng)內(nèi)查找病毒主機】

　　在上面我們已經(jīng)知道了使用ARP欺騙木馬的主機的MAC地址，那么我們就可以使用NBTSCAN工具來快速查找它。
　NBTSCAN可以取到PC的真實IP地址和MAC地址，如果有"傳奇木馬"在做怪，可以找到裝有木馬的PC的IP/和MAC地址。

　　命令："nbtscan -r 192.168.16.0/24"（搜索整個192.168.16.0/24網(wǎng)段, 即

　　192.168.16.1-192.168.16.254）；或"nbtscan 192.168.16.25-137"搜索192.168.16.25-137 網(wǎng)段，即192.168.16.25-192.168.16.137。輸出結(jié)果第一列是IP地址，最后一列是MAC地址。

　　NBTSCAN的使用范例：

　　假設(shè)查找一臺MAC地址為"000d870d585f"的病毒主機。

　　1）將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下。

　　2）在Windows開始—運行—打開，輸入cmd（windows98輸入"command"），在出現(xiàn)的DOS窗口中輸入：C:

　　btscan -r 192.168.16.1/24（這里需要根據(jù)用戶實際網(wǎng)段輸入），回車。　　

　　C:Documents and SettingsALAN>C:

　　btscan -r 192.168.16.1/24

　　Warning: -r option not supported under Windows. Running without it.　　

　　Doing NBT name scan for addresses from 192.168.16.1/24　　

　　IP address NetBIOS Name Server User MAC address

　　------------------------------------------------------------------------------

　　192.168.16.0 Sendto failed: Cannot assign requested address

　　192.168.16.50 SERVER 00-e0-4c-4d-96-c6

　　192.168.16.111 LLF ADMINISTRATOR 00-22-55-66-77-88

　　192.168.16.121 UTT-HIPER 00-0d-87-26-7d-78

　　192.168.16.175 JC 00-07-95-e0-7c-d7

　　192.168.16.223 test123 test123 00-0d-87-0d-58-5f　　

　　3）通過查詢IP--MAC對應表，查出"000d870d585f"的病毒主機的IP地址為"192.168.16.223"。
解決思路

　　1、不要把你的網(wǎng)絡(luò)安全信任關(guān)系建立在IP基礎(chǔ)上或MAC基礎(chǔ)上，（rarp同樣存在欺騙的問題），理想的關(guān)系應該建立在IP+MAC基礎(chǔ)上。

　　2、設(shè)置靜態(tài)的MAC-->IP對應表，不要讓主機刷新你設(shè)定好的轉(zhuǎn)換表。

　　3、除非很有必要，否則停止使用ARP，將ARP做為永久條目保存在對應表中。

　　4、使用ARP服務(wù)器。通過該服務(wù)器查找自己的ARP轉(zhuǎn)換表來響應其他機器的ARP廣播。確保這臺ARP服務(wù)器不被黑。

　　5、使用""proxy""代理IP的傳輸。

　　6、使用硬件屏蔽主機。設(shè)置好你的路由，確保IP地址能到達合法的路徑。（靜態(tài)配置路由ARP條目），注意，使用交換集線器和網(wǎng)橋無法阻止ARP欺騙。

　7、管理員定期用響應的IP包中獲得一個rarp請求，然后檢查ARP響應的真實性。

　　8、管理員定期輪詢，檢查主機上的ARP緩存。

　　9、使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)。注意有使用SNMP的情況下，ARP的欺騙有可能導致陷阱包丟失。

HiPER用戶的解決方案

　　建議用戶采用雙向綁定的方法解決并且防止ARP欺騙。

　　1、在PC上綁定路由器的IP和MAC地址：

　　1）首先，獲得路由器的內(nèi)網(wǎng)的MAC地址（例如HiPER網(wǎng)關(guān)地址192.168.16.254的MAC地址為0022aa0022aa局域網(wǎng)端口MAC地址>）。

　　2）編寫一個批處理文件rarp.bat內(nèi)容如下：

　　@echo off

　　arp -d

　　arp -s 192.168.16.254 00-22-aa-00-22-aa

　　將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為您自己的網(wǎng)關(guān)IP地址和MAC地址即可。

　　將這個批處理軟件拖到"windows--開始--程序--啟動"中。

關(guān)鍵詞標簽：辦法,解決,病毒,地址,

文章評論

查看所有0條評論>>

相關(guān)下載

爺爺一定有辦法繪本ppt
時間：2018-06-21 09:49:56
總會有辦法
時間：2017-12-08 17:13:01
缺少d3dx9_39.dll解決辦法
時間：2017-03-22 14:50:52
shlwapi.dll出錯解決辦法
時間：2017-03-22 14:38:57
丟失errorreport.dll解決辦法
時間：2017-03-21 10:38:01
沒有找到Polspell.dll解決辦法
時間：2017-02-10 11:23:57