如何清除区域网中的ARP病毒
如何清除区域网中的ARP病毒 ARP病毒的症状 有时候无法正常上网,有时候有好了,包括访问网路上的芳邻也是如此,拷贝档案无法完成,出现错误;区域网内的ARP包爆增,使用ARP查询的时候会发现不正常的MAC地址,或者是错误的MAC地址对应,还有就是一个MAC地址对应多个IP的情况也会有出现。 ARP攻击的原理 ARP欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警:第一乙太网资料包头的源地址、目标地址和ARP资料包的协议地址不匹配。或者,ARP资料包的传送和目标地址不在自己网路网络卡MAC资料库内,或者与自己网路MAC资料库MAC/IP不匹配。这些统统第一时间报警,查这些资料包(乙太网资料包)的源地址(也有可能伪造),就大致知道那台机器在发起攻击了。现在有网路管理工具比如网路执法官、P2P终结者也会使用同样的方式来伪装成闸道器,欺骗客户端对闸道器的访问,也就是会获取发到闸道器的流量,从而实现网路流量管理和网路监控等功能,同时也会对网路管理带来潜在的危害,就是可以很容易的获取使用者的密码等相关资讯。 处理办法 通用的处理流程 1.先保证网路正常执行 方法一:编辑一个***.bat档案内容如下: arp.exe s **.**.**.**(闸道器ip) **** ** ** ** **( 闸道器MAC地址) end 让网路使用者点选就可以了! 办法二:编辑一个登录档问题,键值如下: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MAC"="arp s 闸道器IP地址闸道器MAC地址" 然后储存成Reg档案以后在每个客户端上点选汇入登录档。 2.找到感染ARP病毒的机器 a、在电脑上ping一下闸道器的IP地址,然后使用ARP -a的命令看得到的闸道器对应的MAC地址是否与实际情况相符,如不符,可去查询与该MAC地址对应的电脑。 b、使用抓包工具,分析所得到的ARP资料报。有些ARP病毒是会把通往闸道器的路径指向自己,有些是发出虚假ARP回应包来混淆网路通讯。第一种处理比较容易,第二种处理比较困难,如果防毒软体不能正确识别病毒的话,往往需要手工查询感染病毒的电脑和手工处理病毒,比较困难。 c、使用MAC地址扫描工具,Nbtscan扫描全网段IP地址和MAC地址对应表,有助于判断感染ARP病毒对应MAC地址和IP地址。 预防措施 1、及时升级客户端的作业系统和应用程式补丁; 2、安装和更新防毒软体。 3、如果网路规模较少,尽量使用手动指定IP设定,而不是使用DHCP来分配IP地址。 4、如果交换机支援,在交换机上系结MAC地址与IP地址。 ARP攻击的原理 如何清除区域网中的ARP病毒
360怎么查杀本地ARP病毒?
360怎么查杀本地ARP病毒? 在【病毒查杀】选项卡,360防毒为使用者提供了三个查杀病毒的方式。及快速扫描、全盘扫描、和指定位置扫描 这里选择快速扫描方式,在【病毒查杀】选项卡单击【快速扫描】按钮,即可开启扫描系统中病毒档案 在扫描过程中,如果发现木马病毒,则会在下面的空格中显示扫描出来的木马病毒,并列表其威胁物件,危险型别,处理状态等 单击【开始处理】按钮,即可删除扫描出来的木马病毒或安全威胁物件。 单击【确定】按钮,返回到【病毒查杀】选项卡,单击【隔离区】按钮, 开启【360防毒隔离区】对话方块在其中显示了被360防毒删除或清除档案的原始备份 单击【删除全部】按钮,开启【删除全部隔离档案】资讯提示框,单击【确定】按钮即可将隔离区的档案删除 ARP病毒怎么查杀 1.KV防毒软体每周7天不间断升级病毒库,单机版网路版同步升级,实时拦截来自网路上的各种ARP病毒。 2.针对区域网使用者,建议统一部署KV网路版防毒软体,KV网路版具有全网统一升级病毒库,统一全网防毒的强大功能,可以彻底查杀来自区域网中的ARP病毒。 3.“KV未知病毒扫描”功能可以识别出绝大多数ARP病毒,KV未知病毒扫描程式采用独特的行为判定技术,可以彻底检测出本机中已知和未知的ARP病毒,协助网路管理员快速清除ARP病毒。 4.特针对企业使用者,提供“ARP病毒应急响应服务” ,江民科技网路安全工程师可以上门处理企业使用者内网中的ARP病毒,确保快速恢复企业网路的资料通讯安全。 5.KV新版防火墙特增加了ARP病毒防御功能,可以拦截来自区域网中的ARP欺骗资料包,保护本机联网安全。 KV新版防火墙增加了ARP攻击防护功能,该功能使用方法也很简单,安装完KV防火墙之后,点选“设定”按钮,然后勾选“启用攻击防护功能” ,再点选“自动检测本机网路设定” ,程式就会自动获得本机和闸道器的IP地址和MAC地址,然后点选确定即可。 怎么查杀arp病毒? 建议楼主安装防火墙、否则会杀了还会被传染的、、可以试试瑞星防火墙、很好用的、 怎么查杀ARP病毒 arp病毒并不是某一种病毒的名称,而是对利用arp协议的漏洞进行传播的一类病毒的总称。arp协议是TCP/IP协议组的一个协议,用于进行把网路地址翻译成实体地址(又称MAC地址)。通常此类攻击的手段有两种:路由欺骗和闸道器欺骗。是一种入侵电脑的木马病毒。对电脑使用者私密资讯的威胁很大。 自己手动清除病毒:⒈立即升级作业系统中的防病毒软体和防火墙,同时开启“实时监控”功能,实时地拦截来自区域网络上的各种ARP病毒变种。⒉立即根据自己的作业系统版本下载微软MS06-014和MS07-017两个系统漏洞补丁程式,将补丁程式安装到区域网络中存在这两个漏洞的计算机系统中,防止病毒变种的感染和传播。 建议你使用腾讯电脑管家,它集合木马、病毒查杀于一身,其电脑加速、电脑诊所、清理垃圾、工具箱等功能可以有效的防止你的电脑受到病毒侵袭,以及让你的电脑可以运转快速、稳定。 查杀arp病毒 现在基本上杀不干净,趋势科技有一款可以查毒,也杀不掉的。最好是重新装一下系统,要不在区域网统一网段的机器都会不定时掉线。 ARP病毒怎么彻底查杀? 中了以后,会导致中很多其他的病毒木马,最好重新装系统 ,,装了系统以后记得 安装arp防火墙 或360安全卫士并开启arp防火墙 中了ARP病毒怎么查杀? 毕竟这么多电脑又不是你自己一个人用所以防毒也不是你一个人的事 如果现在还能上网就让大家下载360卫士杀杀(记得备份好资料). 如果不能上网就从别处用U盘拷个APR病毒专杀. 我认为只能这样. 不过我现在正在搜寻有没有区域网同意防毒的办法.有的话我第一时间放上来 ARP病毒查杀 朋友对于ARP病毒,朋友可以使用360ARP防火墙来保护你的电脑。360ARP防火墙是整合在360安全卫士里边的,需要你手动开启才能有效。 在360安全卫士的上边有个木马防火墙,你点选进入开启区域网防护(ARP攻击)就可以了。 怎样查杀ARP病毒 ARP病毒可能是在区域网中其他的电脑上,别人电脑上的病毒本机是无法查杀的。 您可以根据防火墙记录定位到感染病毒的电脑并提示那电脑机主进行查杀。
局域网中有电脑中了arp病毒
如何检查和处理“ ARP 欺骗”木马的方法
1 .检查本机的“ ARP 欺骗”木马染毒进程
同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键,选择“任务管理器”,点选“进程”标签。察看其中是否有一个名为“ MIR0.dat ”的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。参见右图。
2 .检查网内感染“ ARP 欺骗”木马染毒的计算机
在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令:
ipconfig
记录网关 IP 地址,即“ Default Gateway ”对应的值,例如“ 59.66.36.1 ”。再输入并执行以下命令:
arp –a
在“ Internet Address ”下找到上步记录的网关 IP 地址,记录其对应的物理地址,即“ Physical Address ”值,例如“ 00-01-e8-1f-35-54 ”。在网络正常时这就是网关的正确物理地址,在网络受“ ARP 欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。
也可以扫描本子网内的全部 IP 地址,然后再查 ARP 表。如果有一个 IP 对应的物理地址与网关的相同,那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。
3 .设置 ARP 表避免“ ARP 欺骗”木马影响的方法
本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关 IP 地址和网关物理地址,然后在 “命令提示符”窗口中输入并执行以下命令:
arp –s 网关 IP 网关物理地址
4.态ARP绑定网关
步骤一:
在能正常上网时,进入MS-DOS窗口,输入命令:arp -a,查看网关的IP对应的正确MAC地址, 并将其记录下来。
注意:如果已经不能上网,则先运行一次命令arp -d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话)。一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp -a。
步骤二:
如果计算机已经有网关的正确MAC地址,在不能上网只需手工将网关IP和正确的MAC地址绑定,即可确保计算机不再被欺骗攻击。
要想手工绑定,可在MS-DOS窗口下运行以下命令:
arp -s 网关IP 网关MAC
例如:假设计算机所处网段的网关为192.168.1.1,本机地址为192.168.1.5,在计算机上运行arp -a后输出如下:
Cocuments and Settings>arp -a
Interface:192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 dynamic
其中,00-01-02-03-04-05就是网关192.168.1.1对应的MAC地址,类型是动态(dynamic)的,因此是可被改变的。
被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC。如果希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找该攻击的机器做准备。
手工绑定的命令为:
arp -s 192.168.1.1 00-01-02-03-04-05
绑定完,可再用arp -a查看arp缓存:
Cocuments and Settings>arp -a
Interface: 192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 static
这时,类型变为静态(static),就不会再受攻击影响了。
但是,需要说明的是,手工绑定在计算机关机重启后就会失效,需要再次重新绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,把病毒杀掉,才算是真正解决问题。
5 .作批处理文件
在客户端做对网关的arp绑定,具体操作步骤如下:
步骤一:
查找本网段的网关地址,比如192.168.1.1,以下以此网关为例。在正常上网时,“开始→运行→cmd→确定”,输入:arp -a,点回车,查看网关对应的Physical Address。
比如:网关192.168.1.1 对应00-01-02-03-04-05。
步骤二:
编写一个批处理文件rarp.bat,内容如下:
@echo off
arp -d
arp -s 192.168.1.1 00-01-02-03-04-05
保存为:rarp.bat。
步骤三:
运行批处理文件将这个批处理文件拖到“Windows→开始→程序→启动”中,如果需要立即生效,请运行此文件。
注意:以上配置需要在网络正常时进行
6.使用安全工具软件
及时下载Anti ARP Sniffer软件保护本地计算机正常运行。具体使用方法可以在网上搜索。
如果已有病毒计算机的MAC地址,可使用NBTSCAN等软件找出网段内与该MAC地址对应的IP,即感染病毒的计算机的IP地址,然后报告单位的网络中心对其进行查封。
或者利用单位提供的集中网络防病毒系统来统一查杀木马。另外还可以利用木马杀客等安全工具进行查杀。
怎么清除ARP病毒
您好首先您要弄清除是中了ARP欺骗攻击还是ARP病毒,如果是攻击的话那么您会断网,如果是病毒的话,对您的电脑没任何影响您可以先到腾讯电脑管家官网下载一个电脑管家然后打开电脑管家——工具箱——ARP防火墙打开,会自动帮您拦截ARP攻击然后如果担心病毒问题的话,打开电脑管家——杀毒——全盘查杀,电脑股那家基于CPU虚拟执行技术,可以彻底根除电脑中的流行顽固木马。如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问,我们将尽全力为您解答疑难腾讯电脑管家企业平台:http://zhidao.baidu.com/c/guanjia/
电脑总是遭受ARP断网攻击怎么办?
反ARP攻击的绝招,让你在ARP的炮雨攻击下永不掉线 你的局域网经常掉线吗?你受过ARP攻击吗?出现过烦人的IP冲突吗?如果有,或者以防后患,请看下文,教你反ARP攻击的绝招,让你在ARP的炮雨攻击下永不掉线。 所遇情况: 第一。局域网中经常有人用网络执法官、剪刀手等工具限制其他人上网,虽然有反网络执法官等软件,但是用起来甚是不爽啊! 第二。局域网中有人中了病毒,自动发送大量ARP攻击到局域网中。 原理: ARP协议是windows网络中查找IP和网卡的基础。所以不能绕开它。所有的防御ARP攻击的方法,都必须许可ARP协议。以致目前用着还算可以的网络工具比如360安全卫士,都只能监测到攻击信息,却奈何不了他什么。 具体方法: 解决ARP攻击最根本的办法只有一个-----建虚拟网卡。可以使用泡泡鱼虚拟网卡,在大的下载站都有下载。 把虚拟网卡的IP指定为你正常使用的网卡的网关的IP地址,比如你的网卡的地址现在是10.176.168.33,网关是 10.176.168.1,那么给新的虚拟网卡10.176.168.1地址,然后再把新的虚拟网卡点右键禁用掉。这个网卡必须禁用,否则你上网,都跑到 虚拟网卡了,其实它是不通的。
ARP病毒如何清除
网络中任何一台电脑都会因为网络访问,携带arp病毒,然后发起arp攻击,所以需要arp彻底全面的防护。
介绍你使用巡路免疫墙,将巡路免疫墙安装到每一台局域网电脑,这样每台电脑发出的arp攻击都可以被巡路拦截,网络里自然就没有arp攻击数据,网络也就稳定了。巡路免疫墙会把当前攻击源找出来,报告给你,这样攻击既没有影响网络,又可以找到攻击源。
ARP病毒解决方案:
1、清空ARP缓存: 大家可能都曾经有过使用ARP的指令法解决过ARP欺骗问题,该方法是针对ARP欺骗原理进行解决的。一般来说ARP欺骗都是通过发送虚假的MAC地址与IP地址的对应ARP数据包来迷惑网络设备,用虚假的或错误的MAC地址与IP地址对应关系取代正确的对应关系。若是一些初级的ARP欺骗,可以通过ARP的指令来清空本机的ARP缓存对应关系,让网络设备从网络中重新获得正确的对应关系,具体解决过程如下:
第一步:通过点击桌面上任务栏的“开始”->“运行”,然后输入cmd后回车,进入cmd(黑色背景)命令行模式;
第二步:在命令行模式下输入arp -a命令来查看当前本机储存在本地系统ARP缓存中IP和MAC对应关系的信息;
第三步:使用arp -d命令,将储存在本机系统中的ARP缓存信息清空,这样错误的ARP缓存信息就被删除了,本机将重新从网络中获得正确的ARP信息,达到局域网机器间互访和正常上网的目的。如果是遇到使用ARP欺骗工具来进行攻击的情况,使用上述的方法完全可以解决。但如果是感染ARP欺骗病毒,病毒每隔一段时间自动发送ARP欺骗数据包,这时使用清空ARP缓存的方法将无能为力了。下面将接收另外一种,可以解决感染ARP欺骗病毒的方法。
2、指定ARP对应关系:其实该方法就是强制指定ARP对应关系。由于绝大部分ARP欺骗病毒都是针对网关MAC地址进行攻击的,使本机上ARP缓存中存储的网关设备的信息出现紊乱,这样当机器要上网发送数据包给网关时就会因为地址错误而失败,造成计算机无法上网。
第一步:我们假设网关地址的MAC信息为00-14-78-a7-77-5c,对应的IP地址为192.168.2.1。指定ARP对应关系就是指这些地址。在感染了病毒的机器上,点击桌面->任务栏的“开始”->“运行”,输入cmd后回车,进入cmd命令行模式;
第二步:使用arp -s命令来添加一条ARP地址对应关系, 例如arp -s 192.168.2.1 00-14-78-a7-77-5c命令。这样就将网关地址的IP与正确的MAC地址绑定好了,本机网络连接将恢复正常了;
第三步:因为每次重新启动计算机的时候,ARP缓存信息都会被全部清除。所以我们应该把这个ARP静态地址添加指令写到一个批处理文件(例如:bat)中,然后将这个文件放到系统的启动项中。当程序随系统的启动而加载的话,就可以免除因为ARP静态映射信息丢失的困扰了。
3、添加路由信息应对ARP欺骗:
一般的ARP欺骗都是针对网关的,那么我们是否可以通过给本机添加路由来解决此问题呢。只要添加了路由,那么上网时都通过此路由出去即可,自然也不会被ARP欺骗数据包干扰了。第一步:先通过点击桌面上任务栏的“开始”->“运行”,然后输入cmd后回车,进入cmd(黑色背景)命令行模式;
第二步:手动添加路由,详细的命令如下:删除默认的路由: route delete 0.0.0.0;添加路由:
route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1;确认修改:
route change此方法对网关固定的情况比较适合,如果将来更改了网关,那么就需要更改所有的客户端的路由配置了。
4、安装杀毒软件:
安装杀毒软件并及时升级,另外建议有条件的企业可以使用网络版的防病毒软件。
