arp病毒查杀_arp杀毒软件那个好_360清除arp病毒(6)

2找到感染ARP病毒的机器。a：在电脑上ping一下网关的IP地址。然后使用ARP－a的命令看得到的网关对应的MAC地址是否与实际情况相符。如不符。可去查找与该MAC地址对应的电脑。b：使用抓包工具。分析所得到的ARP数据报。有些ARP病毒是会把通往网关的路径指向自己。有些是发出虚假ARP回应包来混淆网络通信。第一种处理比较容易。第二种处理比较困难。如果杀毒软件不能正确识别病毒的话。往往需要手工查找感染病毒的电脑和手工处理病毒。

比较困难。c：使用mac地址扫描工具。nbtscan扫描全网段IP地址和MAC地址对应表。有助于判断感染ARP病毒对应MAC地址和IP地址。预防措施：1。及时升级客户端的操作系统和应用程式补丁；2。安装和更新杀毒软件。4。如果网络规模较少。尽量使用手动指定IP设置。而不是使用DHCP来分配IP地址。5。如果交换机支持。在交换机上绑定MAC地址与IP地址。

防范技巧。由于局域网在最初设计的时候没有考虑安全的问题。

所以存在很多漏洞。arp欺骗就是最常见的一种。ARP欺骗分为二种。一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址。并按照一定的频率不断进行。使真实的地址信息无法通过更新保存在路由器中。结果路由器的所有数据只能发送给错误的MAC地址。造成正常PC无法收到信息。

第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关。让被它欺骗的PC向假网关发数据。而不是通过正常的路由器途径上网。在PC看来。就是上不了网了。“网络掉线了”。⒈用户频繁断网。上网时感觉网络经常掉线。重新开机或修复本地连接后网络恢复正常但几分钟后网络再次中断。甚至客户端无法登陆。但是在某一闲时或半夜某一人上网时自己可以上！⒉IE浏览器在使用过程中频繁出错或自动关闭网页。甚至只有发送没有接收的数据包！⒊一些常用软件经常出现故障或非正常自动关闭。

但是在上网人数较少或某一时段正常的！1 。检查本机的“ ARP 欺骗”木马染毒进程点选“进程”标签。察看其中是否有一个名为“ MIR0.dat ”的进程。如果有。则说明已经中毒。右键点击此进程后选择“结束进程”。2 。检查网内感染“ ARP 欺骗”木马染毒的计算机1）在“开始” “运行”输入cmd后确定。2）在弹出的命令提示符框中输入并执行以下命令ipconfig3）记录网关 IP 地址。即“ Default Gateway ”对应的值。

例如“ 10.17.1.1”。4）再输入并执行 以下命令：arp –a5）在“ Internet Address ”下找到上步记录的网关 IP 地址。记录其对应的物理地址。即“ Physical Address ”值。例如“ 00-05-e8-1f-35-54 ”。在网络正常时这就是网关的正确物理地址。在网络受“ ARP 欺骗”木马影响而不正常时。它就是木马所在计算机的网卡物理地址。⒊静态ARP绑定网关步骤一：在能正常上网时。

进入MS-DOS窗口。输入命令：arp －a。查看网关的IP对应的正确MAC地址。 并将其记录下来。注意：如果已经不 能上网则输入一次命令arp －d将arp缓存中的内容删空。计算机可暂时恢复上网。一旦能上网就立即将网络断掉。再运行arp －a。步骤二：如果计算机已经有网关的正确MAC地址。而不能上网。只需手工将网关IP和正确的MAC地址绑定。即可确保计算机不再被欺骗攻击。要想手工绑定。可在MS-DOS窗口下运行以下命令：arp －s 网关IP 网关MAC例如：假设计算机所处网段的网关为10.17.1.1。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-40046-6.html