电脑中了ARP病毒,怎么办?
ARP攻击原理:调用系统里的npptools.dll文件。
网络执法官、彩影arp防火墙等ARP攻防软件也用这个,如果你把这个DLL文件删除了,之后随便弄个DLL改名为npptools.dll即可。
如果C盘是NTFS分区格式就把权限都去掉,如果是FAT格式弄个只读就可以了。
防攻击文件:C:\WINDOWS\system32\ npptools.dll
处理方法:新建一个空文本文档,改名为npptools.dll然后把它复制到system32文件夹里,覆盖原有的npptools.dll,如果没关闭文件保护,先关闭。再把system32\dllcache里的npptools.dll也覆盖了,然后把它们的属性改为只读、隐藏,最后再把它们的everyone权限都去掉,即可!
npptools.dll文件的属性改为只读、隐藏后,再把它们的everyone的权限去掉,病毒就不能替换也不能使用它了,arp就不会起作用,从而达到防范ARP的目的。
请你尝试,保证有效。
我以前关于arp攻击的回答:
http://zhidao.baidu.com/question/367437740.html
http://zhidao.baidu.com/question/367513089.html
http://zhidao.baidu.com/question/367296546.html
http://zhidao.baidu.com/question/365717854.html
http://zhidao.baidu.com/question/370287024.html
我的电脑中了arp病毒,怎么办
ARP欺骗方式共分为两种:一种是对路由器ARP表的欺骗,该种攻击截获网关数据。通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息,导致上网时断时通或上不了网;另一种是对内网PC的网关欺骗,仿冒网关的mac地址,发送arp包欺骗别的客户端,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网,造成上网时断时通或上不了网。
针对这种情况瑞星公司提供以下解决办法:
方法一、在收到ARP欺骗的本机,在开始--运行中,输入“cmd”,进入ms-dos,通过命令行窗口输入“arp -a”命令,查看ARP列表。会发现该MAC已经被替换成攻击机器的MAC,将该MAC记录(以备查找),然后根据此MAC找出中病毒的计算机。
方法二、借助第三方抓包工具(如sniffer或antiarp)查找局域网中发arp包最多的IP地址,也可判断出中病毒计算机。
造成arp欺骗的病毒,其实是普通的病毒,只要判断出发包源,使用杀毒软件进行清查,是可以彻底解决的。
ARP攻击是什么?有什么危害?
可以修改密码。访问路由器,在其中设置IP地址和Mac地址绑定,这样ARP攻击就无效了建议你还可以开启ARP防火墙ARP防火墙,简单来说是局域网的防火墙,当你的电脑是属于局域网的电脑时,你用这个ARP防火墙时,可以防止他人用:“网络执法官、网络剪刀手、局域网终结者”之类的软件来攻击你,使你的电脑无法上网。 你可以试试腾讯电脑管家,免费专业安全软件,杀毒管理二合一,占内存小,杀毒好,防护好,无误报误杀。拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎!保证安全。打开电脑管家——首页——工具箱——ARP防火墙开启
arp病毒的症状是什么?
ARP欺骗木马影响严重,只需成功感染一台计算机,就可能导致整个局域网无法上网,严重的甚至导致整个网络瘫痪。
一、感染ARP欺骗木马现象:
该病毒主要通过ARP(地址解析协议)欺骗实施攻击和破坏行为,中毒现象表现为以下几点:
1. 使用校园网时会突然掉线,过一段时间后又恢复正常。
2. 用户频繁断网,IE浏览器频繁出错。
3. 一些常用软件出现故障。
4. 使用身份认证上网的用户,出现能够通过认证,但是无法上网的情况。
二、检测是否感染ARP欺骗木马方法:
1. 同时按住键盘上的“Ctrl+Alt+Del”键,选择“任务管理器”,选中“进程标签”,查看其中是否有一个名为“MIR0.dat”的进程。如果有,说明已经中毒。右键点击该进程后,选择“结束进程”。
2. 如果用户发现无法上网,可以通过如下方法验证是否中此木马病毒:
1)点“开始”->“运行”,输入cmd,再输入arp -d,回车。
2)重新尝试上网,如能短暂正常访问,则说明此次断网是受木马病毒影响。
三、目前有以下几种办法手动解决:
1. 检查是否存在“MIR0.dat”进程,如有,则结束它。
2. 清空arp缓存表。点“开始”->“运行”,输入cmd,再输入arp -d,回车。
3. 禁用网卡后,然后再次重新启动网卡。
四、 使用Anti ARP Sniffer软件保护本地计算机正常运行。
1. 下载:点击下载Anti ARP Sniffer
2. 使用说明(如图所示):
1) 在“网关地址”处,输入本网段的网关地址。
2) 点击“枚取MAC地址”,自动获取网关MAC地址。
3) 点击“自动保护”即可。
区域网中ARP病毒了,怎么解决啊 有哪位好心人告诉我一下?
区域网中ARP病毒了,怎么解决啊 有哪位好心人告诉我一下? 可能是ARP病毒或者P2P软体引起的。在不能上网的电脑上CMD模式下 输入arp -a 检视下是否获取到闸道器的MAC地址 且MAC地址是否就是闸道器地址。 还有可以在网段下抓包看看 或者下一个ARP防火墙看看 是否有大量的ARP广播攻击闸道器 导致闸道器装置反应不过来。 不知道你的闸道器装置是什么装置 百台电脑 一般企业级路由器或者防火墙应该都没有什么问题 区域网中中了ARP病毒怎么解决??? 一、找出病毒的根源 首先开启区域网内所有电脑,随后下载了一款名为“Anti Arp Sniffer”的工具,这是一款ARP防火墙软体,该软体通过在系统核心层拦截虚假ARP资料包来获取中毒电脑的IP地址和MAC地址。此外,该软体能有效拦截ARP病毒的攻击,保障该电脑资料流向正确。 使用“Anti Arp Sniffer”查询感染毒电脑时,启动该程式,随后在右侧的“闸道器地址”项中输入该区域网内的闸道器IP,随后单击“枚取MAC”这是该出现会自动获取到闸道器电脑网络卡的MAC地址(见图1)。MAC获取后单击“自动保护”按钮,这样“Anti Arp Sniffer”便开始监视通过该闸道器上网的所有电脑了。 片刻功夫,看到系统的工作列中的“Anti Arp Sniffer”图示上弹出一个“ARP欺骗资料包”提示资讯(见图2)。这就说明该软体已经侦测到ARP病毒。于是开启“Anti Arp Sniffer”程式的主视窗,在程式的“欺骗资料详细记录”列表中看到一条资讯(见图3),这就是“Anti Arp Sniffer”程式捕获的ARP病毒资讯。 其中“闸道器IP地址”和“闸道器MAC地址”两项中是闸道器电脑的的真实地址,后面的欺骗机MAC地址就是中ARP病毒的MAC地址。ARP病毒将该区域网的闸道器指向了这个IP地址,导致其他电脑无法上网。 二、获取欺骗机IP “Anti Arp Sniffer”虽然能拦截ARP病毒,但是不能有效的根除病毒。要想清除病毒,决定还要找到感染ARP病毒的电脑才行。通过“Anti Arp Sniffer”程式已经获取了欺骗机的MAC,这样只要找到该MAC对应的IP地址即可。 获取IP地址,请来了网管工具“网路执法官”,执行该出现后,在“指定监控范围”中输入单位区域网IP地址段,随后单击“新增/修改”按钮,这样刚刚新增的IP地址段将被新增到下面的IP列表中。如果区域网内有多段IP,还可以进行多次新增。新增后,单击“确定”按钮,进入到程式主介面。“网路执法官”开始对区域网内的所有电脑进行扫描,随后显示出所有线上电脑资讯,其中包括网络卡MAC地址、内网IP地址、使用者名称、上线时间以及下线时间等。在这样我就可以非常方便地通过MAC查询对应的IP地址了(见图4)。 三、清除ARP病毒 顺藤摸瓜,通过IP地址有找到了感染病毒的电脑,第一反应就是将这台电脑断网,随后在该电脑上执行“ARP病毒专杀”包中的“TSC.EXE”程式,该程式执行后,自动扫描电脑中的ARP病毒,功夫不大就将该电脑上的ARP病毒清除了。 区域网中了ARP病毒以后怎么解决 上周遭遇流氓软体,总是开启广告,郁闷死了,用卡卡安全助手搞定了。 这周又遭遇ARP欺骗的病毒入侵,公司区域网内一台机器出现问题,随后出现间断性断网,由于闸道器是3层交换机不在我的管理许可权内,没办法只好sniffer查询,在断网的瞬间应该能看到arp -a找到异常的MAC,如果闸道器的MAC错误那就是这个错误的MAC机器在ARP欺骗,在 nbtscan -r 192.168.1.0/24 之后发现这个IP,然后搞定他。 对付这种欺骗,就是用安全闸道器,建议用linux开HDCP,系结ip和MAC强制所有的客户机器IP和其他资讯从闸道器获得。另外闸道器机器关闭动态重新整理ARP表使用静态路由。 闸道器建立静态IP/MAC捆绑的方法是:建立/etc/ethers档案,其中包含正确的IP/MAC对应关系,格式如下: 192.168.2.32 08:00:4E:B0:24:25 然后再/etc/rc.d/rc.local最后新增: arp -f 生效即可 建立MAC库,监听闸道器伺服器。 由于我没法控制闸道器,只好强制自己的arp表里面的闸道器用静态的了: 因为所有的ARP攻击源都会有其特征——网络卡会处于混杂模式,可以通过ARPKiller这样的工具扫描网内有哪台机器的网络卡是处于混杂模式的,从而判断这台机器有可能就是“元凶”。定位好机器后,再做病毒资讯收集,提交给趋势科技做分析处理。 哪位好心人告诉我一下,思品答案啊?! 1.以下哪些东西是海洋为我们提供的?答案:黄鱼、扇贝、海带、紫菜…… 2.你知道海洋底部最深的地方在哪里?答案:马里亚纳海沟,海深有11034米。 3.你认为保护与开发海洋对于人类有什么现实意义?答案:有很充分的海产品供我们食用。 4.世界最深的海沟——太平洋里的马里亚纳海沟 5.世界最大的国家——俄罗斯 6.世界最长的建筑——长城 7.1970年4月22日的地球日主题是什么? 答案:世界地球日活动起源于美国。1970年4月22日,美国首次举行了声势浩大的“地球日”活动。这标志著美国环保运动的崛起,同时促使美国 *** 采取了一些治理环境污染的措施。 世界地球日每年都没有国际统一的特定主题,它的总主题始 终是“只有一个地球”。 10.什么船队首次环球航行成功? 答案:1519年9月20日,西班牙航海探险家麦哲伦,带领一支由5条海船234人组成的船队从西班牙塞维亚城外港出发西行,1521年3月麦哲伦来到现在的菲律宾群岛,为想通过插手当地两个部族的战争来控制这块美丽富绕的地方,在双方战争中麦哲伦受重伤,最后被土著用矛斧砍死。助手埃里*卡诺带领剩下的二条船继续航行,1522年9月6日回到西班牙,只剩一条船和18个人。首次环球航行成功。 11.哥伦布发现的新大陆是指哪个大洲? 答案:北美洲。 QQ安装不了怎么办啊~哪位好心人告诉我一下。。。 这是由于微软系统问题造成,建议您点选“检视微软使用者帮助”进行查询解决,另外建议联络微软处理或重灌系统. 芜湖有哪几家船厂啊?哪位好心人告诉我一下! 芜湖新联造船有限公司(芜湖造船厂) 芜湖江东船厂 芜湖江风船厂 区域网中了ARP病毒,求解决方案 楼主要想让自己不受ARP攻击,就要保证内网中的每个节点都是安全的,如果只保证一台电脑的安全,网路中的其他电脑都还可以发出攻击那么楼主的网路还是不安全的,还是会受到攻击的,现在的免疫墙就是在每台终端上安装免疫驱动,对每台电脑发出的资料进行检查,拦截虚假的资料包,保证网路中的资料都是安全的,不会有虚假的资料包对别的电脑产生影响 哪位好心人告诉我Trojan.DL.Agent.erz病毒怎么杀 你下一个瑞星2007在安全模式下杀就能杀了 注册码百度里面有 没有的话我给你 前几天我就杀过,现在没了 这样的话,我建意你把所有盘格掉,再重灌系统~~ 有点麻烦,但效果好,机子也跑得快~~ 哪位好心人告诉我一下,麻辣烫加盟?? 加盟麻辣烫的优势有:一是串串的成品外观好看,二是品种丰富,各种口味的都有,可以最大化地满足不同消费者的需要,经营面也就广,不象有的烧烤店只有一两种产品,容易让人腻。但是在加盟之前,我建议你对加盟【非凡煮功】,应该是个比较正确的选择。
怎么清除ARP病毒
您好首先您要弄清除是中了ARP欺骗攻击还是ARP病毒,如果是攻击的话那么您会断网,如果是病毒的话,对您的电脑没任何影响您可以先到腾讯电脑管家官网下载一个电脑管家然后打开电脑管家——工具箱——ARP防火墙打开,会自动帮您拦截ARP攻击然后如果担心病毒问题的话,打开电脑管家——杀毒——全盘查杀,电脑股那家基于CPU虚拟执行技术,可以彻底根除电脑中的流行顽固木马。如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问,我们将尽全力为您解答疑难腾讯电脑管家企业平台:http://zhidao.baidu.com/c/guanjia/
arp欺骗是什么?
地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的,局域网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存;由此攻击者就可以向某一主机发送伪ARP应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,这就构成了一个ARP欺骗。扩展资料:RARP和ARP不同,地址解析协议是根据IP地址获取物理地址的协议,而反向地址转换协议(RARP)是局域网的物理机器从网关服务器的ARP表或者缓存上根据MAC地址请求IP地址的协议,其功能与地址解析协议相反。与ARP相比,RARP的工作流程也相反。首先是查询主机向网路送出一个RARP Request广播封包,向别的主机查询自己的IP地址。这时候网络上的RARP服务器就会将发送端的IP地址用RARP Reply封包回应给查询者,这样查询主机就获得自己的IP地址了。参考资料来源:百度百科-TCP/IP协议参考资料来源:百度百科-地址解析协议
什么是arp欺骗 arp欺骗的介绍
1、ARP欺骗是黑客常用的攻击手段之一,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。2、第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。3、第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。有些网管员对此不甚了解,出现故障时,认为PC没有问题,交换机没掉线的“本事”,电信也不承认宽带故障。而且如果第一种ARP欺骗发生时,只要重启路由器,网络就能全面恢复,那问题一定是在路由器了。为此,宽带路由器背了不少“黑锅”。王者之心2点击试玩
怎样有效判断局域网里哪台机器中了arp病毒?
怎样有效判断局域网里哪台机器中了arp病毒? 我也遇到过,但因为我们的区域网内的机器比较少,只有10台,而且我的机器大都装了360安全卫士,它里面有个ARP防火墙,只有一台机器没装,所以我非常快就搞定了,我想如果实在不行,在交换机那试一下,一台一台试应该不要太久的时间的。不知道有没有帮到你! 区域网如何查询哪台机器中arp病毒? 可以在路由器里看每台电脑的外网连线数,如果没有BT迅雷下载连线数肯定不会超过两位数,中ARP病毒的电脑连线数都会有几千。这个方法最快,可以迅速查处中毒电脑给其断网。一般的企业路由器都有这个功能。还有一种方法比较麻烦,就是一台一台查。你只要看每台电脑的本地连线就可以了(就是萤幕右下脚那两个小电脑)。如果本地连线一直亮着不停的传送接受资料,并且每次传送接受上千的资料包(前提他并没有使用迅雷BT下载),那这个电脑一定中ARP病毒了。 推荐一款防毒软体给你用,免费杀木马病毒一流 到公司机房总交换机处,用一台电脑PING闸道器,如:ping 192.168.0.1 -t,局域网里有电脑如果中了ARP病毒那么PING值一定很高而且还经常丢包,如果正常PING值会小于1MS。接下来知道怎么办了吧,把网线一根一根拔下来试,看看拔下哪根网线PING值正常了,也就找到了中毒电脑,看你的情况中毒的不止一台电脑,要有耐心,这也不失是一种办法。 怎么判断自己的机器是否中了arp或者区域网的某台机器中了。怎么找病毒主机。360的arp好用吗 记的是先ping 闸道器。ping 一下就行。 然后打 arp -a 再查查 闸道器的 mac地址。 这时闸道器的mac地址是 中病毒的那台机器的 mac地址。 如果你是网管就可以上闸道器上看路由表,检视中毒机器的真实IP。 如果你不是网管。就内网一台台ping过去,然后检视mac地址。 区域网如何查询哪台机器中arp病毒? 华为3026E 区域网受ARP变种病毒攻击后瞬间掉线的解决方法 前言:2006年算是ARP和LOGO1病毒对区域网的危害最大,在前期我们一般采用双向梆定的方法即可解决 但是ARP变种 出现日期大概在10月份底,大家也许还在为闸道器掉线还以为是电信的问题还烦恼吧,其实不然变种过程ARP病毒-变种OK病毒-变种TrojanDropper.Win32.Juntador.f或TrojanDropper.Win32.Juntador.C 现在的这个ARP变种病毒更是厉害,我把自己遇到过的情况说给大家听听,如果大家有这些情况,不好意思“恭喜你” 你中大奖了,呵呵~~ 先了解ARP变种病毒的特性吧: 一:破坏你的ARP双向系结批出理 二:中毒机器改变成代理伺服器又叫代理路由 三:改变路由的闸道器MAC地址和internat闸道器的MAC地址一样 病毒发作情况:现在的ARP变种 不是攻击客户机的MAC地址攻击路由内网闸道器,改变了它的原理,这点实在佩服 直接攻击您的路由的什么地址你知道吗?哈哈~~猜猜吧~~不卖关了~~新的变种ARP直接攻击您路由的MAC地址和外网闸道器 而且直接就把系结IP与MAC的批处理档案禁用了。一会儿全掉线,一会儿是几台几台的掉线。而且 中了ARP的电脑会把那台电脑转变成内网的代理伺服器进行盗号和发动攻击。如果大家发现中了ARP没有掉线,那说明你 中了最新的变种,你只要重启了那台中了ARP病毒的电脑,那么受到ARP攻击的机子就会全部掉线 内网的闸道器不掉包,而外网的IP和DNS狂掉,这点也是ARP变种的出现的情况,请大家留意。 我在最后会公布解决的案例和相关补丁,请大家看完全文可能对你有帮助哦,不要急着下~呵呵~ 该病毒发作时候的特征为,中毒的机器会伪造某台电脑的MAC地址,如该伪造地址为闸道器伺服器的地址,那么对整个网咖均会造成影响,使用者表现为上网经常瞬断。 一、在任意客户机上进入命令提示符(或MS-DOS方式),用arp –a命令检视: C:\WINNT\system32>arp -a Interface: 192.168.0.193 on Interface 0x1000003 Inter Address Physical Address Type 192.168.0.1 00-50-da-8a-62-2c dynamic 192.168.0.23 00-11-2f-43-81-8b dynamic 192.168.0.24 00-50-da-8a-62-2c dynamic 192.168.0.25 00-05-5d-ff-a8-87 dynamic 192.168.0.200 00-50-ba-fa-59-fe dynamic 可以看到有两个机器的MAC地址相同,那么实际检查结果为 00-50-da-8a-62-2c为192.168.0.24的MAC地址,192.168.0.1的实际MAC地址为00-02-ba-0b-04-32,我们可以判定192.168.0.24实际上为有病毒的机器,它伪造了192.168.0.1的MAC地址。 二、在192.168.0.24上进入命令提示符(或MS-DOS方式),用arp –a命令检视: C:\WINNT\system32>arp -a Interface: 192.168.0.24 on Interface 0x1000003 Inter Address Physical Address Type 192.168.0.1 00-02-ba-0b-04-32 dynamic 192.168.0.23 00-11-2f-43-81-8b dynamic 192.168.0.25 00-05-5d-ff-a8-87 dynamic 192.168.0.193 00-11-2f-b2-9d-17 dynamic 192.168.0.200 00-50-ba-fa-59-fe dynamic 可以看到带病毒的机器上显示的MAC地址是正确的,而且该机执行速度缓慢,应该为所有流量在二层通过该机进行转发而导致,该机重启后网咖内所有电脑都不能上网,只有等arp重新整理MAC地址后才正常,一般在2、3分钟左右。 三、如果主机可以进入dos视窗,用arp –a命令可以看到类似下面的现象: C:\WINNT\system32>arp -a Interface: 192.168.0.1 on Interface 0x1000004 Inter Address Physical Address Type 192.168.0.23 00-50-da-8a-62-2c dynamic 192.168.0.24 00-50-da-8a-62-2c dynamic 192.168.0.25 00-50-da-8a-62-2c dynamic 192.168.0.193 00-50-da-8a-62-2c dynamic 192.168.0.200 00-50-da-8a-62-2c dynamic 该病毒不发作的时候,在代理伺服器上看到的地址情况如下: C:\WINNT\system32>arp -a Interface: 192.168.0.1 on Interface 0x1000004 Inter Address Physical Address Type 192.168.0.23 00-11-2f-43-81-8b dynamic 192.168.0.24 00-50-da-8a-62-2c dynamic 192.168.0.25 00-05-5d-ff-a8-87 dynamic 192.168.0.193 00-11-2f-b2-9d-17 dynamic 192.168.0.200 00-50-ba-fa-59-fe dynamic 病毒发作的时候,可以看到所有的ip地址的mac地址被修改为00-50-da-8a-62-2c,正常的时候可以看到MAC地址均不会相同。 成功就是潜意识的等待-学无止境!至弱即为至强 一步一步按步骤操作 解决办法一: 一、采用客户机及闸道器伺服器上进行静态ARP系结的办法来解决。 1. 在所有的客户端机器上做闸道器伺服器的ARP静态系结。 首先在闸道器伺服器(代理主机)的电脑上检视本机MAC地址 C:\WINNT\system32>ipconfig /all Ether adapter 本地连线 2: Connection-specific DNS Suffix . : Descript_ion . . . . . . . . . . . : Intel? PRO/100B PCI Adapter (TX) Physical Address. . . . . . . . . : 00-02-ba-0b-04-32 Dhcp Enabled. . . . . . . . . . . : No IP Address. . . . . . . . . . . . : 192.168.0.1 Sub Mask . . . . . . . . . . . : 255.255.255.0 然后在客户机器的DOS命令下做ARP的静态系结 C:\WINNT\system32>arp –s 192.168.0.1 00-02-ba-0b-04-32 注:如有条件,建议在客户机上做所有其他客户机的IP和MAC地址系结。 2. 在闸道器伺服器(代理主机)的电脑上做客户机器的ARP静态系结 首先在所有的客户端机器上检视IP和MAC地址,命令如上。 然后在代理主机上做所有客户端伺服器的ARP静态系结。如: C:\winnt\system32> arp –s 192.168.0.23 00-11-2f-43-81-8b C:\winnt\system32> arp –s 192.168.0.24 00-50-da-8a-62-2c C:\winnt\system32> arp –s 192.168.0.25 00-05-5d-ff-a8-87 。。。。。。。。。 3. 以上ARP的静态系结最后做成一个windows自启动档案,让电脑一启动就执行以上操作,保证配置不丢失。 二、有条件的网咖可以在交换机内进行IP地址与MAC地址系结 三、IP和MAC进行系结后,更换网络卡需要重新系结,因此建议在客户机安装防毒软体来解决此类问题:该网咖发现的病毒是变速齿轮2.04B中带的,病毒程式在 :wgwang./list/3007. 可下载到: 解决方法二: 1:在闸道器路由上对客户机使用静态MAC系结。ROUTE OS软路由的使用者可以参照相关教程,或是在IP--->ARP列表中一一选中对应专案单击右键选择“MAKE STATIC”命令,建立静态对应项。 用防火墙封堵常见病毒埠:134-139,445,500,6677,5800,5900,593,1025,1026,2745,3127,6129 以及P2P下载 2:在客户机上进行闸道器IP及其MAC静态系结,并修改汇入如下注册表: (A)禁止ICMP重定向报文 ICMP的重定向报文控制着Windows是否会改变路由表从而响应网路装置传送给它的ICMP重定向讯息,这样虽然方便了使用者,但是有时也会被他人利用来进行网路攻击,这对于一个计算机网路管理员来说是一件非常麻烦的事情。通过修改登录档可禁止响应ICMP的重定向报文,从而使网路更为安全。 修改的方法是:开启登录档编辑器,找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters”分支,在右侧视窗中将子键“EnableICMPRedirects”(REG_DWORD型)的值修改为0(0为禁止ICMP的重定向报文)即可。 (B)禁止响应ICMP路由通告报文 “ICMP路由公告”功能可以使他人的计算机的网路连线异常、资料被窃听、计算机被用于流量攻击等,因此建议关闭响应ICMP路由通告报文。 修改的方法是:开启登录档编辑器,找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters\Interfaces”分支,在右侧视窗中将子键“PerformRouterDiscovery”?REG_DWORD型的值修改为0(0为禁止响应ICMP路由通告报文,2为允许响应ICMP路由通告报文)。修改完成后退出登录档编辑器,重新启动计算机即可。 (C)设定arp快取老化时间设定 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,预设值为120秒) ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,预设值为600) 说明:如果ArpCacheLife大于或等于ArpCacheMinReferencedLife,则引用或未引用的ARP 快取项在ArpCacheLife秒后到期.如果ArpCacheLife小于ArpCacheMinReferencedLife, 未引用项在ArpCacheLife秒后到期,而引用项在ArpCacheMinReferencedLife秒后到期. 每次将出站资料包传送到项的IP地址时,就会引用ARP快取中的项。 曾经看见有人说过,只要保持IP-MAC快取不被更新,就可以保持正确的ARP协议执行。关于此点,我想可不可以通过,修改登录档相关键值达到: 预设情况下ARP快取的超时时限是两分钟,你可以在登录档中进行修改。可以修改的键值有两个,都位于 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 修改的键值: 键值1:ArpCacheLife,型别为Dword,单位为秒,预设值为120 键值2:ArpCacheMinReferencedLife,型别为Dword,单位为秒,预设值为600 注意:这些键值预设是不存在的,如果你想修改,必须自行建立;修改后重启计算机后生效。 如果ArpCacheLife的值比ArpCacheMinReferencedLife的值大,那么ARP快取的超时时间设定为ArpCacheLife的值;如果ArpCacheLife的值不存在或者比ArpCacheMinReferencedLife的值小,那么对于未使用的ARP快取,超时时间设定为120秒;对于正在使用的ARP快取,超时时间则设定为ArpCacheMinReferencedLife的值。 我们也许可以将上述键值设定为非常大,不被强制更新ARP快取。为了防止病毒自己修改登录档,可以对登录档加以限制。 对于小网咖,只要事先在没遇到ARP攻击前,通过任意一个IP-MAC地址检视工具,纪录所有机器的正确IP-MAC地址。等到受到攻击可以检视哪台机器出现问题,然后通常是暴力解决,问题也许不是很严重。但是对于内网电脑数量过大,每台机器都帮定所有IP-MAC地址,工作量非常巨大,必须通过专门软体执行。 解决办法三: 删除system32\npptools.dll,我维护的网咖那里删除了一个月了,从来没中过ARP病毒,也无任何不良反映,ARP病毒缺少了npptools.dll这个档案根本不能执行,目前所发现的ARP病毒通通提示npptools.dll出错,无法执行 暂时还没发现可以自动生成npptools.dll的病毒,npptools.dll本身就40多K,病毒如果还要生成自己的执行库的话,不是几十K的大小就可以办到的,再大一些的就不是病毒了 当然,还是要做ARP -S系结,只系结本机自身跟路由即可,可以在“一定程度上”减少ARP程式的破坏 删除不了同志,麻烦您先关闭档案保护,最简单的方法就是用XPLITE来关闭,网上一搜一大把的 另外再次宣告,这个方法只对ARP病毒生效,对恶意软体只是小部分有效的 特别提醒一点:不要忘记了梆定外网闸道器和MAC,下面我举个例子吧 IP:10.10.10.10 子网掩码:255.255.255.255 闸道器:10.10.10.9[一定要系结这个闸道器地址和MAC] DNS:222.222.222.222 备用DNS:222.222.221.221 个人推荐安全工具及补丁: 个人认为这点TP-LINK480T的路由做的非常好,具体请看本站的对于TP-LINK480T的路由介绍 小网咖使用TP-LINK480T的请升级最新版本,本站有下载 使用思科和华为的请系结闸道器地址和MAC 推荐工具: AntiArpSniffer3最新版 补丁:mAC系结程式 Vnd8.28防ARP补丁 ARP变种病毒微软补丁 TP-LINK480T最新升级补丁 可以安装网路版ARP防毒软体,然后做双向地址系结! 区域网受ARP变种病毒攻击后瞬间掉线的解决方法 前言:2006年算是ARP和LOGO1病毒对区域网的危害最大,在前期我们一般采用双向梆定的方法即可解决 但是ARP变种 出现日期大概在10月份底,大家也许还在为闸道器掉线还以为是电信的问题还烦恼吧,其实不然变种过程ARP病毒-变种OK病毒-变种TrojanDropper.Win32.Juntador.f或TrojanDropper.Win32.Juntador.C 现在的这个ARP变种病毒更是厉害,我把自己遇到过的情况说给大家听听,如果大家有这些情况,不好意思“恭喜你” 你中大奖了,呵呵~~ 先了解ARP变种病毒的特性吧: 一:破坏你的ARP双向系结批出理 二:中毒机器改变成代理伺服器又叫代理路由 三:改变路由的闸道器MAC地址和internat闸道器的MAC地址一样 病毒发作情况:现在的ARP变种 不是攻击客户机的MAC地址攻击路由内网闸道器,改变了它的原理,这点实在佩服 直接攻击您的路由的什么地址你知道吗?哈哈~~猜猜吧~~不卖关了~~新的变种ARP直接攻击您路由的MAC地址和外网闸道器 而且直接就把系结IP与MAC的批处理档案禁用了。一会儿全掉线,一会儿是几台几台的掉线。而且 中了ARP的电脑会把那台电脑转变成内网的代理伺服器进行盗号和发动攻击。如果大家发现中了ARP没有掉线,那说明你 中了最新的变种,你只要重启了那台中了ARP病毒的电脑,那么受到ARP攻击的机子就会全部掉线 内网的闸道器不掉包,而外网的IP和DNS狂掉,这点也是ARP变种的出现的情况,请大家留意。 我在最后会公布解决的案例和相关补丁,请大家看完全文可能对你有帮助哦,不要急着下~呵呵~ 该病毒发作时候的特征为,中毒的机器会伪造某台电脑的MAC地址,如该伪造地址为闸道器伺服器的地址,那么对整个网咖均会造成影响,使用者表现为上网经常瞬断。 一、在任意客户机上进入命令提示符(或MS-DOS方式),用arp –a命令检视: C:\WINNT\system32>arp -a Interface: 192.168.0.193 on Interface 0x1000003 Inter Address Physical Address Type 192.168.0.1 00-50-da-8a-62-2c dynamic 192.168.0.23 00-11-2f-43-81-8b dynamic 192.168.0.24 00-50-da-8a-62-2c dynamic 192.168.0.25 00-05-5d-ff-a8-87 dynamic 192.168.0.200 00-50-ba-fa-59-fe dynamic 可以看到有两个机器的MAC地址相同,那么实际检查结果为 00-50-da-8a-62-2c为192.168.0.24的MAC地址,192.168.0.1的实际MAC地址为00-02-ba-0b-04-32,我们可以判定192.168.0.24实际上为有病毒的机器,它伪造了192.168.0.1的MAC地址。 二、在192.168.0.24上进入命令提示符(或MS-DOS方式),用arp –a命令检视: C:\WINNT\system32>arp -a Interface: 192.168.0.24 on Interface 0x1000003 Inter Address Physical Address Type 192.168.0.1 00-02-ba-0b-04-32 dynamic 192.168.0.23 00-11-2f-43-81-8b dynamic 192.168.0.25 00-05-5d-ff-a8-87 dynamic 192.168.0.193 00-11-2f-b2-9d-17 dynamic 192.168.0.200 00-50-ba-fa-59-fe dynamic 可以看到带病毒的机器上显示的MAC地址是正确的,而且该机执行速度缓慢,应该为所有流量在二层通过该机进行转发而导致,该机重启后网咖内所有电脑都不能上网,只有等arp重新整理MAC地址后才正常,一般 检视原帖>> 区域网内有台机器中了ARP怎么办啊 断网 做系统 在断网的情况下把补丁和防毒软体打上就OKl 区域网中,一台机器中了ARP ,不用工具怎么检查是哪台机器中毒了? 哪个高手能用肉眼看啊。。。 我们公司上个月也中了,我是用360查出来的,设定ARP防火墙,能拦截到攻击,就能查发出攻击的IP地址,这样找出来的 区域网中了ARP病毒不断遭到攻击怎么查出是哪个机器中的病毒? 1,比较简单的办法 a,执行cmd b,在命令列介面下,输入arp -a回车 c,先看你当前闸道器ip的mac资料,例如是10.16.0.1 MAC为 00-00-00-00-00-00(确认一下是不是你本身闸道器的mac,如果不是,那就可能受到arp攻击),记下这个假的mac地址,然后,再在你刚才arp -a出来的资料里,找出和这个mac一样的ip地址,再去该机检视一下 2,执行抓包类软体,执行30秒左右,检视抓获的资料包里,ARP报文出现得最频繁的mac地址,如果有针对网内有做mac登记,那推算是哪一台相信很快就可以了 3,如果不怕麻烦,网内电脑都打限制arp发包功能的补丁,或者启用pppoe网路的使用者登入方式,内部资料传输量大的某几个服务IP,可以指定小一点的子网,让它们走直通路由。 单位区域网中了ARP病毒,共几百台机器,怎么查出,怎么杀掉 【解决方法】 您好!通常对待区域网中的ARP病毒处理方法: 1.检测确认是否中了ARP病毒。ARP病毒的症状:上网时好时断,访问网路上的芳邻也是如此,拷贝档案无法完成,出现错误;区域网内的ARP包爆增,使用ARP查询的时候会发现不正常的MAC地址,或者是错误的MAC地址对应,还有就是一个MAC地址对应多个IP的情况也会有出现。 2.清除区域网中的ARP病毒。请参考::feiying.blog.51cto./230250/42812 3.预防措施 a、及时升级客户端的作业系统和应用程式补丁; b、安装和更新防毒软体。 c、如果网路规模较少,尽量使用手动指定IP设定,而不是使用DHCP来分配IP地址。 d、如果交换机支援,在交换机上系结MAC地址与IP地址(不是好办法)
如何确认自己的电脑是否中了ARP病毒?
ARP欺骗方式共分为两种:一种是对路由器ARP表的欺骗,该种攻击截获网关数据。通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息,导致上网时断时通或上不了网。另一种是对内网PC的网关欺骗,仿冒网关的mac地址,发送arp包欺骗别的客户端,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网,造成上网时断时通或上不了网。 针对这种情况瑞星公司提供以下解决办法:方法一、在收到ARP欺骗的本机,在开始--运行中,输入“cmd”,进入ms-dos,通过命令行窗口输入“arp -a”命令,查看ARP列表。会发现该MAC已经被替换成攻击机器的MAC,将该MAC记录(以备查找),然后根据此MAC找出中病毒的计算机。方法二、借助第三方抓包工具(如sniffer或antiarp)查找局域网中发arp包最多的IP地址,也可判断出中病毒计算机。造成arp欺骗的病毒,其实是普通的病毒,只要判断出发包源,使用杀毒软件进行清查,是可以彻底解决的。
如何清除区域网中的ARP病毒
如何清除区域网中的ARP病毒 ARP病毒的症状 有时候无法正常上网,有时候有好了,包括访问网路上的芳邻也是如此,拷贝档案无法完成,出现错误;区域网内的ARP包爆增,使用ARP查询的时候会发现不正常的MAC地址,或者是错误的MAC地址对应,还有就是一个MAC地址对应多个IP的情况也会有出现。 ARP攻击的原理 ARP欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警:第一乙太网资料包头的源地址、目标地址和ARP资料包的协议地址不匹配。或者,ARP资料包的传送和目标地址不在自己网路网络卡MAC资料库内,或者与自己网路MAC资料库MAC/IP不匹配。这些统统第一时间报警,查这些资料包(乙太网资料包)的源地址(也有可能伪造),就大致知道那台机器在发起攻击了。现在有网路管理工具比如网路执法官、P2P终结者也会使用同样的方式来伪装成闸道器,欺骗客户端对闸道器的访问,也就是会获取发到闸道器的流量,从而实现网路流量管理和网路监控等功能,同时也会对网路管理带来潜在的危害,就是可以很容易的获取使用者的密码等相关资讯。 处理办法 通用的处理流程 1.先保证网路正常执行 方法一:编辑一个***.bat档案内容如下: arp.exe s **.**.**.**(闸道器ip) **** ** ** ** **( 闸道器MAC地址) end 让网路使用者点选就可以了! 办法二:编辑一个登录档问题,键值如下: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MAC"="arp s 闸道器IP地址闸道器MAC地址" 然后储存成Reg档案以后在每个客户端上点选汇入登录档。 2.找到感染ARP病毒的机器 a、在电脑上ping一下闸道器的IP地址,然后使用ARP -a的命令看得到的闸道器对应的MAC地址是否与实际情况相符,如不符,可去查询与该MAC地址对应的电脑。 b、使用抓包工具,分析所得到的ARP资料报。有些ARP病毒是会把通往闸道器的路径指向自己,有些是发出虚假ARP回应包来混淆网路通讯。第一种处理比较容易,第二种处理比较困难,如果防毒软体不能正确识别病毒的话,往往需要手工查询感染病毒的电脑和手工处理病毒,比较困难。 c、使用MAC地址扫描工具,Nbtscan扫描全网段IP地址和MAC地址对应表,有助于判断感染ARP病毒对应MAC地址和IP地址。 预防措施 1、及时升级客户端的作业系统和应用程式补丁; 2、安装和更新防毒软体。 3、如果网路规模较少,尽量使用手动指定IP设定,而不是使用DHCP来分配IP地址。 4、如果交换机支援,在交换机上系结MAC地址与IP地址。 ARP攻击的原理 如何清除区域网中的ARP病毒
局域网中有电脑中了arp病毒
如何检查和处理“ ARP 欺骗”木马的方法
1 .检查本机的“ ARP 欺骗”木马染毒进程
同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键,选择“任务管理器”,点选“进程”标签。察看其中是否有一个名为“ MIR0.dat ”的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。参见右图。
2 .检查网内感染“ ARP 欺骗”木马染毒的计算机
在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令:
ipconfig
记录网关 IP 地址,即“ Default Gateway ”对应的值,例如“ 59.66.36.1 ”。再输入并执行以下命令:
arp –a
在“ Internet Address ”下找到上步记录的网关 IP 地址,记录其对应的物理地址,即“ Physical Address ”值,例如“ 00-01-e8-1f-35-54 ”。在网络正常时这就是网关的正确物理地址,在网络受“ ARP 欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。
也可以扫描本子网内的全部 IP 地址,然后再查 ARP 表。如果有一个 IP 对应的物理地址与网关的相同,那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。
3 .设置 ARP 表避免“ ARP 欺骗”木马影响的方法
本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关 IP 地址和网关物理地址,然后在 “命令提示符”窗口中输入并执行以下命令:
arp –s 网关 IP 网关物理地址
4.态ARP绑定网关
步骤一:
在能正常上网时,进入MS-DOS窗口,输入命令:arp -a,查看网关的IP对应的正确MAC地址, 并将其记录下来。
注意:如果已经不能上网,则先运行一次命令arp -d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话)。一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp -a。
步骤二:
如果计算机已经有网关的正确MAC地址,在不能上网只需手工将网关IP和正确的MAC地址绑定,即可确保计算机不再被欺骗攻击。
要想手工绑定,可在MS-DOS窗口下运行以下命令:
arp -s 网关IP 网关MAC
例如:假设计算机所处网段的网关为192.168.1.1,本机地址为192.168.1.5,在计算机上运行arp -a后输出如下:
Cocuments and Settings>arp -a
Interface:192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 dynamic
其中,00-01-02-03-04-05就是网关192.168.1.1对应的MAC地址,类型是动态(dynamic)的,因此是可被改变的。
被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC。如果希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找该攻击的机器做准备。
手工绑定的命令为:
arp -s 192.168.1.1 00-01-02-03-04-05
绑定完,可再用arp -a查看arp缓存:
Cocuments and Settings>arp -a
Interface: 192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 static
这时,类型变为静态(static),就不会再受攻击影响了。
但是,需要说明的是,手工绑定在计算机关机重启后就会失效,需要再次重新绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,把病毒杀掉,才算是真正解决问题。
5 .作批处理文件
在客户端做对网关的arp绑定,具体操作步骤如下:
步骤一:
查找本网段的网关地址,比如192.168.1.1,以下以此网关为例。在正常上网时,“开始→运行→cmd→确定”,输入:arp -a,点回车,查看网关对应的Physical Address。
比如:网关192.168.1.1 对应00-01-02-03-04-05。
步骤二:
编写一个批处理文件rarp.bat,内容如下:
@echo off
arp -d
arp -s 192.168.1.1 00-01-02-03-04-05
保存为:rarp.bat。
步骤三:
运行批处理文件将这个批处理文件拖到“Windows→开始→程序→启动”中,如果需要立即生效,请运行此文件。
注意:以上配置需要在网络正常时进行
6.使用安全工具软件
及时下载Anti ARP Sniffer软件保护本地计算机正常运行。具体使用方法可以在网上搜索。
如果已有病毒计算机的MAC地址,可使用NBTSCAN等软件找出网段内与该MAC地址对应的IP,即感染病毒的计算机的IP地址,然后报告单位的网络中心对其进行查封。
或者利用单位提供的集中网络防病毒系统来统一查杀木马。另外还可以利用木马杀客等安全工具进行查杀。
检测到对本机的ARP攻击,如何查找局域网中哪个电脑有问题?
ARP断网攻击,局域网内被人攻击,360拦截400多次还在加,已经追到了IP地址,怎么处理?回敬他 那是同一个局域网才有ARP攻击的,你要知道是谁在攻击,应该在360可以查到对方的IP地址的(我不用360的所以不太清楚哦),在cmd命令行也可以查到的,arp -a 。这个命令可以查到一个表的,要确定哪个攻击你的话,就用arp -d清空了。再arp -a查下,如果连续都有某一条IP信息的话,大概就是这个IP了。防止ARP攻击可以开启ARP防火墙。金山贝壳防火墙挺好的,可以绑定好本机。(我不是托哦,经验之谈而已~。~!)
ARP病毒怎么样在电脑中查找
"1、先确定故障网段的VLAN 、网关和IP地址等信息;2、登陆网关交换机(一定要网关交换机,不然是没有ARP表。)3、通过dis log命令查看日志,如果有病毒一般会有告警(但是也未必所有的都有)。4、如果日志里没有信息显示信息,就需要查看交换机的ARP地址表。通过dis arp | in VLAN号,如dis arp | in 909。5、用以上两种方法可以轻松的判断哪个MAC地址中毒,但是无法确定IP地址。要想确定IP地址是多少比较困难。需要依赖360安全卫士等软件和日常的IP和MAC记录表等工具来判断。6、如果以上工具都没有的话,就只能先登陆到相应的二层交换机(一定要注意,是二层接入交换机)。通过查看MAC地址和端口的对应表,以此来判断是哪个端口。7、为了暂时恢复网络,可以先关闭交换机的GigabitEthernet1/0/5口。如下:sysSystem View: return to User View with Ctrl+Z.[Huawei]int g 4/1/5 [Huawei-GigabitEthernet4/1/5]shutdown8、再登陆到网关交换机,把相应VLAN重新启动以下,如下:[Huawei8508_1]int Vlan-interface 909[Huawei8508_1-Vlan-interface909]shutdown[Huawei8508_1-Vlan-interface909]undo shutdown9、这样就可以恢复网络的正常运行,至于那个中毒的机器的处理。需要用户自己处理。建议直接重装系统,并马上安装补丁、杀毒软件、360安全卫士等工具。避免重复中毒。这个非常重要,因为重复中毒的可能性非常大。"
什么是ARP病毒,有何危害?
木马病毒其实是计算机黑客用于远程控制计算机的程序,将控制程序寄生于被控制的计算机系统中,里应外合,对被感染木马病毒的计算机实施操作。ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过。木马病毒具有很强的隐蔽性,可以根据黑客意图突然发起攻击。扩展资料ARP欺骗,手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障,建议您重启路由器或是联系网络供应商检查网络方面的问题。木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。一般的木马病毒程序主要是寻找计算机后门,伺机窃取被控计算机中的密码和重要文件等。可以对被控计算机实时监控、资料修改等非法操作。参考资料来源:百度百科-木马病毒