一、网络出现频繁中断时的解决方法(此方法仅针对因局域网中存在arp病毒早成的网络中断):
点击“开始”?“运行”?“cmd”?在弹出的控制台(命令行模式,应该为黑色背景的对话框)里按照以下格式输入命令:
arp -d
arp -s 192.168.0.1 00-19-E0-33-27-00
其中,“arp –d” 命令是清空当前的ARP缓存表,而“arp -s 192.168.0.1 00-19-E0-33-27-00”命令则是将正确网关的IP地址和MAC地址绑定起来,将这个批处理文件放到系统的启动目录中,可以实现每次开机自运行,这一步叫做“固化arp表” 。00-19-E0-33-27-00为电大网路由器的MAC地址。
“双向绑定法”一般在网吧里面应用的居多。
输入后回车,以绑定网关到特定的物理地址上。此时因ARP病毒造成的校园网掉线问题应该解决。(可以把这条命令存储在文本文件中放在桌面上,如果出现因ARP病毒断网的现象,可打开命令控制台,将此命令复制粘贴至命令控制台提示符下回车即可迅速修复)
二、查看自己计算机MAC地址的方法:
点击“开始”?“运行”?“cmd”?在弹出的控制台里按照以下格式输入命令:
IPCONFIG /ALL
特别提示:当使用了ARP防范功能(IP和MAC绑定功能)后,电脑应使用固定IP,而不要使用动态IP(通过DHCP自动获取IP),因为若使用动态IP,电脑每次启动时所获得的IP可能不一样,从而可能造成与路由器中保存的IP与MAC绑定条目不一致,这样电脑将无法上网.
关于ARP病毒的网络安全建议
1.在网络正常时候保存好全网的IP—MAC地址对照表,这样在查找ARP中毒电脑时很方便。
2.都全网的电脑都打上MS06-014和MS07-017这两个补丁,包括所有的客户端和服务器,以免感染网页木马。
3.部署网络流量检测设备,时刻监视全网的ARP广播包,查看其MAC地址是否正确。
4.做好IP—MAC地址的绑定工作,对于从这个IP地址发送的报文,如果其MAC地址不是指定关系对中的地址,予以丢弃。
5.部署网络版的杀毒软件,定期升级病毒库,定期全网杀毒。
五、ARP病毒电脑的定位方法
下面,又有了一个新的课题摆在我们面前:如何能够快速检测定位出局域网中的ARP病毒电脑?
面对着局域网中成百台电脑,一个一个地检测显然不是好办法。其实我们只要利用ARP 病毒的基本原理:发送伪造的ARP欺骗广播,中毒电脑自身伪装成网关的特性,就可以快速锁定中毒电脑。可以设想用程序来实现以下功能:在网络正常的时候, 牢牢记住正确网关的IP地址和MAC地址,并且实时监控着来自全网的ARP数据包,当发现有某个ARP数据包广播,其IP地址是正确网关的IP地址,但是 其MAC地址竟然是其它电脑的MAC地址的时候,这时,无疑是发生了ARP欺骗。对此可疑MAC地址报警,在根据网络正常时候的IP-MAC地址对照表查 询该电脑,定位出其IP地址,这样就定位出中毒电脑了。下面详细说一下几种不同的检测ARP中毒电脑的方法。
5.1 命令行法
这种方法比较简便,不利用第三方工具,利用系统自带的ARP命令即可完成。上文已经 说过,当局域网中发生ARP欺骗的时候,ARP病毒电脑会向全网不停地发送ARP欺骗广播,这时局域网中的其它电脑就会动态更新自身的ARP缓存表,将网 关的MAC地址记录成ARP病毒电脑的MAC地址,这时候我们只要在其它受影响的电脑中查询一下当前网关的MAC地址,就知道中毒电脑的MAC地址了,查 询命令为 ARP -a,需要在cmd命令提示行下输入。输入后的返回信息如下:
Internet Address Physical Address Type
192.168.0.1 00-50-56-e6-49-56 dynamic |
这时,由于这个电脑的ARP表是错误的记录,因此,该MAC地址不是真正网关的MAC地址, 而是中毒电脑的MAC地址!这时,再根据网络正常时,全网的IP—MAC地址对照表,查找中毒电脑的IP地址就可以了。由此可见,在网络正常的时候,保存 一个全网电脑的IP—MAC地址对照表是多么的重要。可以使用nbtscan 工具扫描全网段的IP地址和MAC地址,保存下来,以备后用。
终于找到校园网频繁断网现象的原因--ARP病毒
我屋企部电脑也中佐Trojan.DL.IEFrame.ay病毒,我睇完都这篇文章之后我都下载佐ARP防火墙,每次开机都会运行呢个ARP防火墙的,但系我晤知呢个ARP防火墙有乜野作用,好想请教下冯老师,帮我解答呢个问题。