ARP病毒处理

1. 彩影的ARP防火墙

2. NBTSCAN

有关ARP病毒问题的处理说明:

 

故障现象：机器以前可正常上网的，突然出现可认证，不能上网的现象（无法ping通网关），重启机器或在MSDOS窗口下运行命令ARP -d后，又可恢复上网一段时间。

 

故障原因：这是APR病毒欺骗攻击造成的。

　　

引起问题的原因一般是由传奇外挂携带的ARP木马攻击。当在局域网内使用上述外挂时，外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上，向局域网内大量发送ARP包，从而致使同一网段地址内的其它机器误将其作为网关，这就是为什么掉线时内网是互通的，计算机却不能上网的原因。

 

临时处理对策：

 

步骤一.

      在能上网时，进入MS-DOS窗口，输入命令：arp–a查看网关IP对应的正确MAC地址，将其记录下来。

          注：windows 7必须以管理员身份运行命令提示符，如果已经不能上网，则先运行一次命令arp–d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话），一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp–a，如下图

 

步骤二.

       如果已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令：arp–s网关IP网关MAC

 

例如：假设计算机所处网段的网关为172.32.10.1，本机地址为172.32.10.140 在计算机上运行arp–a后输出如下：

 

 

 

 

 

其中1c-af-f7-27-44-f0就是网关172.32.10.1对应的MAC地址，类型是动态（dynamic）的，因此是可被改变。

被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC，如果大家希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找做准备。

 

手工绑定的命令为：arp -s 172.32.10.1 1c-af-f7-27-44-f0

 

 

绑定完，可再用arp–a查看arp缓存，

 

 

 

这时，网关类型变为静态（static），就不会再受攻击影响了。但是，需要说明的是，手工绑定在计算机关机重开机后就会失效，需要再绑定。所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，令其杀毒，方可解决。找出病毒计算机的方法：

 

如果已有病毒计算机的MAC地址，可使用NBTSCAN软件找出网段内与该MAC地址对应的IP，即病毒计算机的IP地址，然后可报告校网络中心对其进行查封。

 

NBTSCAN的使用方法：

下载nbtscan.rar到硬盘后解压，然后将cygwin1.dll和nbtscan.exe两文件拷贝到c:\windows\system32(或system)下，进入MSDOS窗口就可以输入命令：

 

nbtscan -r 218.197.192.0/24（假设本机所处的网段是218.197.192，掩码是255.255.255.0；实际使用该命令时，应将斜体字部分改为正确的网段）。

 

注：使用nbtscan时，有时因为有些计算机安装防火墙软件，nbtscan的输出不全，但在计算机的arp缓存中却能有所反应，所以使用nbtscan时，还可同时查看arp缓存，就能得到比较完全的网段内计算机IP与MAC的对应关系

 

解决每次开机都要输入以上命令的方法

    针对网络内的其他主机用同样的方法输入相应的主机IP以及MAC地址完成IP与MAC绑定。但是此动作，如果重启了电脑，作用就会消失，所以可以把此命令做成一个批处理文件，放在操作系统的启动里面：

 

@echo off

arp -d

arp -s 路由器LAN IP  路由器LAN MAC

 

打开记事本，输入上面的红色的字（修改上面的路由器LAN IP  路由器LAN MAC），然后另存为ARP.bat,放在启动里面

 

 

 

 

解决中ARP病毒的电脑
          用记事本等做一个空白文件,然后重命名为npptools.dll,然后替换system32文件夹里的同名文件,然后双绑,完美抵御arp。(单绑也可以,但别忘了把dllcache里的同名文件也替换了,要不windows的文件保护会重新覆盖这个文件,FAT的文件系统属性可以改为只读)
          但是个别防火墙会用到这个文件，如果要使用此方法，意味着放弃那款防火墙！具体哪款没试过，好像是za。
          如果不想删除，可以利用组策略中的散列原理设置任何用户禁止访问此文件。
          如果用策略的话那就来个绝的,全局禁止npptools.dll,因为现在已发现自身生成这个dll文件的arp病毒,一般是释放到临时文件夹里.所以干脆全局用策略禁止.再完美就是用权限把Registry.pol这个文件的写入.修改.和删除的权限都拒绝.