ARP病毒处理

1. 彩影的ARP防火墙

2. NBTSCAN


有关ARP病毒问题的处理说明:

 

故障现象:机器以前可正常上网的,突然出现可认证,不能上网的现象(无法ping通网关),重启机器或在MSDOS窗口下运行命令ARP -d后,又可恢复上网一段时间。

 

故障原因:这是APR病毒欺骗攻击造成的。

  

引起问题的原因一般是由传奇外挂携带的ARP木马攻击。当在局域网内使用上述外挂时,外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上,向局域网内大量发送ARP包,从而致使同一网段地址内的其它机器误将其作为网关,这就是为什么掉线时内网是互通的,计算机却不能上网的原因。

 

临时处理对策:


 

步骤一.

      在能上网时,进入MS-DOS窗口,输入命令:arpa查看网关IP对应的正确MAC地址,将其记录下来。

          注:windows 7必须以管理员身份运行命令提示符,如果已经不能上网,则先运行一次命令arpdarp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arpa,如下图



 

步骤二.

       如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令:arps网关IP网关MAC

 

例如:假设计算机所处网段的网关为172.32.10.1,本机地址为172.32.10.140 在计算机上运行arpa后输出如下:

 

 

 

 

 

其中1c-af-f7-27-44-f0就是网关172.32.10.1对应的MAC地址,类型是动态(dynamic)的,因此是可被改变。

被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC,如果大家希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找做准备。

 

手工绑定的命令为:arp -s 172.32.10.1 1c-af-f7-27-44-f0



 

 

绑定完,可再用arpa查看arp缓存,

 

 

 

这时,网关类型变为静态(static),就不会再受攻击影响了。但是,需要说明的是,手工绑定在计算机关机重开机后就会失效,需要再绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,令其杀毒,方可解决。找出病毒计算机的方法:

 

如果已有病毒计算机的MAC地址,可使用NBTSCAN软件找出网段内与该MAC地址对应的IP,即病毒计算机的IP地址,然后可报告校网络中心对其进行查封。

 

NBTSCAN的使用方法:

下载nbtscan.rar到硬盘后解压,然后将cygwin1.dllnbtscan.exe两文件拷贝到c:\windows\system32(system)下,进入MSDOS窗口就可以输入命令:

 

nbtscan -r 218.197.192.0/24(假设本机所处的网段是218.197.192,掩码是255.255.255.0;实际使用该命令时,应将斜体字部分改为正确的网段)

 

注:使用nbtscan时,有时因为有些计算机安装防火墙软件,nbtscan的输出不全,但在计算机的arp缓存中却能有所反应,所以使用nbtscan时,还可同时查看arp缓存,就能得到比较完全的网段内计算机IPMAC的对应关系

 

解决每次开机都要输入以上命令的方法

    针对网络内的其他主机用同样的方法输入相应的主机IP以及MAC地址完成IPMAC绑定。但是此动作,如果重启了电脑,作用就会消失,所以可以把此命令做成一个批处理文件,放在操作系统的启动里面:


 

@echo off

arp -d

arp -s 路由器LAN IP  路由器LAN MAC

 

打开记事本,输入上面的红色的字(修改上面的路由器LAN IP  路由器LAN MAC),然后另存为ARP.bat,放在启动里面

 

 

 

 

解决中ARP病毒的电脑
          用记事本等做一个空白文件,然后重命名为npptools.dll,然后替换system32文件夹里的同名文件,然后双绑,完美抵御arp。(单绑也可以,但别忘了把dllcache里的同名文件也替换了,要不windows的文件保护会重新覆盖这个文件,FAT的文件系统属性可以改为只读)
          但是个别防火墙会用到这个文件,如果要使用此方法,意味着放弃那款防火墙!具体哪款没试过,好像是za。
          如果不想删除,可以利用组策略中的散列原理设置任何用户禁止访问此文件。
          如果用策略的话那就来个绝的,全局禁止npptools.dll,因为现在已发现自身生成这个dll文件的arp病毒,一般是释放到临时文件夹里.所以干脆全局用策略禁止.再完美就是用权限把Registry.pol这个文件的写入.修改.和删除的权限都拒绝.

你可能感兴趣的:(职场,ARP,病毒,休闲,nbtscan)