ARP病毒来源查找解决办法

用这个测试、跟踪中毒主机
http://www.antiarp.com/download.htm

用 NBTSCAN(下载地址:http://www.utt.com.cn/upload/nbtscan.rar)工具来快速查找它的机器名。命令格式如下：

nbtscan -r 192.168.100.0/24

或者

nbtscan -r 192.168.100.0-254

在中毒主机可用

ftp://202.38.76.151/pub2/Kernel/Windows/tools/IceSword1.18.rar

Icesword检查隐藏进程

这个时候你有两种方法来快速恢复网络。如果你的二层交换机支持单个端口的配置，那么封锁此网卡连接的交换机的端口。
否则，你需要通过资产管理资料，找到这台机器的物理位置，拔调此机器的网线。某些网络可能难以通过MAC地址找到机器的物理位置，这个时候需要用一些迂回的方式，比如大家都不能联网的时候，有一台机器可以，那么一般来说这个机器就是攻击源了。
通过以上两种方式隔离此机器后，等ARP缓存更新后，其他机器即可正常联网。一般来说MS Windows高速缓存中的每一条记录包括ARP的生存时间一般为60秒。

 

采用双向绑定的方法解决并且防止ARP欺骗。
　　
　　1、在PC上绑定安全网关的IP和MAC地址：
　　
　　1）首先，获得安全网关的内网的MAC地址（例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa）。
　　
　　2）编写一个批处理文件rarp.bat内容如下：
　　
　　@echo off
　　
　　arp -d
　　
　　arp -s 192.168.16.254 00-22-aa-00-22-aa
　　
　　将文件中的网关IP地址和MAC地址更改为实际使用的网关IP地址和MAC地址即可。
　　
　　将这个批处理软件拖到“windows 开始-程序-启动”中。
　　
　　3）如果是网吧，可以利用收费软件服务端程序（pubwin或者万象都可以）发送批处理文件rarp.bat到所有客户机的启动目录。 Windows2000的默认启动目录为“C:\Documents and Settings\All Users「开始」菜单程序启动”。
　　
　　2、在安全网关上绑定用户主机的IP和MAC地址

 

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。

预防

开始 运行 把 网关和mac 地址绑定

arp -s 192.168.100.254 00-c0-4c-38-77-0b

资料:

arp -d

删除某主机. arp -d * 删除所有主机纪录