如果在使用网络时速度下降,过一段时间可能会再次恢复正常。 或者,重新启动路由器后,又可以正常连接互联网了。 如果发生故障时网关无法ping或数据丢失,则很可能受到了ARP病毒攻击。 让我说几句应对这种情况的意见。
一.首先诊断是否为ARP病毒攻击
1、当发现网络连接明显变慢或线路突然断开时,可以通过arp-命令检查ARP表。 ((开始按钮-gt; 运行-选择gt; 键入cmd,然后单击ok按钮,在窗口中输入arp -a命令。 (如果您注意到网关的MAC地址发生了变化,或者发现许多IP都指向同一个物理地址,那么这一定是ARP欺骗造成的。
2、在Anti ARP Sniffer软件上查看(省略详细使用)。
二.找到ARP病毒主机
1、“ARPd”命令只能暂时解决互联网问题。 要从根本上解决问题,需要找到病毒主机。 上面的ARPa命令可以确定更改的网关MAC地址或多个IP指向的物理地址是病毒计算机的MAC地址。 哪个主机对应于此MAC地址? windows有ipconfig/all命令,显示每台的信息,但电脑数量多的情况下,没办法一台一台地查,所以下载“NBTSCAN”软件,它是PC的实际IP地址
命令:“nbtscan-r 192.168.80.0/24”(192.168.80.0/24整个网段,即192.168.80.1-192.168.80.80 ) 或在“nbtscan 192.168.80.25-137”中输入192.168.80.25-137网段,即192.168.80.25-192.168.80.137 输出结果的第一列是IP地址,最后一列是MAC地址。 现在,您将找到病毒主机的IP地址。
2、如果手头没有这个软件怎么办? 在这种情况下,还可以在客户端上执行路由跟踪命令。 例如,tracertdwww.163.com,立即发现第一个不是关闭的内部网ip,而是本网段中另一台机器的ip,并指出下一跳是网关的内部网ip 通常,执行路由跟踪后输出的第一个条目必须是默认网关地址,这意味着第一跳非网关IP地址的主机是hsjdyx。
当然,找到IP后,接下来就是找到具体对应这个IP的机器。 如果你给每台计算机编个号码,使用固定IP,而且IP设置也很有规律的话,你很快就能找到。 但是,如果不是上述情况,而是IP设置不规则,或者IP是动态获取的,该怎么办? 还是一个人一个人去调查? 不! 你可以这样做。 将一台机器的IP地址设置为与祢机相同,然后引起IP地址冲突,使中毒主机发出警报,找到该主机。
三.病毒主机处理
1、杀毒软件检查病毒,删除病毒。
2、建议重新安装系统。 一百了。 (当然,请注意系统磁盘以外的磁盘上是否有病毒。)
四.如何防范ARP病毒攻击
1、从影响互联网连接便利性的方式来看,ARP诈骗可分为两类,一类是路由器对ARP表的诈骗; 另一个是对内部网PC的网关诈骗。 第一个ARP欺骗的原理是——监听网关数据。 实际地址信息无法通过更新保存到路由器中,因为它会向路由器通知一系列错误的内部网MAC地址,并以固定的频率连续出现。 结果,路由器上的所有数据只能发送到错误的MAC地址,普通PC无法接收信息。 第二个ARP欺骗的原理是——伪造网关。 其原理是建立伪网关,被其欺骗的PC将数据发送到伪网关,而不是通过普通路由器连接到互联网。 在PC看来,是无法连接网络,“网络掉了”。 因此,很多人建议用户采用双向绑定的方法解决,并且防止ARP诈骗。 这无疑是最好的解决方案,但如果计算机数量很多,则绑定到路由器的工作量会很大。 我个人认为主要是在PC上绑定路由器的IP和MAC地址就可以了。 可以通过以下方式绑定到PC :
1 )首先获得路由器的内部网的MAC地址(例如网关地址172.16.1.254的MAC地址为0022aa0022ee )。
2 )批处理文件rarp.bat的内容如下:
@echo off
arp -d
ARP-s 172.16.1.25400-22-aa-00-22-ee
将文件中的网关IP地址和MAC地址变更为自己的网关IP地址和MAC地址即可。 将该批处理软件拖到“windows--开始- -程序- -开始”中。
这样,就减少了一台一台的设置工夫,也就没有了重新启动电脑重新制作数据的工夫。 当然,计算机需要恢复卡和保护系统,不要随意删除此批处理。
2、作为网络管理员,我认为应该充分利用一些工具软件,准备一些常用的工具。 关于ARP,建议在手边准备这样的软件。
“anti ARP sniffer”(anti ARP sniffer )可以防止利用ARP技术截获数据包,以及利用ARP技术发送地址冲突数据包,从而查找攻击主机的IP和MAC地址。
“nbtscan”(nbtscan可以获得PC的实际IP地址和MAC地址,并利用它知道局域网中每个IP对应的MAC地址) )。
“网络执法官”(采用网络基础协议,可以穿透各客户端防火墙监视网络中各主机、交换机等具备IP的网络设备的局域网管理辅助软件网卡号(MMS 主要功能是根据管理员对每台主机的权限实时监控整个局域网,并自动管理非法用户
非法用户与网络中某些主机或整个网络隔离,而且无论局域网中的主机运行何种防火墙,都不能逃避监控,也不会引发防火墙警告,提高了网络安全性)3、定时检查局域网病毒,对机器进行病毒扫描,平时给系统安装好补丁程序,最好是局域网内每台电脑保证有杀毒软件(可升级)
4、指导好网络内使用者不要随便点击打开QQ、MSN等聊天工具上发来的链接信息,不要随便打开或运行陌生、可疑文件和程序,如邮件中的陌生附件,外挂程序等。
5、建议对局域网的每一台电脑尽量作用固定IP,路由器不启用DHCP,对给网内的每一台电脑编一个号,每一个号对应一个唯一的IP,这样有利用以后故障的查询也方便管理。并利用“NBTSCAN”软件查出每一IP对应的MAC地址,建立一个“电脑编号-IP地址-MAC地址”一一对应的数据库。