arp病毒的解决方法(经典)

5216365

最近,局域网爆发ARP病毒，具体表现为局域网内一些正在上网的电脑主机频繁掉线或是断线。现我校也开始发现校园网用户出现掉线的故障，经调查发现，该故障应该是ARP病毒所致.

一、故障原因及现象
　　局域网内有电脑运行ARP欺骗程序（比如：[url=http://www.52wpe.net]私服[/url]、QQ盗号的软件等）发送ARP数据包，致使被攻击的电脑不能上网。
　　当局域网内某台电脑A向电脑B发送ARP欺骗数据包时，会欺骗电脑B将其通信的数据发向电脑A，电脑A通过对截获的数据进行分析，达到窃取数据（如用户账号）的目的。
　　被ARP欺骗的电脑会出现突然不能上网，重新连接后又能上网，但过会还是掉线的反复现象。

二、故障诊断
　　如果用户发现突然不能上网，可以通过如下操作进行诊断：
　　点击“开始”按钮->选择“运行”->"cmd"在"dos"窗口下输入“arp -d”->点击“确定”按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。
　　“arp -d”命令能清除本机的arp表，arp表被清除后接着系统会自动重建新的arp表，“arp -d”命令并不能抵御ARP欺骗，执行“arp -d”命令后仍有可能再次遭受ARP攻击。
三、故障处理
  1. 使用AntiArp软件抵御ARP攻击。
　　先查明本机的网关IP地址，可通过以下操作获取：点击“开始”按钮->选择“运行”->输入“cmd”点击“确定”->输入“ipconfig”按回车，“Default ateway”后的IP地址就是网关地址。 　　
　　运行AntiArp，在管理右栏那“网关地址”里填入刚才查到的IP地址，然后点击“获取MAC”，检查网关IP地址和MAC地址无误后，点击“自动保护”。
　　2. 除用AntiArp软件外，也可以用arp命令抵御ARP攻击（也就是手动修改了）：

　　先打开命令提示符窗口（方法如上），然后用“arp –a”命令查出默认网关和mac地址
　　运行arp –a 命令后会得出类似如下列表
　　Internet Address     Physical Address Type
　　10.0.0.1             00-0f-09-00--02-59       dynamic
　　其中Internet Address就是默认网关，Physical Address就是mac地址
　　然后就用“arp -s 默认网关 mac地址”进行绑定

　　例如: arp –s 10.0.0.1 00-0f-09-00--02-59
　　不过因为这重启机后是不起作用的，如需开机就自行绑定arp，则需利用bat处理文件
　　该bat文件写法如下:

　　@echo off
　　arp -d
　　arp -s 网关IP地址 网关MAC地址

　　然后再将该bat文件加入“启动”项，系统启动后会自动执行arp命令绑定网关.

526595998

云忽忽的。。。

5257lj

写的不错，呵呵！！！