局域網(wǎng)ARP病毒怎么清除

　　現(xiàn)在局域網(wǎng)中感染ARP病毒的情況比較多，清理和防范都比較困難，給不少的網(wǎng)絡(luò)管理員造成了很多的困擾。下面就是學(xué)習(xí)啦小編在處理這個(gè)問題的一些經(jīng)驗(yàn)，同時(shí)也在網(wǎng)上翻閱了不少的參考資料。

　　ARP病毒的癥狀

　　有時(shí)候無法正常上網(wǎng)，有時(shí)候有好了，包括訪問網(wǎng)上鄰居也是如此，拷貝文件無法完成，出現(xiàn)錯(cuò)誤;局域網(wǎng)內(nèi)的ARP包爆增，使用ARP查詢的時(shí)候會(huì)發(fā)現(xiàn)不正常的MAC地址，或者是錯(cuò)誤的MAC地址對(duì)應(yīng)，還有就是一個(gè)MAC地址對(duì)應(yīng)多個(gè)IP的情況也會(huì)有出現(xiàn)。

　　ARP攻擊的原理

　　ARP欺騙攻擊的包一般有以下兩個(gè)特點(diǎn)，滿足之一可視為攻擊包報(bào)警：第一以太網(wǎng)數(shù)據(jù)包頭的源地址、目標(biāo)地址和ARP數(shù)據(jù)包的協(xié)議地址不匹配?；蛘撸珹RP數(shù)據(jù)包的發(fā)送和目標(biāo)地址不在自己網(wǎng)絡(luò)網(wǎng)卡MAC數(shù)據(jù)庫(kù)內(nèi)，或者與自己網(wǎng)絡(luò)MAC數(shù)據(jù)庫(kù)MAC/IP不匹配。這些統(tǒng)統(tǒng)第一時(shí)間報(bào)警，查這些數(shù)據(jù)包(以太網(wǎng)數(shù)據(jù)包)的源地址(也有可能偽造)，就大致知道那臺(tái)機(jī)器在發(fā)起攻擊了?，F(xiàn)在有網(wǎng)絡(luò)管理工具比如網(wǎng)絡(luò)執(zhí)法官、P2P終結(jié)者也會(huì)使用同樣的方式來偽裝成網(wǎng)關(guān)，欺騙客戶端對(duì)網(wǎng)關(guān)的訪問，也就是會(huì)獲取發(fā)到網(wǎng)關(guān)的流量，從而實(shí)現(xiàn)網(wǎng)絡(luò)流量管理和網(wǎng)絡(luò)監(jiān)控等功能，同時(shí)也會(huì)對(duì)網(wǎng)絡(luò)管理帶來潛在的危害，就是可以很容易的獲取用戶的密碼等相關(guān)信息。

　　處理辦法

　　通用的處理流程

　　1.先保證網(wǎng)絡(luò)正常運(yùn)行

　　方法一：編輯一個(gè)***.bat文件內(nèi)容如下：

　　讓網(wǎng)絡(luò)用戶點(diǎn)擊就可以了!

　　辦法二：編輯一個(gè)注冊(cè)表問題，鍵值如下：

　　然后保存成Reg文件以后在每個(gè)客戶端上點(diǎn)擊導(dǎo)入注冊(cè)表。

　　2.找到感染ARP病毒的機(jī)器

　　a、在電腦上ping一下網(wǎng)關(guān)的IP地址，然后使用ARP -a的命令看得到的網(wǎng)關(guān)對(duì)應(yīng)的MAC地址是否與實(shí)際情況相符，如不符，可去查找與該MAC地址對(duì)應(yīng)的電腦。

　　b、使用抓包工具，分析所得到的ARP數(shù)據(jù)報(bào)。有些ARP病毒是會(huì)把通往網(wǎng)關(guān)的路徑指向自己，有些是發(fā)出虛假ARP回應(yīng)包來混淆網(wǎng)絡(luò)通信。第一種處理比較容易，第二種處理比較困難，如果殺毒軟件不能正確識(shí)別病毒的話，往往需要手工查找感染病毒的電腦和手工處理病毒，比較困難。

　　c、使用MAC地址掃描工具，Nbtscan掃描全網(wǎng)段IP地址和MAC地址對(duì)應(yīng)表，有助于判斷感染ARP病毒對(duì)應(yīng)MAC地址和IP地址。

　　預(yù)防措施

　　1、及時(shí)升級(jí)客戶端的操作系統(tǒng)和應(yīng)用程式補(bǔ)丁;

　　2、安裝和更新殺毒軟件。

　　3、如果網(wǎng)絡(luò)規(guī)模較少，盡量使用手動(dòng)指定IP設(shè)置，而不是使用DHCP來分配IP地址。

　　4、如果交換機(jī)支持，在交換機(jī)上綁定MAC地址與IP地址。(不過這個(gè)實(shí)在不是好主意)