arp病毒肆虐,在单位一个大型局域网中如何应对?交换机已设置IP绑定,但是还是会拖慢整个网络。 交换机中病毒
\u5355\u4f4d\u6709\u4e2a3750\u7684\u4e09\u5c42\u4ea4\u6362\u673a \u56e0\u4e3a\u5355\u4f4d\u4e2d\u4e86arp\u75c5\u6bd2 \u6211\u60f3\u5c4f\u853d\u8fd9\u4e2a\u4f2a\u88c5mac\u5730\u5740 \u5177\u4f53\u7684\u547d\u4ee4\u662f\u4ec0\u4e48\u554aARP\uff08\u5730\u5740\u89e3\u6790\u534f\u8bae\uff09\u662f\u4e00\u4e2a\u4f4d\u4e8eTCP/IP\u534f\u8bae\u6808\u4e2d\u7684\u5e95\u5c42\u534f\u8bae\uff082\u5c42\uff0c\u6570\u636e\u94fe\u8def\u5c42\uff09\uff0c\u8d1f\u8d23\u5c06\u67d0\u4e2aIP\u5730\u5740\u89e3\u6790\u6210\u5bf9\u5e94\u7684MAC\u5730\u5740\u3002ARP\u653b\u51fb\u5c31\u662f\u901a\u8fc7\u4f2a\u9020IP\u5730\u5740\u548cMAC\u5730\u5740\u5b9e\u73b0ARP\u6b3a\u9a97\uff0c\u80fd\u591f\u5728\u7f51\u7edc\u4e2d\u4ea7\u751f\u5927\u91cf\u7684ARP\u901a\u4fe1\u91cf\u4f7f\u7f51\u7edc\u963b\u585e\uff0cARP\u653b\u51fb\u4e3b\u8981\u662f\u5b58\u5728\u4e8e\u5c40\u57df\u7f51\u7f51\u7edc\u4e2d\uff0c\u5c40\u57df\u7f51\u4e2d\u82e5\u6709\u4e00\u53f0\u8ba1\u7b97\u673a\u611f\u67d3ARP\u6728\u9a6c\uff0c\u5219\u611f\u67d3\u8be5ARP\u6728\u9a6c\u7684\u7cfb\u7edf\u5c06\u4f1a\u8bd5\u56fe\u901a\u8fc7\u201cARP\u6b3a\u9a97\u201d\u624b\u6bb5\u622a\u83b7\u6240\u5728\u7f51\u7edc\u5185\u5176\u5b83\u8ba1\u7b97\u673a\u7684\u901a\u4fe1\u4fe1\u606f\uff0c\u5e76\u56e0\u6b64\u9020\u6210\u7f51\u5185\u5176\u5b83\u8ba1\u7b97\u673a\u7684\u901a\u4fe1\u6545\u969c\uff0c\u5bfc\u81f4\u7f51\u7edc\u6389\u7ebf\u3001\u5361\u6ede\u3001OA\u7cfb\u7edf\u767b\u9646\u4e0d\u4e0a\u3001\u8bbf\u95ee\u4e0d\u4e86\u670d\u52a1\u5668\u7b49\u73b0\u8c61\u3002
\u76ee\u524d\u80fd\u591f\u5f7b\u5e95\u89e3\u51b3\u8fd9\u4e9b\u7f51\u7edc\u95ee\u9898\u7684\u662f\u514d\u75ab\u7f51\u7edc\u89e3\u51b3\u65b9\u6848\u3002\u514d\u75ab\u7f51\u7edc\u7684\u4e3b\u8981\u7406\u5ff5\u662f\u81ea\u4e3b\u9632\u5fa1\u548c\u7ba1\u7406\uff0c\u5b83\u901a\u8fc7\u6e90\u5934\u6291\u5236\u3001\u7fa4\u9632\u7fa4\u63a7\u3001\u5168\u7f51\u8054\u52a8\u4f7f\u7f51\u7edc\u5185\u6bcf\u4e00\u4e2a\u8282\u70b9\u90fd\u5177\u6709\u5b89\u5168\u529f\u80fd\uff0c\u5728\u9762\u4e34\u653b\u51fb\u65f6\u8c03\u52a8\u5404\u79cd\u5b89\u5168\u8d44\u6e90\u8fdb\u884c\u5e94\u5bf9\u3002\u9488\u5bf9ARP\u653b\u51fb\u7684\u6839\u6e90\uff0c\u514d\u75ab\u7f51\u7edc\u91c7\u7528\u4e86\u4e13\u95e8\u7684\u6280\u672f\u624b\u6bb5\uff0c\u586b\u8865\u4ee5\u592a\u7f51\u534f\u8bae\u6f0f\u6d1e\uff0c\u52a0\u56fa\u7f51\u7edc\u5e95\u5c42\u5b89\u5168\uff0c\u5f7b\u5e95\u6291\u6b62ARP\u653b\u51fb\u3002\u603b\u7684\u6765\u8bf4\u514d\u75ab\u7f51\u7edc\u89e3\u51b3\u65b9\u6848\u5c31\u662f\u8ba9\u4f60\u7684\u7f51\u7edc\u66f4\u7a33\u5b9a\u66f4\u5b89\u5168
\u4ea4\u6362\u673a\u662f\u4e0d\u4f1a\u4e2d\u6bd2\u7684\uff5e \u53ef\u80fd\u662f\u7ebf\u8def\u63a5\u53e3\u63a5\u89e6\u4e0d\u826f\uff0c\u5bfc\u81f4\u7684ARP\u5e7f\u64ad
\u548c\u4f60\u8bf4\u8bf4\u6211\u7ecf\u5386
\u4f7f\u7528\u73af\u5883
\u4ea4\u6362\u673a\uff1a\u50bb\u4ea4\u6362
\u7f51\u7ebf\uff1a RJ45\u63a5\u53e3 \u8d855\u7c7b
\u4e00\u6b21\u5728\u505a\u96c6\u6210\u65f6\uff0c\u53d1\u73b0\u53ea\u8981\u63d2\u4e0a\u4e00\u6761\u6709\u95ee\u9898\u7684\u7f51\u7ebf\u5c31\u4f1a\u5bfc\u81f4\u6574\u4e2a\u7f51\u7edc\u5168\u90e8DOWN\u6389\uff0c\u7531\u4e8e\u8fd9\u4e2a\u7f51\u7edc\u662f\u8981\u6c427*24\u7684\u9ad8\u53ef\u9760\u6027\u7f51\u7edc\uff0c\u6240\u4ee5\u4e0d\u5141\u8bb8\u51fa\u73b0\u8fd9\u6837\u7684\u95ee\u9898\u3002
\u4e8b\u540e\uff0c\u6709\u95ee\u9898\u7684\u90a3\u6761\u7f51\u7ebf\u627e\u4e0d\u5230\u4e86\uff0c\u6240\u4ee5\u4e5f\u6ca1\u6cd5\u7ee7\u7eed\u7814\u7a76\u3002
假如当前网关为:192.168.1.1
真实的mac地址是:00-00-00-00-00-01
假如中毒的机子为:192.168.1.8
其真实mac地址为:00-00-00-00-00-08
网络还同时存在主机:192.168.1.2
其真实mac地址为:00-00-00-00-00-02
192.168.1.3
其真实mac地址为:00-00-00-00-00-03
其中,中毒后,192.168.1.2和192.168.1.3的主机的arp缓存表中,网关的mac地址变成00-00-00-00-00-08,也就是被192.168.1.8的主机欺骗了。
以上只是为了方便说明情况,假如的几个数字。
一、【原创】利用网关欺骗中毒的机子,从而找到中毒的机子
这个方法是自己想的,也试验成功了,不知道别人有没有用过这个方法。这个方法适用于大型的网络中,主机不好找的时候。
言归正传,在中毒后,网关的mac地址被欺骗,这个时候用mac地址扫描器,扫描网络中各个主机的mac地址和ip地址时就会发现,192.168.1.1和192.168.1.1.8的主机的mac地址相同。
那么我们可以利用,网关的arp缓存或者服务器的arp缓存表来欺骗中毒的机子,使这台机子脱离局域网,从而达到隔离中毒机子的目的。
查看网关或者服务器的arp缓存表。(具体命令,怎么进入暂不说)在命令提示符状态下输入:
========================命令提示符状态===================
arp
-d
192.168.1.8
arp
-s
192.168.1.8
00:50:50:50:50:50
arp
-s
192.168.230.230
00:00:00:00:00:08
========================命令提示符状态===================
上面的什么意思呢?
第一行:arp
-d
192.168.1.8
即删除当前arp缓存表中,192.168.1.8的主机的信息。
第二行:arp
-s
192.168.1.8
00:50:50:50:50:50
即绑定ip
192.168.1.8
和mac
00:50:50:50:50:50(这个mac是随便写的一个假的,当前网络中没有的mac地址)
绑定后会怎么样?192.168.1.8的主机会弹出ip地址和网上有冲突,从而无法和网关交换数据,达到隔离目的。
第三行:arp
-s
192.168.230.230
00:00:00:00:00:08
绑定mac
00-00-00-00-00-08和ip
192.168.230.230(这个ip也是随便写的,当前网络中没有的ip地址)
绑定后会怎么样?192.168.1.8的主机会弹出ip地址和网上有冲突,从而无法和网关交换数据,达到隔离目的。
其实上面的第二行和第三行只要一行就够了,全用上也可以
第二行适合ip地址是固定的网络,第三行适合ip地址是随机的网络中。
我想现在中了arp病毒的朋友,应该能理解上面的。没有中毒或者没有经历过的不好理解!
然后怎么办呢?
给192.168.1.8的主机杀毒,杀掉病毒后,再运行
========================命令提示符状态===================
arp
-d
192.168.1.8
arp
-d
192.168.230.230
========================命令提示符状态===================
删掉网关或者服务器中的有关主机的arp信息,即解决问题!
二、完美策略
【欧阳锋版主提供】解决中毒的机子
是用记事本等做一个空白文件,然后重命名为npptools.dll,然后替换system32文件夹里的同名文件,然后双绑,完美抵御arp。(单绑也可以,但别忘了把dllcache里的同名文件也替换了,要不windows的文件保护会重新覆盖这个文件,FAT的文件系统属性可以改为只读)但是个别防火墙会用到这个文件,如果要使用此方法,意味着放弃那款防火墙!具体哪款没试过,好像是za。
如果不想删除,可以利用组策略中的散列原理设置任何用户禁止访问此文件。如果用策略的话那就来个绝的,全局禁止npptools.dll,因为现在已发现自身生成这个dll文件的arp病毒,一般是释放到临时文件夹里.所以干脆全局用策略禁止.再完美就是用权限把Registry.pol这个文件的写入.修改.和删除的权限都拒绝.
绛旓細淇濊瘉鍚勬ゼ灞備箣闂寸殑VLAN鐩稿鐙珛锛屽噺灏ARP鐥呮瘨甯︽潵鐨勮繛閿佸弽搴旓紝閬垮厤缃戠粶椋庢毚鐨勫彂鐢熴傚叿浣撴敼閫犳柟妗 鏍规嵁鐜版湁缃戠粶鐨勫竷灞鍜屽悇妤煎眰涔嬮棿缁堢鍒嗗竷鏁伴噺鎯呭喌锛岀綉缁滅鐞嗗憳鍒跺畾鍑涓涓鍩轰簬妤煎眰杩涜IP鍦板潃鍒掑垎鐨勫叿浣撴柟妗堬紝鎶奍P鍦板潃娈甸厤缃湪H3C闃茬伀澧欑殑鍐呯綉鍙d笂(涓涓鍙e彲浠ラ厤缃涓狪P鍦板潃娈)锛屽悓鏃跺湪H3C闃茬伀澧欎笂瀹氫箟NAT杞崲...
绛旓細鍓嶈呮槸鍏堟埅鑾风綉鍏虫暟鎹紝鍐嶅皢涓绯诲垪鐨勯敊璇殑鍐呯綉MAC淇℃伅涓嶅仠鍦板彂閫佺粰璺敱鍣紝閫犳垚璺敱鍣ㄥ彂鍑洪敊璇殑MAC鍦板潃锛岄犳垚姝e父PC鏃犳硶鏀跺埌淇℃伅銆傚悗鑰ARP鏀诲嚮鏄吉閫犵綉鍏炽傚畠鍏堝缓绔涓涓鍋囩綉鍏筹紝璁╄瀹冩楠楃殑PC鍚戝亣缃戝叧鍙戞暟鎹紝鑰屼笉鏄氳繃姝e父鐨勮矾鐢卞櫒閫斿緞涓婄綉銆傚湪PC鐪嬫潵锛屽氨鏄笂涓嶄簡缃戜簡锛屸滅綉缁滄帀绾夸簡鈥濄
绛旓細鍘熺悊 浜屼唬ARP涓昏琛ㄧ幇鍦鐥呮瘨閫氳繃缃戠粶璁块棶鎴栨槸涓绘満闂寸殑璁块棶浜掔浉浼犳挱銆傜敱浜庣梾姣掑凡缁忔劅鏌撳埌鐢佃剳涓绘満锛屽彲浠ヨ交鑰屾槗涓剧殑娓呴櫎鎺夊鎴锋満鐢佃剳涓婄殑ARP闈欐佺粦瀹氾紙棣栧厛鎵ц鐨勬槸arp -d鐒跺悗鍦ㄦ墽琛岀殑鏄痑rp -s 锛屾鏃剁粦瀹氱殑鏄涓涓閿欒鐨凪AC)浼撮殢鐫缁戝畾鐨勫彇娑堬紝閿欒鐨勭綉鍏矷P鍜孧AC鐨勫搴斿苟鍙互椤哄埄鐨勫啓鍒板鎴锋満鐢佃剳锛孉RP...
绛旓細鏂规硶涓銆佸湪鏀跺埌ARP娆洪獥鐨勬湰鏈猴紝鍦ㄥ紑濮--杩愯涓紝杈撳叆鈥渃md鈥濓紝杩涘叆ms-dos锛岄氳繃鍛戒护琛岀獥鍙h緭鍏モarp -a鈥濆懡浠わ紝鏌ョ湅ARP鍒楄〃銆備細鍙戠幇璇AC宸茬粡琚浛鎹㈡垚鏀诲嚮鏈哄櫒鐨凪AC锛屽皢璇AC璁板綍锛堜互澶囨煡鎵撅級锛岀劧鍚庢牴鎹MAC鎵惧嚭涓鐥呮瘨鐨勮绠楁満銆傛柟娉曚簩銆佸熷姪绗笁鏂规姄鍖呭伐鍏凤紙濡俿niffer鎴朼ntiarp锛夋煡鎵惧眬鍩熺綉涓彂arp鍖...
绛旓細鐢佃剳涓arp鐥呮瘨涓や釜鏈堜簡,纭洏鏍煎紡鍖栭噸瑁呯郴缁熶篃涓嶈,杩樻槸鏈変汉鏀诲嚮鎴,鎴戞槸浣忓湪澶у鐢熷叕瀵,鎴戜滑涓婄綉鏄叕鍙哥殑鍐呴儴缃,灞炰簬鍐呯綉,鎬庝箞鑳芥壘鍒版敾鍑绘垜鐨勭數鑴,涓轰粈涔堢敤3骞翠簡娌℃敾鍑绘垜,灏辨渶... 鐢佃剳涓璦rp鐥呮瘨涓や釜鏈堜簡,纭洏鏍煎紡鍖栭噸瑁呯郴缁熶篃涓嶈,杩樻槸鏈変汉鏀诲嚮鎴,鎴戞槸浣忓湪澶у鐢熷叕瀵,鎴戜滑涓婄綉鏄叕鍙哥殑鍐呴儴缃,灞炰簬鍐呯綉,鎬庝箞鑳...
绛旓細灞鍩熺綉鍐呯殑鐢佃剳涓鍙颁腑姣,浼氫笉浼氬鑷村叾浠栭儴鍒嗙數鑴戜笉鑳戒笂缃?鍏抽敭瑕佺湅鏄粈涔堢梾姣掋傚鏋滄槸鍗曠函鏂囦欢鐮村潖鍨嬬殑锛屼笉浼氬奖鍝嶅叾浠栫殑鐢佃剳銆傚鏋滅梾姣掑甫鏈夌綉缁滄敾鍑诲姛鑳斤紝杩欑鐥呮瘨涓ラ噸鐨勫彲浠ョ槴鐥綉缁溿傚眬鍩熺綉鍐呮煇鍙扮數鑴戜腑姣掍細褰卞搷缃戠粶鍚 妤间富浣犲ソ锛屾牴鎹綘鐨勬弿杩板緢鍙兘鏄煇鍙扮數鑴戜腑浜ARP鐥呮瘨瀵艰嚧鐨勶紝瑙e喅鏂规硶鏄鍏堝湪鏌愪竴鍙...
绛旓細浜屻ARP鐥呮瘨鐨勯槻寰″拰娓呴櫎1. 搴旀ュ鐞嗗鎴锋満涓瘨鍚,鍙厛淇濊瘉缃戠粶姝e父杩愯,鏂规硶鏈:鈼忓湪涓瘨瀹㈡埛绔富鏈鸿繍琛 arp -d ,娓呴櫎arp鍒楄〃,鍙殏鏃舵仮澶嶈涓绘満姝e父缃戠粶閫氳銆傗棌鍦ㄤ腑姣掑鎴风涓绘満杩涜閽堝缃戝叧鐨勯潤鎬両P-MAC鍦板潃缁戝畾,鍛戒护arp -s 缃戝叧ip 缃戝叧mac,涓洪伩鍏嶈绠楁満閲嶅惎鍚庤褰曞け鏁,鍙紪鍐涓涓鎵瑰鐞嗘枃浠秗arp1.bat,鍐呭濡...
绛旓細鏂规硶涓銆佸湪鏀跺埌ARP娆洪獥鐨勬湰鏈猴紝鍦ㄥ紑濮--杩愯涓紝杈撳叆鈥渃md鈥濓紝杩涘叆ms-dos锛岄氳繃鍛戒护琛岀獥鍙h緭鍏モarp -a鈥濆懡浠わ紝鏌ョ湅ARP鍒楄〃銆備細鍙戠幇璇AC宸茬粡琚浛鎹㈡垚鏀诲嚮鏈哄櫒鐨凪AC锛屽皢璇AC璁板綍锛堜互澶囨煡鎵撅級锛岀劧鍚庢牴鎹MAC鎵惧嚭涓鐥呮瘨鐨勮绠楁満銆傛柟娉曚簩銆佸熷姪绗笁鏂规姄鍖呭伐鍏凤紙濡俿niffer鎴朼ntiarp锛夋煡鎵惧眬鍩熺綉涓彂arp鍖...
绛旓細3銆佸強鏃舵洿鏂版搷浣滅郴缁熻ˉ涓併佸畨瑁呭彲闈犵殑鏉姣掕蒋浠跺苟鍙婃椂鏇存柊鐥呮瘨搴撱傦紙琛ヤ竵灏辨槸鎿嶄綔绯荤粺鐨勭柅鑻楋紝鎵涓涓灏遍槻涓绉嶅▉鑳侊紝鎵撳緱瓒婂叏瓒婂畨鍏ㄣ傦級鏍″洯缃戞帹鑽愮敤鎴蜂娇鐢∕cafee VirusScan Enterprise 8.0i 娉ㄦ剰锛氱洰鍓嶅浗鍐呬富娴佺殑璁$畻鏈洪槻姣掕蒋浠跺彧鑳介伩鍏嶈嚜宸辩數鑴戜富鏈烘劅鏌ARP鐥呮瘨锛浣嗘棤娉曟姷寰″悓缃戞鍏跺畠宸叉劅鏌揂RP鐥呮瘨鐨勮绠楁満鐨...
绛旓細杩欎釜娑堟伅浠h〃浜嗙敤鎴风殑MAC鍦板潃鍙戠敓浜嗗彉鍖,鍦ˋRP娆洪獥鏈ㄩ┈寮濮嬭繍琛岀殑鏃跺,灞鍩熺綉鎵鏈変富鏈虹殑MAC鍦板潃鏇存柊涓鐥呮瘨涓绘満鐨凪AC鍦板潃(鍗虫墍鏈変俊鎭殑MAC New鍦板潃閮戒竴鑷翠负鐥呮瘨涓绘満鐨凪AC鍦板潃),鍚屾椂鍦ㄨ矾鐢卞櫒鐨勨滅敤鎴风粺璁♀濅腑鐪嬪埌鎵鏈夌敤鎴风殑MAC鍦板潃淇℃伅閮戒竴鏍枫 濡傛灉鏄湪璺敱鍣ㄧ殑鈥滅郴缁熷巻鍙茶褰曗濅腑鐪嬪埌澶ч噺MAC Old鍦板潃閮戒竴鑷,鍒欒鏄庡眬鍩...
