局域網(wǎng)如何防范ARP病毒攻擊_負(fù)載集群教程

現(xiàn)在局域網(wǎng)中感染ARP 病毒的情況比較多，清理和防范都比較困難，給不少的網(wǎng)絡(luò)管理員造成了很多的困擾。下面就是個人在處理這個問題的一些經(jīng)驗(yàn)，同時也在網(wǎng)上翻閱了不少的參考資料。

ARP 病毒攻擊癥狀：

有時候無法正常上網(wǎng)，有時候有好了，包括訪問網(wǎng)上鄰居也是如此，拷貝文件無法完成，出現(xiàn)錯誤；局域網(wǎng)內(nèi)的ARP 包爆增，使用Arp 查詢的時候會發(fā)現(xiàn)不正常的Mac 地址，或者是錯誤的Mac 地址對應(yīng)，還有就是一個Mac 地址對應(yīng)多個IP 的情況也會有出現(xiàn)。

ARP 攻擊的原理：

ARP 欺騙攻擊的包一般有以下兩個特點(diǎn)，滿足之一可視為攻擊包報警:第一以太網(wǎng)數(shù)據(jù)包頭的源地址、目標(biāo)地址和ARP 數(shù)據(jù)包的協(xié)議地址不匹配。或者，ARP數(shù)據(jù)包的發(fā)送和目標(biāo)地址不在自己網(wǎng)絡(luò)網(wǎng)卡MAC 數(shù)據(jù)庫內(nèi)，或者與自己網(wǎng)絡(luò)MAC 數(shù)據(jù)庫MAC/IP 不匹配。這些統(tǒng)統(tǒng)第一時間報警，查這些數(shù)據(jù)包(以太網(wǎng)數(shù)據(jù)包)的源地址(也有可能偽造)，就大致知道那臺機(jī)器在發(fā)起攻擊了。現(xiàn)在有網(wǎng)絡(luò)管理工具比如網(wǎng)絡(luò)執(zhí)法官、P2P 終結(jié)者也會使用同樣的方式來偽裝成網(wǎng)關(guān)，欺騙客戶端對網(wǎng)關(guān)的訪問，也就是會獲取發(fā)到網(wǎng)關(guān)的流量，從而實(shí)現(xiàn)網(wǎng)絡(luò)流量管理和網(wǎng)絡(luò)監(jiān)控等功能，同時也會對網(wǎng)絡(luò)管理帶來潛在的危害，就是可以很容易的獲取用戶的密碼等相關(guān)信息。

處理辦法：

通用的處理流程：

1 .先保證網(wǎng)絡(luò)正常運(yùn)行

方法一：編輯個***.bat 文件內(nèi)容如下：

arp.exe s

**.**.**.**（網(wǎng)關(guān)ip） ****

**

**

**

**（

網(wǎng)關(guān)mac 地址）

end

讓網(wǎng)絡(luò)用戶點(diǎn)擊就可以了!

辦法二：編輯一個注冊表問題，鍵值如下：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREmicrosoftWindowsCurrentVersionRun]

"mac"="arp s

網(wǎng)關(guān)IP 地址網(wǎng)關(guān)Mac 地址"

然后保存成Reg 文件以后在每個客戶端上點(diǎn)擊導(dǎo)入注冊表。

2 找到感染ARP 病毒的機(jī)器。

a：在電腦上ping 一下網(wǎng)關(guān)的IP 地址，然后使用ARP －a 的命令看得到的網(wǎng)關(guān)對應(yīng)

的MAC 地址是否與實(shí)際情況相符，如不符，可去查找與該MAC 地址對應(yīng)的電腦。

b：使用抓包工具，分析所得到的ARP 數(shù)據(jù)報。有些ARP 病毒是會把通往網(wǎng)關(guān)的路徑指向自己，有些是發(fā)出虛假ARP 回應(yīng)包來混淆網(wǎng)絡(luò)通信。第一種處理比較容易，第二種處理比較困難，如果殺毒軟件不能正確識別病毒的話，往往需要手工查找感染病毒的電腦和手工處理病毒，比較困難。

c：使用mac 地址掃描工具，nbtscan 掃描全網(wǎng)段IP 地址和MAC 地址對應(yīng)表，有助于判斷感染ARP 病毒對應(yīng)MAC 地址和IP 地址。

預(yù)防措施：

1，及時升級客戶端的操作系統(tǒng)和應(yīng)用程式補(bǔ)丁；

2，安裝和更新殺毒軟件。

4，如果網(wǎng)絡(luò)規(guī)模較少，盡量使用手動指定IP 設(shè)置，而不是使用DHCP 來分配IP 地址。

5，如果交換機(jī)支持，在交換機(jī)上綁定MAC 地址與IP 地址。（不過這個實(shí)在不是好主意）