arp病毒解决办法一览

[ 2006-08-16 11:15:15 | 作者: admin ]
字号: | |
说明:ARP欺骗木马程序(病毒)(ARP是“Address Resolution Protocol”“地址解析协议”的缩写)
症状:中病毒机器 伪造网关的mac,造成局域网无法访问

解决办法一:强行指定网关mac
编写一个批处理文件rarp.bat内容如下,拖到“windows--开始--程序--启动”中(因为每次开机会自动失效):
将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。
@echo off
arp -d
arp -s 192.168.0.1 00-e0-4c-41-5e-5e

解决方法二:局域网ARP攻击免疫器
(1)将这里面3个dll文件复制到windows\system32 里面,将npf 这个文件复制到 windows\system32\drivers 里面。
(2)将这4个文件在安全属性里改成只读。也就是不允许任何人修改。
局域网ARP攻击免疫器.rar

解决办法三:Anti ARP Sniffer软件保护(有攻击时会自动提示中毒机器)
把此软件设为自动启动,步骤:
先把Antiarp.exe生成桌面快捷方式->选"开始"->"程序"->双击"启动"->再把桌面上Antiarp.exe快捷键拷到"启动"中,以保证下次开机自动运行,起到保护的作用。
只要填写好网关ip,然后获取网关mac,最后打开自动防护。
antiarp.rar

找出中毒的机器,用木马克星可以杀掉
方法一
arp -a //无法上网时,打印arp缓存表,找到重复的mac,也就是和192.168.0.1相同mac的机器

方法二
下面的软件获取局域网mac地址(实际上也是被病毒修改后mac)
nbtscan.rar
如果已有病毒计算机的MAC地址,可使用NBTSCAN软件找出网段内与该MAC地址对应的IP,即病毒计算机的IP地址,然后可对其进行查封。
        NBTSCAN的使用方法:
        下载nbtscan.rar到硬盘后解压,然后将cygwin1.dll和nbtscan.exe两文件拷贝到c:\windows\system32(或system)下,进入MSDOS窗口就可以输入命令:
nbtscan -r 218.197.192.0/24
        (假设本机所处的网段是218.197.192,掩码是255.255.255.0;实际使用该命令时,应将斜体字部分改为正确的网段)。
        注:使用nbtscan时,有时因为有些计算机安装防火墙软件,nbtscan的输出不全,但在计算机的arp缓存中却能有所反应,所以使用nbtscan时,还可同时查看arp缓存,就能得到比较完全的网段内计算机IP与MAC的对应关系。
[最后修改由 admin, 于 2006-08-21 12:20:00]
评论Feed 评论Feed: http://blog.xg98.com/feed.asp?q=comment&id=704

这篇日志没有评论。

此日志不可发表评论。