首先开始之前假如几个数字;
假如当前网关为:192.168.1.1 真实的mac地址是:00-00-00-00-00-01
假如中毒的机子为:192.168.1.8 其真实mac地址为:00-00-00-00-00-08
网络还同时存在主机:192.168.1.2 其真实mac地址为:00-00-00-00-00-02
192.168.1.3 其真实mac地址为:00-00-00-00-00-03
其中,中毒后,192.168.1.2和192.168.1.3的主机的arp缓存表中,网关的mac地址变成00-00-00-00-00-08,也就是被192.168.1.8
的主机欺骗了。
以上只是为了方便说明情况,假如的几个数字。
如何判断局域网中了arp,这里就不说了~~
下面提供三种解决思路:
一、【原创】利用网关欺骗中毒的机子,从而找到中毒的机子
这个方法是自己想的,也试验成功了,不知道别人有没有用过这个方法。这个方法适用于大型的网络中,主机不好找的时候。
言归正传,在中毒后,网关的mac地址被欺骗,这个时候用mac地址扫描器,扫描网络中各个主机的mac地址和ip地址时就会发
现,192.168.1.1和192.168.1.1.8的主机的mac地址相同。
那么我们可以利用,网关的arp缓存或者服务器的arp缓存表来欺骗中毒的机子,使这台机子脱离局域网,从而达到隔离中毒机子的
目的。
查看网关或者服务器的arp缓存表。(具体命令,怎么进入暂不说)
在命令提示符状态下输入:
========================命令提示符状态===================
arp -d 192.168.1.8
arp -s 192.168.1.8 00:50:50:50:50:50
arp -s 192.168.230.230 00:00:00:00:00:08
========================命令提示符状态===================
上面的什么意思呢?
第一行:arp -d 192.168.1.8
即删除当前arp缓存表中,192.168.1.8的主机的信息。
第二行:arp -s 192.168.1.8 00:50:50:50:50:50
即绑定ip 192.168.1.8 和mac 00:50:50:50:50:50(这个mac是随便写的一个假的,当前网络中没有的mac地址)
绑定后会怎么样?192.168.1.8的主机会弹出ip地址和网上有冲突,从而无法和网关交换数据,达到隔离目的。
第三行:arp -s 192.168.230.230 00:00:00:00:00:08
绑定mac 00-00-00-00-00-08和ip 192.168.230.230(这个ip也是随便写的,当前网络中没有的ip地址)
绑定后会怎么样?192.168.1.8的主机会弹出ip地址和网上有冲突,从而无法和网关交换数据,达到隔离目的。
其实上面的第二行和第三行只要一行就够了,全用上也可以
第二行适合ip地址是固定的网络,第三行适合ip地址是随机的网络中。
我想现在中了arp病毒的朋友,应该能理解上面的。没有中毒或者没有经历过的不好理解!
然后怎么办呢?
给192.168.1.8的主机杀毒,杀掉病毒后,再运行
========================命令提示符状态===================
arp -d 192.168.1.8
arp -d 192.168.230.230
========================命令提示符状态===================
删掉网关或者服务器中的有关主机的arp信息,即解决问题!
二、完美策略
【欧阳锋版主提供】解决中毒的机子
是用记事本等做一个空白文件,然后重命名为npptools.dll,然后替换system32文件夹里的同名文件,然后双绑,完美抵御arp。(单绑也可以,但别忘了把dllcache里的同名文件也替换了,要不windows的文件保护会重新覆盖这个文件,FAT的文件系统属性可以改为只读)
但是个别防火墙会用到这个文件,如果要使用此方法,意味着放弃那款防火墙!具体哪款没试过,好像是za。
如果不想删除,可以利用组策略中的散列原理设置任何用户禁止访问此文件,具体操作参考:http://bbs.ylmf.com/read.php?tid=691888
如果用策略的话那就来个绝的,全局禁止npptools.dll,因为现在已发现自身生成这个dll文件的arp病毒,一般是释放到临时文件夹里.所以干脆全局用策略禁止.再完美就是用权限把Registry.pol这个文件的写入.修改.和删除的权限都拒绝.
三、不完美的解决策略
【参考网友】利用假网关欺骗arp病毒
ARP病毒是靠读取本机TCP/IP里的网关的,来欺骗的。
下面以网关为192.168.0.1为例, 实际应用当中把他换成你自己的网关。
现在我们运行-CMD-route print 会出现
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.129 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.129 192.168.0.129 10
192.168.0.129 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.0.255 255.255.255.255 192.168.0.129 192.168.0.129 10
224.0.0.0 240.0.0.0 192.168.0.129 192.168.0.129 10
255.255.255.255 255.255.255.255 192.168.0.129 192.168.0.129 1
Default Gateway: 192.168.0.254
===========================================================================
Persistent Routes:
None
这样一个路由表(这个是我的路由表。你们的可能IP不同),最后一个Metric是这条路由表的优先等级(权限) 1最大 10最小
我们来看第一行
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.129 10
任何IP 任何IP 网关IP 本机IP 优先等级(10是最小)
这行的意思是
如果我要访问Internet的话 从本机(192.168.0.129)通过网关(192.168.0.1)到任何Internet的服务器
下面几行路由表无关紧要
简单的说。如果你要访问Internet先经过本机的路由表再到路由器(网关)再到你要访问的Internet服务器
现在我们知道路由表的作用了。。
还有ARP病毒是读取本机TCP/IP里的网关的。以后的ARP变种会不会读路由表那我不知道。
现在我开始。。
方法:(反欺骗ARP病毒)
比如你现在网关(本地连接属性tcp/ip里设置的那个,后面同是)是192.168.0.1 那我们现在要把网关IP换成192.168.0.1-
192.168.0.254之间的任意一个。但不能和其他客户机冲突。最好换个不用的IP,(其实这个方法网关IP随便你添什么。那怕
123.123.123.123都没事,但为了能反欺骗ARP和避免被怀疑,我们最好能用同网段的IP。)我们现在换成192.168.0.200,上不了
网了吧?(网关不对当然上不了。傻子都知道~!-_-!)好了第一步做好了。NEXT
现在我们CMD-route print看下路由表。第一行的网关IP变成了你刚才设置的IP了。。而且这个网关IP是上不了网的。。。中国人
都知道。。
接下来。我们仍旧在CMD下输入 route add -p 0.0.0.0 mask 0.0.0.0 XXX.XXX.XXX.XXX metric 1 (把xxx.xxx.xxx.xxx换成你真
实的网关) 回车,我们加入一条静态的路由表 优先权限是1 (最大的)
在CMD下面输入route print 再查看一下路由表。最下面一行
Persistent Routes:
None
这个已经换成了
Persistent Routes:
Network Address Netmask Gateway Address Metric
0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx 1
一条静态路由已经添加了。。
别人的教程里说这样已经可以了。。但实际使用当中还不行。。
接下来。我们做个P处理,把下面的复制下来。保存为BAT。如果嫌开机有黑框,那去找个BAT转EXE的。我记得前段时间我发过一个
。如果没有的回贴我发上来。
route add 0.0.0.0 mask 0.0.0.0 xxx.xxx.xxx.xxx metric 1 (把xxx.xxx.xxx.xxx换成你真实的网关)
复制下来。保存为BAT。然后加在启动项里。每次开机都运行。你也可以加在注册表的RUN里面。
现在我们再来看看路由表,在CMD下面输入route print
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.129 10
0.0.0.0 0.0.0.0 192.168.0.254 192.168.0.129 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.129 192.168.0.129 10
192.168.0.129 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.0.255 255.255.255.255 192.168.0.129 192.168.0.129 10
224.0.0.0 240.0.0.0 192.168.0.129 192.168.0.129 10
255.255.255.255 255.255.255.255 192.168.0.129 192.168.0.129 1
Default Gateway: 192.168.0.254
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
0.0.0.0 0.0.0.0 192.168.0.254 1
第一行的网关是我们在 本地连接 属性 tcp/ip 里设置的那个假的 优先等级是10(最小的)
第二行的网关是我们通过手工加上去的真网关。优先等级是 1 (最大的)
如果我们要访问Internet的话。它优先读取 优先等级是1的那个真网关。。
而ARP读取的是读取本机TCP/IP里的网关的。以后的ARP变种会不会读路由表那我不知道。所以让他在冲突也只不过冲突假网关。
这样我们已经完成了。。不管你网关IP设成多少都没事。记住虽然你加了静态的但开机启动的那个P处理一定要。不然还是上不了
网。至少我这里是这样的。。
这样做了以后。帮不帮定IP-MAC都无所谓。我是没帮定。前段时间老掉线。这样做了后没掉过。。要掉也是中ARP病毒那个机器掉其他机器和网关没影响。
中了arp病毒一般症状是会间歇性的断线。本回答被提问者采纳
如何确认自己的电脑是否中了ARP病毒?
方法二、借助第三方抓包工具(如sniffer或antiarp)查找局域网中发arp包最多的IP地址,也可判断出中病毒计算机。造成arp欺骗的病毒,其实是普通的病毒,只要判断出发包源,使用杀毒软件进行清查,是可以彻底解决的。
怎么才能知道是那台电脑中了ARP病毒那?怎么解决病毒?
方法二、借助第三方抓包工具(如sniffer或antiarp)查找局域网中发arp包最多的IP地址,也可判断出中病毒计算机。造成arp欺骗的病毒,其实是普通的病毒,只要判断出发包源,使用杀毒软件进行清查,是可以彻底解决的。
怎样知道我电脑不知道是不是中了ARP病毒?
判断依据是电脑是否有网络连接中断的现象,如有,可能是ARP攻击。解决ARP攻击的方法如下:1、打开dos,在开始——>运行——>cmd,如下图:2、打开运行对话框,在其中输入“CMD”,进入Windows的命令提示符下,键入命令“ipconfig \/all”查看一下本机电脑的IP地址信息,在这里,还能看到网关及DNS信息。3...
如何DOS下查看自己本机是否中了ARP攻击。怎么可以看出来。
1、打开腾讯电脑管家,点击主界面中的“工具箱”按钮,并在打开的扩展面板中点击“ARP防火墙”项。2、在打开的“ARP防火墙”界面中,切换至“状态”选项卡,点击开启ARP防火墙。3、并点击“绑定网关\/DNS”按钮,手动输入网关和其MAC地址。4、ARP防火墙开启后,当局域网再次发生ARP攻击时,就会给出提示,...
ARP病毒怎么样在电脑中查找
"1、先确定故障网段的VLAN 、网关和IP地址等信息;2、登陆网关交换机(一定要网关交换机,不然是没有ARP表。)3、通过dis log命令查看日志,如果有病毒一般会有告警(但是也未必所有的都有)。4、如果日志里没有信息显示信息,就需要查看交换机的ARP地址表。通过dis arp | in VLAN号,如dis arp |...
怎样才能确认是否中了ARP病毒?
简单地说就是你在局域网中上网的时候如果经常不断地断开网络...或者显示IP冲突,就是在局域网中有电脑中了ARP病毒了 查看方法:运行cmd 输入arp -a 查看网关的MAC (多查几次) 如果MAC地址每次都相同 说明就没有arp病毒 。如果MAC 地址有变化 说明就中了 arp 病毒。如果自己不会看网关mac的...
如何查询局域网中感染arp病毒的电脑以及科来的序列号?
您好 1,如果您的电脑遭受了ARP欺骗攻击。2,那么您可以到腾讯电脑管家官网下载一个电脑管家。3,然后打开电脑管家——工具箱——APR防火墙——打开。4,打开后会帮您拦截下ARP攻击,点击【拦截日志】就能看到中了ARP病毒电脑的IP和MAC地址了。如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问...
如何排查arp攻击
1、用 arp -d 命令,只能临时解决上网问题,要从根本上解决问题,就得找到病毒主机。通过上面的 arp -a 命令,可以判定改变了的网关MAC地址或多个IP指向的物理地址,就是病毒机的MAC地址。哪么对应这个MAC地址的主机又是哪一台呢,Windows中有 ipconfig \/all 命令查看每台的信息,但如果电脑数目多...
怎么查看局域网arp攻击
上常见电脑黑客攻击类型与预防方法 。怎么查看局域网arp攻击。局域网内的机器遭到ARP病毒欺骗攻击,如果找到源头的机器,将其病毒或木马杀掉,局域网内机器就会恢复正常,那么如何才能快速定位到攻击的源头机器呢 1、用arp a命令。当发现上网明显变慢,或者突然掉线时,我们可以用arp -a命令来检查ARP表。
如何辨别是否中了arp欺骗病毒
...>代码。一般都是链接到另外一个网站的。找毒源:可以先在一台机子上装一个ARP防火墙,如果有被攻击的话可以看到是谁试图攻击你的机子,可以看到那台机子的IP,然后查IP所指向的那台机子。清除:在运行里输入regedit到注册表。可以在HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Im...
