1. 彩影的ARP防火墙
2. NBTSCAN
有关ARP病毒问题的处理说明:
故障现象:机器以前可正常上网的,突然出现可认证,不能上网的现象(无法ping通网关),重启机器或在MSDOS窗口下运行命令ARP -d后,又可恢复上网一段时间。
故障原因:这是APR病毒欺骗***造成的。
引起问题的原因一般是由传奇外挂携带的ARP******。当在局域网内使用上述外挂时,外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上,向局域网内大量发送ARP包,从而致使同一网段地址内的其它机器误将其作为网关,这就是为什么掉线时内网是互通的,计算机却不能上网的原因。
临时处理对策:
步骤一.
在能上网时,进入MS-DOS窗口,输入命令:arp–a查看网关IP对应的正确MAC地址,将其记录下来。
注:windows 7必须以管理员身份运行命令提示符,如果已经不能上网,则先运行一次命令arp–d将arp缓存中的内容删空,计算机可暂时恢复上网(***如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp–a,如下图
步骤二.
如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被***影响。手工绑定可在MS-DOS窗口下运行以下命令:arp–s网关IP网关MAC
例如:假设计算机所处网段的网关为172.32.10.1,本机地址为172.32.10.140 在计算机上运行arp–a后输出如下:
其中1c-af-f7-27-44-f0就是网关172.32.10.1对应的MAC地址,类型是动态(dynamic)的,因此是可被改变。
被***后,再用该命令查看,就会发现该MAC已经被替换成***机器的MAC,如果大家希望能找出***机器,彻底根除***,可以在此时将该MAC记录下来,为以后查找做准备。
手工绑定的命令为:arp -s 172.32.10.1 1c-af-f7-27-44-f0
绑定完,可再用arp–a查看arp缓存,
这时,网关类型变为静态(static),就不会再受***影响了。但是,需要说明的是,手工绑定在计算机关机重开机后就会失效,需要再绑定。所以,要彻底根除***,只有找出网段内被病毒感染的计算机,令其杀毒,方可解决。找出病毒计算机的方法:
如果已有病毒计算机的MAC地址,可使用NBTSCAN软件找出网段内与该MAC地址对应的IP,即病毒计算机的IP地址,然后可报告校网络中心对其进行查封。
NBTSCAN的使用方法:
下载nbtscan.rar到硬盘后解压,然后将cygwin1.dll和nbtscan.exe两文件拷贝到c:\windows\system32(或system)下,进入MSDOS窗口就可以输入命令:
nbtscan -r 218.197.192.0/24(假设本机所处的网段是218.197.192,掩码是255.255.255.0;实际使用该命令时,应将斜体字部分改为正确的网段)。
注:使用nbtscan时,有时因为有些计算机安装防火墙软件,nbtscan的输出不全,但在计算机的arp缓存中却能有所反应,所以使用nbtscan时,还可同时查看arp缓存,就能得到比较完全的网段内计算机IP与MAC的对应关系
解决每次开机都要输入以上命令的方法
针对网络内的其他主机用同样的方法输入相应的主机IP以及MAC地址完成IP与MAC绑定。但是此动作,如果重启了电脑,作用就会消失,所以可以把此命令做成一个批处理文件,放在操作系统的启动里面:
@echo off
arp -d
arp -s 路由器LAN IP 路由器LAN MAC
打开记事本,输入上面的红色的字(修改上面的路由器LAN IP 路由器LAN MAC),然后另存为ARP.bat,放在启动里面
解决中ARP病毒的电脑
用记事本等做一个空白文件,然后重命名为npptools.dll,然后替换system32文件夹里的同名文件,然后双绑,完美抵御arp。(单绑也可以,但别忘了把dllcache里的同名文件也替换了,要不windows的文件保护会重新覆盖这个文件,FAT的文件系统属性可以改为只读)
但是个别防火墙会用到这个文件,如果要使用此方法,意味着放弃那款防火墙!具体哪款没试过,好像是za。
如果不想删除,可以利用组策略中的散列原理设置任何用户禁止访问此文件。
如果用策略的话那就来个绝的,全局禁止npptools.dll,因为现在已发现自身生成这个dll文件的arp病毒,一般是释放到临时文件夹里.所以干脆全局用策略禁止.再完美就是用权限把Registry.pol这个文件的写入.修改.和删除的权限都拒绝.
转载于:https://blog.51cto.com/cs100/484789
扫一扫
4441
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
