• 所有问题

    • 局域网内ARP病毒的问题

    局域网内中了ARP病毒,可以看到被修改后的网关MAC地址,可以利用NBTSCAN查看的时候却找不到这台MAC地址的计算机,估计这个MAC地址是病毒伪造的,怎么才能找出真正感染病毒的计算机呢?请高手指点,谢谢!

    举报该问题
    推荐答案   2007-10-25
    目前这个病毒,我也没发现解决的方法,公司的电脑也是经常中ARP。
    建议你做好防御措施,减少病毒攻击的机会!
    附:ARP病毒病毒发作时候的特征为,中毒的机器会伪造某台电脑的MAC地址,如该伪造地址为网关服务器的地址,那么对整个网络均会造成影响,用户表现为上网经常瞬断。局域网内有电脑使用ARP欺骗程序(比如:传奇、QQ盗号的软件等)发送ARP数据包,致使被攻击的电脑不能上网。
    当局域网内某台电脑A向电脑B发送ARP欺骗数据包时,会欺骗电脑B将其通信的数据发向电脑A,电脑A通过对截获的数据进行分析,达到窃取数据(如用户账号)的目的。被ARP欺骗的电脑会出现突然不能上网,过一段时间又能上网,反复掉线的现象。
    一、在任意客户机上进入命令提示符(或MS-DOS方式),用arp –a命令查看:
    C:WINNTsystem32>arp -a
    Interface: 192.168.0.193 on Interface 0x1000003
    Internet Address Physical Address Type
    192.168.0.1 00-50-da-8a-62-2c dynamic
    192.168.0.23 00-11-2f-43-81-8b dynamic
    192.168.0.24 00-50-da-8a-62-2c dynamic
    192.168.0.25 00-05-5d-ff-a8-87 dynamic
    192.168.0.200 00-50-ba-fa-59-fe dynamic
    可以看到有两个机器的MAC地址相同,那么实际检查结果为 00-50-da-8a-62-2c为192.168.0.24的MAC地址,192.168.0.1的实际MAC地址为00-02-ba-0b-04-32,我们可以判定192.168.0.24实际上为有病毒的机器,它伪造了192.168.0.1的MAC地址。

    · 二、在192.168.0.24上进入命令提示符(或MS-DOS方式),用arp –a命令查看:
    C:WINNTsystem32>arp -a
    Interface: 192.168.0.24 on Interface 0x1000003
    Internet Address Physical Address Type
    192.168.0.1 00-02-ba-0b-04-32 dynamic
    192.168.0.23 00-11-2f-43-81-8b dynamic
    192.168.0.25 00-05-5d-ff-a8-87 dynamic
    192.168.0.193 00-11-2f-b2-9d-17 dynamic
    192.168.0.200 00-50-ba-fa-59-fe dynamic
    可以看到带病毒的机器上显示的MAC地址是正确的,而且该机运行速度缓慢,应该为所有流量在二层通过该机进行转发而导致,该机重启后所有电脑都不能上网,只有等arp刷新MAC地址后才正常,一般在2、3分钟左右。
    三、如果主机可以进入dos窗口,用arp –a命令可以看到类似下面的现象:
    C:WINNTsystem32>arp -a
    Interface: 192.168.0.1 on Interface 0x1000004
    Internet Address Physical Address Type
    192.168.0.23 00-50-da-8a-62-2c dynamic
    192.168.0.24 00-50-da-8a-62-2c dynamic
    192.168.0.25 00-50-da-8a-62-2c dynamic
    192.168.0.193 00-50-da-8a-62-2c dynamic
    192.168.0.200 00-50-da-8a-62-2c dynamic
    该病毒不发作的时候,在代理服务器上看到的地址情况如下:
    C:WINNTsystem32>arp -a
    Interface: 192.168.0.1 on Interface 0x1000004
    Internet Address Physical Address Type

    · 192.168.0.23 00-11-2f-43-81-8b dynamic
    192.168.0.24 00-50-da-8a-62-2c dynamic
    192.168.0.25 00-05-5d-ff-a8-87 dynamic
    192.168.0.193 00-11-2f-b2-9d-17 dynamic
    192.168.0.200 00-50-ba-fa-59-fe dynamic
    病毒发作的时候,可以看到所有的ip地址的mac地址被修改为00-50-da-8a-62-2c,正常的时候可以看到MAC地址均不会相同。
    故障诊断:
    如果用户发现突然不能上网,可以通过如下操作进行诊断:点击“开始”按钮->选择“运行”->输入“arp -d”->点击“确定”按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。arp -d”命令能清除本机的arp表,arp表被清除后接着系统会自动重建新的arp表,“arp -d”命令并不能抵御ARP欺骗,执行“arp -d”命令后仍有可能再次遭受ARP攻击。

    · 解决办法:
    一、采用客户机及网关服务器上进行静态ARP绑定的办法来解决。
    1. 1.在所有的客户端机器上做网关服务器的ARP静态绑定。
    首先在网关服务器(代理主机)的电脑上查看本机MAC地址
    C:WINNTsystem32>ipconfig /all
    Ethernet adapter 本地连接 2:
    Connection-specific DNS Suffix . :
    Description . . . . . . . . . . . : Intel(R) PRO/100B PCI Adapter (TX)
    Physical Address. . . . . . . . . : 00-02-ba-0b-04-32
    Dhcp Enabled. . . . . . . . . . . : No
    IP Address. . . . . . . . . . . . : 192.168.0.1
    Subnet Mask . . . . . . . . . . . : 255.255.255.0
    然后在客户机器的DOS命令下做ARP的静态绑定
    C:WINNTsystem32>arp –s 192.168.0.1 00-02-ba-0b-04-32
    注:如有条件,建议在客户机上做所有其他客户机的IP和MAC地址绑定。
    2. 在网关服务器(代理主机)的电脑上做客户机器的ARP静态绑定
    首先在所有的客户端机器上查看IP和MAC地址,命令如上。
    然后在代理主机上做所有客户端服务器的ARP静态绑定。如:
    C:winntsystem32> arp –s 192.168.0.23 00-11-2f-43-81-8b
    C:winntsystem32> arp –s 192.168.0.24 00-50-da-8a-62-2c
    C:winntsystem32> arp –s 192.168.0.25 00-05-5d-ff-a8-87
    ……
    3. 以上ARP的静态绑定最后做成一个windows自启动文件,让电脑一启动就执行以上操作,保证配置不丢失。
    希望对你有用!!!
    温馨提示:答案为网友推荐,仅供参考
    其他回答
    第1个回答  2007-10-25
    解决大法~~呵呵~
    中毒三天后解决问题。是局域网内一同学未装杀软裸奔,中arp毒后ip伪装成局域网网关ip
    使我们本机内并没有毒,一联网就出现问题(因为局域网用户要通过网关上网)
    而他关机后我们上网又使用原有安全网关,从而恢复正常

    解决方法如下:
    1.扫描杀毒,清除ie缓存,cookies;
    2.查看同局域网内的电脑是否出现同样状况——可以打开局域网内最临近的另一电脑,
    开任意网页后,右击看看源文件,看是否首行注入flash.958167相关代码。有则判定局域网已中毒
    3.下载arp防火墙http://dl.360safe.com/360AntiArp.exe,安装运行后,即可正常上网。但以后必须一直开着防火墙
    4.要彻底解决问题,需要查看拦截arp攻击记录,找到攻击者ip,找局域网网络中心,确定ip对应电脑
    找到机主,让他彻底杀毒!
    5.“肇事”电脑的安全问题解决后,网络恢复正常,即可不开arp防火墙了。
    第2个回答  2007-10-25
    用软件 http://www.antiarp.com/ 可以检测到arp是从那个ip发出来的啊,

    然后用360杀啊,再装个防火墙,就差不多了饿啊
    第3个回答  2007-10-25
    我用过最土的方法

    把局域网里所有的电脑都断开

    一台台插上去.到哪个位置出问题就是哪台.

    25台内,结果发现一台.杀毒无发现(可能是杀毒软件旧)

    重装后网内恢复安定.
    第4个回答  2007-10-25
    下arp防火墙,查ip,然后搞定那台机子。你现查的软件不行
    12
    相似回答
    局域网内某台主机感染ARP病毒,会对该局域网中的主机造成什么影响_百度...答:1、网上银行、游戏及QQ账号的频繁丢失 一些人为了获取非法利益,利用ARP欺骗程序在网内进行非法活动,此类程序的主要目的在于破解账号登陆时的加密解密算法,通 过截取局域网中的数据包,然后以分析数据通讯协议的方法截获用户的信息。运行这类木马病毒,就可以获得整个局域网中上网用 户账号的详细信息并盗取。
    你所在的局域网网段有一台计算机ARP病毒,造成整个网段的用户不能...答:当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服...
    如何解决局域网ARP攻击造成的断网问题答:主要原因是在局域网中有人使用了ARP欺骗的木马程序,比如一些盗号的软件。〇故障现象 当局域网内有某台电脑运行了此类ARP欺骗的木马的时候,其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造...
    ARP病毒对网络连接有什么危害?答:由于ARP欺骗的木马发作的时候会发出大量的数据包导致局域网通讯拥塞,用户会感觉上网速度越来越慢。当木马程序停止运行时,用户会恢复从路由器上网,切换中用户会再断一次线。该机一开机上网就不断发Arp欺骗报文,即以假冒的网卡物理地址向同一子网的其它机器发送Arp报文,甚至假冒该子网网关物理地址蒙骗其它...
    局域网中如何清理ARP 病毒答:ARP 病毒的症状:有时候无法正常上网,有时候有好了,包括访问网上邻居也是如此,拷贝文件无法完成,出现错误;局域网内的ARP 包爆增,使用Arp 查询的时候会发现不正常的Mac 地址,或者是错误的Mac 地址对应,还有就是一个Mac 地址对应多个IP 的情况也会有出现。ARP 攻击的原理:ARP 欺骗攻击的包一般有...
    小米路由器局域网内中ARP病毒,如何根除ARP病毒。答:您好,您的情况,建议使用杀毒软件全盘查杀病毒,然后开机ARP防火墙即可。建议使用腾讯电脑管家,点此下载:腾讯电脑管家官网 方法:腾讯电脑管家——杀毒——全盘查杀即可。腾讯电脑管家——工具箱——ARP防火墙。腾讯电脑管家企业平台:http://zhidao.baidu.com/c/guanjia/ ...
    局域网内ARP病毒问题答:这是你局域网内的朋友用软件限制你网速,ARP攻击简单地说就是从局域网的一台电脑一直发数据给你的电脑,让你电脑上不了网。ARP攻击比较出名的软件有P2P终结者。它可以限制局域网内机子的速度,包括让目标机子上不了网。楼主如果发现这种攻击,看是哪个IP攻击你,找那台电脑的主人,叫他关了,不然也...
    大家正在搜
    局域网内病毒怎么处理satana病毒局域网局域网会中病毒吗局域网病毒扫描工具查找局域网病毒局域网感染病毒病毒会感染整个局域网吗病毒局域网传播方式局域网病毒下载
    相关问题
    小米路由器局域网内中ARP病毒,如何根除ARP病毒。
    如何查找局域网内哪一台计算机感染ARP病毒
    如何将彻底清除局域网内的arp病毒?
    详解:如何检测局域网内是否有arp病毒
    如何判断局域网中了ARP病毒
    如何arp命令查看局域网内是哪台电脑中了arp病毒?
    关于局域网内ARP攻击的问题
    局域网内有电脑中了ARP病毒怎么解决,