根據ARP***的原理,以下介紹全面的防治解決方法,採用下面的解決方法二加方法三,效果就不錯了,當然交換機性能許可情況下,最好還是加上交換機綁定MAC地址、服務器端綁定IP MAC。
本文是轉載網上的資料,在此感謝對技術無私分享的同仁們!
本文是轉載網上的資料,在此感謝對技術無私分享的同仁們!
先了解ARP變種病毒的特性吧:
一、破壞你的ARP雙向綁定批出理
二、中毒機器改變成代理服務器又叫代理路由
三、改變路由的網關MAC地址和internat網關的MAC地址一樣
病毒發作情況:現在的ARP變種 不是***客戶機的MAC地址***路由內網網關,改變了它的原理,這點實在佩服 ,直接***您的路由的什麼地址你知道嗎?哈哈~~猜猜吧~~不賣關了~~新的變種ARP直接***您路由的MAC地址和外網網關 ,而且直接就把綁定IP MAC的批處理文件禁用了。一會兒全掉線,一會兒是幾臺幾臺的掉線。而且 中了ARP的電腦會把那臺電腦轉變成內網的代理服務器進行盜號和發動***。如果大家發現中了ARP沒有掉線,那說明你中了最新的變種,你只要重啓了那臺中了ARP病毒的電腦,那麼受到ARP***的機子就會全部掉線 ,內網的網關不掉包,而外網的IP和DNS狂掉,這點也是ARP變種的出現的情況,請大家留意。
在最後會公佈解決的案例和相關補丁,請大家看完全文可能對你有幫助哦,不要急着下~呵呵~
該病毒發作時候的特徵爲,中毒的機器會僞造某臺電腦的MAC地址,如該僞造地址爲網關服務器的地址,那麼對整個網吧均會造成影響,用戶表現爲上網經常瞬斷。
一、在任意客戶機上進入命令提示符(或MS-DOS方式),用arp –a命令查看:
C:\WINNT\system32>arp -a
一、破壞你的ARP雙向綁定批出理
二、中毒機器改變成代理服務器又叫代理路由
三、改變路由的網關MAC地址和internat網關的MAC地址一樣
病毒發作情況:現在的ARP變種 不是***客戶機的MAC地址***路由內網網關,改變了它的原理,這點實在佩服 ,直接***您的路由的什麼地址你知道嗎?哈哈~~猜猜吧~~不賣關了~~新的變種ARP直接***您路由的MAC地址和外網網關 ,而且直接就把綁定IP MAC的批處理文件禁用了。一會兒全掉線,一會兒是幾臺幾臺的掉線。而且 中了ARP的電腦會把那臺電腦轉變成內網的代理服務器進行盜號和發動***。如果大家發現中了ARP沒有掉線,那說明你中了最新的變種,你只要重啓了那臺中了ARP病毒的電腦,那麼受到ARP***的機子就會全部掉線 ,內網的網關不掉包,而外網的IP和DNS狂掉,這點也是ARP變種的出現的情況,請大家留意。
在最後會公佈解決的案例和相關補丁,請大家看完全文可能對你有幫助哦,不要急着下~呵呵~
該病毒發作時候的特徵爲,中毒的機器會僞造某臺電腦的MAC地址,如該僞造地址爲網關服務器的地址,那麼對整個網吧均會造成影響,用戶表現爲上網經常瞬斷。
一、在任意客戶機上進入命令提示符(或MS-DOS方式),用arp –a命令查看:
C:\WINNT\system32>arp -a
Interface: 192.168.0.193 on Interface 0x1000003
Internet Address Physical Address Type
192.168.0.1 00-50-da-8a-62-2c dynamic
192.168.0.23 00-11-2f-43-81-8b dynamic
192.168.0.24 00-50-da-8a-62-2c dynamic
192.168.0.25 00-05-5d-ff-a8-87 dynamic
192.168.0.200 00-50-ba-fa-59-fe dynamic
可以看到有兩個機器的MAC地址相同,那麼實際檢查結果爲 00-50-da-8a-62-2c爲192.168.0.24的MAC地址,192.168.0.1的實際MAC地址爲00-02-ba-0b-04-32,我們可以判定192.168.0.24實際上爲有病毒的機器,它僞造了192.168.0.1的MAC地址。
二、在192.168.0.24上進入命令提示符(或MS-DOS方式),用arp –a命令查看:
C:\WINNT\system32>arp -a
Interface: 192.168.0.24 on Interface 0x1000003
Internet Address Physical Address Type
192.168.0.1 00-02-ba-0b-04-32 dynamic
192.168.0.23 00-11-2f-43-81-8b dynamic
192.168.0.25 00-05-5d-ff-a8-87 dynamic
192.168.0.193 00-11-2f-b2-9d-17 dynamic
192.168.0.200 00-50-ba-fa-59-fe dynamic
可以看到帶病毒的機器上顯示的MAC地址是正確的,而且該機運行速度緩慢,應該爲所有流量在二層通過該機進行轉發而導致,該機重啓後網吧內所有電腦都不能上網,只有等arp刷新MAC地址後才正常,一般在2、3分鐘左右。
三、如果主機可以進入dos窗口,用arp –a命令可以看到類似下面的現象:
C:\WINNT\system32>arp -a
Interface: 192.168.0.1 on Interface 0x1000004
Internet Address Physical Address Type
192.168.0.23 00-50-da-8a-62-2c dynamic
192.168.0.24 00-50-da-8a-62-2c dynamic
192.168.0.25 00-50-da-8a-62-2c dynamic
192.168.0.193 00-50-da-8a-62-2c dynamic
192.168.0.200 00-50-da-8a-62-2c dynamic
該病毒不發作的時候,在代理服務器上看到的地址情況如下:
C:\WINNT\system32>arp -a
Interface: 192.168.0.1 on Interface 0x1000004
Internet Address Physical Address Type
192.168.0.23 00-11-2f-43-81-8b dynamic
192.168.0.24 00-50-da-8a-62-2c dynamic
192.168.0.25 00-05-5d-ff-a8-87 dynamic
192.168.0.193 00-11-2f-b2-9d-17 dynamic
192.168.0.200 00-50-ba-fa-59-fe dynamic
Internet Address Physical Address Type
192.168.0.1 00-50-da-8a-62-2c dynamic
192.168.0.23 00-11-2f-43-81-8b dynamic
192.168.0.24 00-50-da-8a-62-2c dynamic
192.168.0.25 00-05-5d-ff-a8-87 dynamic
192.168.0.200 00-50-ba-fa-59-fe dynamic
可以看到有兩個機器的MAC地址相同,那麼實際檢查結果爲 00-50-da-8a-62-2c爲192.168.0.24的MAC地址,192.168.0.1的實際MAC地址爲00-02-ba-0b-04-32,我們可以判定192.168.0.24實際上爲有病毒的機器,它僞造了192.168.0.1的MAC地址。
二、在192.168.0.24上進入命令提示符(或MS-DOS方式),用arp –a命令查看:
C:\WINNT\system32>arp -a
Interface: 192.168.0.24 on Interface 0x1000003
Internet Address Physical Address Type
192.168.0.1 00-02-ba-0b-04-32 dynamic
192.168.0.23 00-11-2f-43-81-8b dynamic
192.168.0.25 00-05-5d-ff-a8-87 dynamic
192.168.0.193 00-11-2f-b2-9d-17 dynamic
192.168.0.200 00-50-ba-fa-59-fe dynamic
可以看到帶病毒的機器上顯示的MAC地址是正確的,而且該機運行速度緩慢,應該爲所有流量在二層通過該機進行轉發而導致,該機重啓後網吧內所有電腦都不能上網,只有等arp刷新MAC地址後才正常,一般在2、3分鐘左右。
三、如果主機可以進入dos窗口,用arp –a命令可以看到類似下面的現象:
C:\WINNT\system32>arp -a
Interface: 192.168.0.1 on Interface 0x1000004
Internet Address Physical Address Type
192.168.0.23 00-50-da-8a-62-2c dynamic
192.168.0.24 00-50-da-8a-62-2c dynamic
192.168.0.25 00-50-da-8a-62-2c dynamic
192.168.0.193 00-50-da-8a-62-2c dynamic
192.168.0.200 00-50-da-8a-62-2c dynamic
該病毒不發作的時候,在代理服務器上看到的地址情況如下:
C:\WINNT\system32>arp -a
Interface: 192.168.0.1 on Interface 0x1000004
Internet Address Physical Address Type
192.168.0.23 00-11-2f-43-81-8b dynamic
192.168.0.24 00-50-da-8a-62-2c dynamic
192.168.0.25 00-05-5d-ff-a8-87 dynamic
192.168.0.193 00-11-2f-b2-9d-17 dynamic
192.168.0.200 00-50-ba-fa-59-fe dynamic
病毒發作的時候,可以看到所有的ip地址的mac地址被修改爲00-50-da-8a-62-2c,正常的時候可以看到MAC地址均不會相同。
一步一步按步驟操作
解決辦法一:
一、採用客戶機及網關服務器上進行靜態ARP綁定的辦法來解決。
1. 在所有的客戶端機器上做網關服務器的ARP靜態綁定。
首先在網關服務器(代理主機)的電腦上查看本機MAC地址
C:\WINNT\system32>ipconfig /all
Ethernet adapter 本地連接 2:
Connection-specific DNS Suffix . :
Descript_ion . . . . . . . . . . . : Intel? PRO/100B PCI Adapter (TX)
Physical Address. . . . . . . . . : 00-02-ba-0b-04-32
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.1
Subnet Mask . . . . . . . . . . . : 255.255.255.0
然後在客戶機器的DOS命令下做ARP的靜態綁定
C:\WINNT\system32>arp –s 192.168.0.1 00-02-ba-0b-04-32
注:如有條件,建議在客戶機上做所有其他客戶機的IP和MAC地址綁定。
一、採用客戶機及網關服務器上進行靜態ARP綁定的辦法來解決。
1. 在所有的客戶端機器上做網關服務器的ARP靜態綁定。
首先在網關服務器(代理主機)的電腦上查看本機MAC地址
C:\WINNT\system32>ipconfig /all
Ethernet adapter 本地連接 2:
Connection-specific DNS Suffix . :
Descript_ion . . . . . . . . . . . : Intel? PRO/100B PCI Adapter (TX)
Physical Address. . . . . . . . . : 00-02-ba-0b-04-32
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.1
Subnet Mask . . . . . . . . . . . : 255.255.255.0
然後在客戶機器的DOS命令下做ARP的靜態綁定
C:\WINNT\system32>arp –s 192.168.0.1 00-02-ba-0b-04-32
注:如有條件,建議在客戶機上做所有其他客戶機的IP和MAC地址綁定。
2. 在網關服務器(代理主機)的電腦上做客戶機器的ARP靜態綁定
首先在所有的客戶端機器上查看IP和MAC地址,命令如上。
然後在代理主機上做所有客戶端服務器的ARP靜態綁定。如:
C:\winnt\system32> arp –s 192.168.0.23 00-11-2f-43-81-8b
C:\winnt\system32> arp –s 192.168.0.24 00-50-da-8a-62-2c
C:\winnt\system32> arp –s 192.168.0.25 00-05-5d-ff-a8-87
3. 以上ARP的靜態綁定最後做成一個windows自啓動文件,讓電腦一啓動就執行以上操作,保證配置不丟失。
二、有條件的網吧可以在交換機內進行IP地址與MAC地址綁定
三、IP和MAC進行綁定後,更換網卡需要重新綁定,因此建議在客戶機安裝殺毒軟件來解決此類問題。
解決方法二:
1:在網關路由上對客戶機使用靜態MAC綁定。ROUTE OS軟路由的用戶可以參照相關教程,或是在IP--->ARP列表中一一選中對應項目單擊右鍵選擇“MAKE STATIC”命令,創建靜態對應項。
用防火牆封堵常見病毒端口:134-139,445,500,6677,5800,5900,593,1025,1026,2745,3127,6129 以及P2P下載
2:在客戶機上進行網關IP及其MAC靜態綁定,並修改導入如下註冊表:
(A)禁止ICMP重定向報文
ICMP的重定向報文控制着Windows是否會改變路由表從而響應網絡設備發送給它的ICMP重定向消息,這樣雖然方便了用戶,但是有時也會被他人利用來進行網絡***,這對於一個計算機網絡管理員來說是一件非常麻煩的事情。通過修改註冊表可禁止響應ICMP的重定向報文,從而使網絡更爲安全。 修改的方法是:打開註冊表編輯器,找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters”分支,在右側窗口中將子鍵“EnableICMPRedirects”(REG_DWORD型)的值修改爲0(0爲禁止ICMP的重定向報文)即可。
(B)禁止響應ICMP路由通告報文
“ICMP路由公告”功能可以使他人的計算機的網絡連接異常、數據被竊聽、計算機被用於流量***等,因此建議關閉響應ICMP路由通告報文。 修改的方法是:打開註冊表編輯器,找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters\Interfaces”分支,在右側窗口中將子鍵“PerformRouterDiscovery”REG_DWORD型的值修改爲0(0爲禁止響應ICMP路由通告報文,2爲允許響應ICMP路由通告報文)。修改完成後退出註冊表編輯器,重新啓動計算機即可。
(C)設置arp緩存老化時間設置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒數,默認值爲120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒數,默認值爲600)
說明:如果ArpCacheLife大於或等於ArpCacheMinReferencedLife,則引用或未引用的ARP
緩存項在ArpCacheLife秒後到期.如果ArpCacheLife小於ArpCacheMinReferencedLife,
未引用項在ArpCacheLife秒後到期,而引用項在ArpCacheMinReferencedLife秒後到期.
每次將出站數據包發送到項的IP地址時,就會引用ARP緩存中的項。
首先在所有的客戶端機器上查看IP和MAC地址,命令如上。
然後在代理主機上做所有客戶端服務器的ARP靜態綁定。如:
C:\winnt\system32> arp –s 192.168.0.23 00-11-2f-43-81-8b
C:\winnt\system32> arp –s 192.168.0.24 00-50-da-8a-62-2c
C:\winnt\system32> arp –s 192.168.0.25 00-05-5d-ff-a8-87
3. 以上ARP的靜態綁定最後做成一個windows自啓動文件,讓電腦一啓動就執行以上操作,保證配置不丟失。
二、有條件的網吧可以在交換機內進行IP地址與MAC地址綁定
三、IP和MAC進行綁定後,更換網卡需要重新綁定,因此建議在客戶機安裝殺毒軟件來解決此類問題。
解決方法二:
1:在網關路由上對客戶機使用靜態MAC綁定。ROUTE OS軟路由的用戶可以參照相關教程,或是在IP--->ARP列表中一一選中對應項目單擊右鍵選擇“MAKE STATIC”命令,創建靜態對應項。
用防火牆封堵常見病毒端口:134-139,445,500,6677,5800,5900,593,1025,1026,2745,3127,6129 以及P2P下載
2:在客戶機上進行網關IP及其MAC靜態綁定,並修改導入如下註冊表:
(A)禁止ICMP重定向報文
ICMP的重定向報文控制着Windows是否會改變路由表從而響應網絡設備發送給它的ICMP重定向消息,這樣雖然方便了用戶,但是有時也會被他人利用來進行網絡***,這對於一個計算機網絡管理員來說是一件非常麻煩的事情。通過修改註冊表可禁止響應ICMP的重定向報文,從而使網絡更爲安全。 修改的方法是:打開註冊表編輯器,找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters”分支,在右側窗口中將子鍵“EnableICMPRedirects”(REG_DWORD型)的值修改爲0(0爲禁止ICMP的重定向報文)即可。
(B)禁止響應ICMP路由通告報文
“ICMP路由公告”功能可以使他人的計算機的網絡連接異常、數據被竊聽、計算機被用於流量***等,因此建議關閉響應ICMP路由通告報文。 修改的方法是:打開註冊表編輯器,找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters\Interfaces”分支,在右側窗口中將子鍵“PerformRouterDiscovery”REG_DWORD型的值修改爲0(0爲禁止響應ICMP路由通告報文,2爲允許響應ICMP路由通告報文)。修改完成後退出註冊表編輯器,重新啓動計算機即可。
(C)設置arp緩存老化時間設置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒數,默認值爲120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒數,默認值爲600)
說明:如果ArpCacheLife大於或等於ArpCacheMinReferencedLife,則引用或未引用的ARP
緩存項在ArpCacheLife秒後到期.如果ArpCacheLife小於ArpCacheMinReferencedLife,
未引用項在ArpCacheLife秒後到期,而引用項在ArpCacheMinReferencedLife秒後到期.
每次將出站數據包發送到項的IP地址時,就會引用ARP緩存中的項。
曾經看見有人說過,只要保持IP-MAC緩存不被更新,就可以保持正確的ARP協議運行。關於此點,我想可不可以通過,修改註冊表相關鍵值達到:
默認情況下ARP緩存的超時時限是兩分鐘,你可以在註冊表中進行修改。可以修改的鍵值有兩個,都位於
默認情況下ARP緩存的超時時限是兩分鐘,你可以在註冊表中進行修改。可以修改的鍵值有兩個,都位於
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 修改的鍵值:
鍵值1:ArpCacheLife,類型爲Dword,單位爲秒,默認值爲120
鍵值2:ArpCacheMinReferencedLife,類型爲Dword,單位爲秒,默認值爲600
鍵值1:ArpCacheLife,類型爲Dword,單位爲秒,默認值爲120
鍵值2:ArpCacheMinReferencedLife,類型爲Dword,單位爲秒,默認值爲600
注意:這些鍵值默認是不存在的,如果你想修改,必須自行創建;修改後重啓計算機後生效。
如果ArpCacheLife的值比ArpCacheMinReferencedLife的值大,那麼ARP緩存的超時時間設置爲ArpCacheLife的值;如果ArpCacheLife的值不存在或者比ArpCacheMinReferencedLife的值小,那麼對於未使用的ARP緩存,超時時間設置爲120秒;對於正在使用的ARP緩存,超時時間則設置爲ArpCacheMinReferencedLife的值。
我們也許可以將上述鍵值設置爲非常大,不被強制更新ARP緩存。爲了防止病毒自己修改註冊表,可以對註冊表加以限制。
只要事先在沒遇到ARP***前,通過任意一個IP-MAC地址查看工具,紀錄所有機器的正確IP-MAC地址。等到受到***可以查看哪臺機器出現問題,然後通常是暴力解決,問題也許不是很嚴重。但是對於內網電腦數量過大,每臺機器都幫定所有IP-MAC地址,工作量非常巨大,必須通過專門軟件執行。
解決辦法三:
安全模式下刪除system32\npptools.dll,我維護的網吧那裏刪除了一個月了,從來沒中過ARP病毒,也無任何不良反映,ARP病毒缺少了npptools.dll這個文件根本不能運行,目前所發現的ARP病毒通通提示npptools.dll出錯,無法運行 暫時還沒發現可以自動生成npptools.dll的病毒,npptools.dll本身就40多K,病毒如果還要生成自己的運行庫的話,不是幾十K的大小就可以辦到的,再大一些的就不是病毒了 ,當然,還是要做ARP -S綁定,只綁定本機自身跟路由即可,可以在“一定程度上”減少ARP程序的破壞 ,刪除不了同志,麻煩您先關閉文件保護,最簡單的方法就是用XPLITE來關閉,網上一搜一大把的 另外再次聲明,這個方法只對ARP病毒生效,對惡意軟件只是小部分有效的
我們也許可以將上述鍵值設置爲非常大,不被強制更新ARP緩存。爲了防止病毒自己修改註冊表,可以對註冊表加以限制。
只要事先在沒遇到ARP***前,通過任意一個IP-MAC地址查看工具,紀錄所有機器的正確IP-MAC地址。等到受到***可以查看哪臺機器出現問題,然後通常是暴力解決,問題也許不是很嚴重。但是對於內網電腦數量過大,每臺機器都幫定所有IP-MAC地址,工作量非常巨大,必須通過專門軟件執行。
解決辦法三:
安全模式下刪除system32\npptools.dll,我維護的網吧那裏刪除了一個月了,從來沒中過ARP病毒,也無任何不良反映,ARP病毒缺少了npptools.dll這個文件根本不能運行,目前所發現的ARP病毒通通提示npptools.dll出錯,無法運行 暫時還沒發現可以自動生成npptools.dll的病毒,npptools.dll本身就40多K,病毒如果還要生成自己的運行庫的話,不是幾十K的大小就可以辦到的,再大一些的就不是病毒了 ,當然,還是要做ARP -S綁定,只綁定本機自身跟路由即可,可以在“一定程度上”減少ARP程序的破壞 ,刪除不了同志,麻煩您先關閉文件保護,最簡單的方法就是用XPLITE來關閉,網上一搜一大把的 另外再次聲明,這個方法只對ARP病毒生效,對惡意軟件只是小部分有效的
特別提醒一點:不要忘記了梆定外網網關和MAC,下面我舉個例子吧
IP:10.10.10.10
子網掩碼:255.255.255.255
網關:10.10.10.9[一定要綁定這個網關地址和MAC]
DNS:222.222.222.222
備用DNS:222.222.221.221
子網掩碼:255.255.255.255
網關:10.10.10.9[一定要綁定這個網關地址和MAC]
DNS:222.222.222.222
備用DNS:222.222.221.221
個人推薦安全工具及補丁:
個人認爲這點TP-LINK480T的路由做的非常好,具體請看本站的對於TP-LINK480T的路由介紹
小網吧使用TP-LINK480T的請升級最新版本,本站有下載
使用思科和華爲的請綁定網關地址和MAC
個人認爲這點TP-LINK480T的路由做的非常好,具體請看本站的對於TP-LINK480T的路由介紹
小網吧使用TP-LINK480T的請升級最新版本,本站有下載
使用思科和華爲的請綁定網關地址和MAC
推薦工具: AntiArpSniffer3最新版
補丁:mAC綁定程序
Vnd8.28防ARP補丁
ARP變種病毒微軟補丁
TP-LINK480T最新升級補丁
補丁:mAC綁定程序
Vnd8.28防ARP補丁
ARP變種病毒微軟補丁
TP-LINK480T最新升級補丁