根據ARP***的原理,以下介紹全面的防治解決方法,採用下面的解決方法二加方法三,效果就不錯了,當然交換機性能許可情況下,
最好還是加上交換機綁定MAC地址、服務器端綁定IP MAC。
本文是轉載網上的資料,在此感謝對技術無私分享的同仁們!
先了解ARP變種病毒的特性吧:
一、破壞你的ARP雙向綁定批出理
二、中毒機器改變成代理服務器又叫代理路由
三、改變路由的網關MAC地址和internat網關的MAC地址一樣
病毒發作情況:現在的ARP變種 不是***客戶機的MAC地址***路由內網網關,改變了它的原理,這點實在佩服 ,
直接***您的路由的什麼地址你知道嗎?哈哈~~猜猜吧~~不賣關了~~新的變種ARP直接***您路由的MAC地址和外網網關 ,
而且直接就把綁定IP MAC的批處理文件禁用了。一會兒全掉線,一會兒是幾臺幾臺的掉線。
而且 中了ARP的電腦會把那臺電腦轉變成內網的代理服務器進行盜號和發動***。如果大家發現中了ARP沒有掉線,
那說明你中了最新的變種,你只要重啓了那臺中了ARP病毒的電腦,那麼受到ARP***的機子就會全部掉線 ,
內網的網關不掉包,而外網的IP和DNS狂掉,這點也是ARP變種的出現的情況,請大家留意。
在最後會公佈解決的案例和相關補丁,請大家看完全文可能對你有幫助哦,不要急着下~呵呵~
該病毒發作時候的特徵爲,中毒的機器會僞造某臺電腦的MAC地址,如該僞造地址爲網關服務器的地址,
那麼對整個網吧均會造成影響,用戶表現爲上網經常瞬斷。
一、在任意客戶機上進入命令提示符(或MS-DOS方式),用arp –a命令查看:
C:\WINNT\system32>arp -a
最好還是加上交換機綁定MAC地址、服務器端綁定IP MAC。
本文是轉載網上的資料,在此感謝對技術無私分享的同仁們!
先了解ARP變種病毒的特性吧:
一、破壞你的ARP雙向綁定批出理
二、中毒機器改變成代理服務器又叫代理路由
三、改變路由的網關MAC地址和internat網關的MAC地址一樣
病毒發作情況:現在的ARP變種 不是***客戶機的MAC地址***路由內網網關,改變了它的原理,這點實在佩服 ,
直接***您的路由的什麼地址你知道嗎?哈哈~~猜猜吧~~不賣關了~~新的變種ARP直接***您路由的MAC地址和外網網關 ,
而且直接就把綁定IP MAC的批處理文件禁用了。一會兒全掉線,一會兒是幾臺幾臺的掉線。
而且 中了ARP的電腦會把那臺電腦轉變成內網的代理服務器進行盜號和發動***。如果大家發現中了ARP沒有掉線,
那說明你中了最新的變種,你只要重啓了那臺中了ARP病毒的電腦,那麼受到ARP***的機子就會全部掉線 ,
內網的網關不掉包,而外網的IP和DNS狂掉,這點也是ARP變種的出現的情況,請大家留意。
在最後會公佈解決的案例和相關補丁,請大家看完全文可能對你有幫助哦,不要急着下~呵呵~
該病毒發作時候的特徵爲,中毒的機器會僞造某臺電腦的MAC地址,如該僞造地址爲網關服務器的地址,
那麼對整個網吧均會造成影響,用戶表現爲上網經常瞬斷。
一、在任意客戶機上進入命令提示符(或MS-DOS方式),用arp –a命令查看:
C:\WINNT\system32>arp -a
Interface: 192.168.0.193 on Interface 0x1000003
Internet Address Physical Address Type
192.168.0.1 00-50-da-8a-62-2c dynamic
192.168.0.23 00-11-2f-43-81-8b dynamic
192.168.0.24 00-50-da-8a-62-2c dynamic
192.168.0.25 00-05-5d-ff-a8-87 dynamic
192.168.0.200 00-50-ba-fa-59-fe dynamic
可以看到有兩個機器的MAC地址相同,那麼實際檢查結果爲 00-50-da-8a-62-2c爲192.168.0.24的MAC地址,
192.168.0.1的實際MAC地址爲00-02-ba-0b-04-32,我們可以判定192.168.0.24實際上爲有病毒的機器,它僞造了192.168.0.1的MAC地址。
Internet Address Physical Address Type
192.168.0.1 00-50-da-8a-62-2c dynamic
192.168.0.23 00-11-2f-43-81-8b dynamic
192.168.0.24 00-50-da-8a-62-2c dynamic
192.168.0.25 00-05-5d-ff-a8-87 dynamic
192.168.0.200 00-50-ba-fa-59-fe dynamic
可以看到有兩個機器的MAC地址相同,那麼實際檢查結果爲 00-50-da-8a-62-2c爲192.168.0.24的MAC地址,
192.168.0.1的實際MAC地址爲00-02-ba-0b-04-32,我們可以判定192.168.0.24實際上爲有病毒的機器,它僞造了192.168.0.1的MAC地址。
解決辦法一:
一、採用客戶機及網關服務器上進行靜態ARP綁定的辦法來解決。
1. 在所有的客戶端機器上做網關服務器的ARP靜態綁定。
首先在網關服務器(代理主機)的電腦上查看本機MAC地址
C:\WINNT\system32>ipconfig /all
Ethernet adapter 本地連接 2:
Connection-specific DNS Suffix . :
Descript_ion . . . . . . . . . . . : Intel? PRO/100B PCI Adapter (TX)
Physical Address. . . . . . . . . : 00-02-ba-0b-04-32
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.1
Subnet Mask . . . . . . . . . . . : 255.255.255.0
然後在客戶機器的DOS命令下做ARP的靜態綁定
C:\WINNT\system32>arp –s 192.168.0.1 00-02-ba-0b-04-32
注:如有條件,建議在客戶機上做所有其他客戶機的IP和MAC地址綁定。
一、採用客戶機及網關服務器上進行靜態ARP綁定的辦法來解決。
1. 在所有的客戶端機器上做網關服務器的ARP靜態綁定。
首先在網關服務器(代理主機)的電腦上查看本機MAC地址
C:\WINNT\system32>ipconfig /all
Ethernet adapter 本地連接 2:
Connection-specific DNS Suffix . :
Descript_ion . . . . . . . . . . . : Intel? PRO/100B PCI Adapter (TX)
Physical Address. . . . . . . . . : 00-02-ba-0b-04-32
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.1
Subnet Mask . . . . . . . . . . . : 255.255.255.0
然後在客戶機器的DOS命令下做ARP的靜態綁定
C:\WINNT\system32>arp –s 192.168.0.1 00-02-ba-0b-04-32
注:如有條件,建議在客戶機上做所有其他客戶機的IP和MAC地址綁定。
2. 在網關服務器(代理主機)的電腦上做客戶機器的ARP靜態綁定
首先在所有的客戶端機器上查看IP和MAC地址,命令如上。
然後在代理主機上做所有客戶端服務器的ARP靜態綁定。如:
C:\winnt\system32> arp –s 192.168.0.23 00-11-2f-43-81-8b
C:\winnt\system32> arp –s 192.168.0.24 00-50-da-8a-62-2c
C:\winnt\system32> arp –s 192.168.0.25 00-05-5d-ff-a8-87
3 以上ARP的靜態綁定最後做成一個windows自啓動文件,讓電腦一啓動就執行以上操作,保證配置不丟失。
首先在所有的客戶端機器上查看IP和MAC地址,命令如上。
然後在代理主機上做所有客戶端服務器的ARP靜態綁定。如:
C:\winnt\system32> arp –s 192.168.0.23 00-11-2f-43-81-8b
C:\winnt\system32> arp –s 192.168.0.24 00-50-da-8a-62-2c
C:\winnt\system32> arp –s 192.168.0.25 00-05-5d-ff-a8-87
3 以上ARP的靜態綁定最後做成一個windows自啓動文件,讓電腦一啓動就執行以上操作,保證配置不丟失。
4 有條件的網吧可以在交換機內進行IP地址與MAC地址綁定
三、IP和MAC進行綁定後,更換網卡需要重新綁定,因此建議在客戶機安裝殺毒軟件來解決此類問題。
解決方法二:
1:在網關路由上對客戶機使用靜態MAC綁定。ROUTE OS軟路由的用戶可以參照相關教程,或是在IP--->ARP列表中一一選中對應項目單擊右鍵選擇“MAKE STATIC”命令,創建靜態對應項。
用防火牆封堵常見病毒端口:134-139,445,500,6677,5800,5900,593,1025,1026,2745,3127,6129 以及P2P下載
2:在客戶機上進行網關IP及其MAC靜態綁定,並修改導入如下註冊表:
(A)禁止ICMP重定向報文
ICMP的重定向報文控制着Windows是否會改變路由表從而響應網絡設備發送給它的ICMP重定向消息,這樣雖然方便了用戶,但是有時也會被他人利用來進行網絡***,這對於一個計算機網絡管理員來說是一件非常麻煩的事情。通過修改註冊表可禁止響應ICMP的重定向報文,從而使網絡更爲安全。 修改的方法是:打開註冊表編輯器,找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters”分支,在右側窗口中將子鍵“EnableICMPRedirects”(REG_DWORD型)的值修改爲0(0爲禁止ICMP的重定向報文)即可。
(B)禁止響應ICMP路由通告報文
“ICMP路由公告”功能可以使他人的計算機的網絡連接異常、數據被竊聽、計算機被用於流量***等,因此建議關閉響應ICMP路由通告報文。 修改的方法是:打開註冊表編輯器,找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters\Interfaces”分支,在右側窗口中將子鍵“PerformRouterDiscovery”REG_DWORD型的值修改爲0(0爲禁止響應ICMP路由通告報文,2爲允許響應ICMP路由通告報文)。修改完成後退出註冊表編輯器,重新啓動計算機即可。
(C)設置arp緩存老化時間設置
默認情況下ARP緩存的超時時限是兩分鐘,你可以在註冊表中進行修改。可以修改的鍵值有兩個,都位於
解決方法二:
1:在網關路由上對客戶機使用靜態MAC綁定。ROUTE OS軟路由的用戶可以參照相關教程,或是在IP--->ARP列表中一一選中對應項目單擊右鍵選擇“MAKE STATIC”命令,創建靜態對應項。
用防火牆封堵常見病毒端口:134-139,445,500,6677,5800,5900,593,1025,1026,2745,3127,6129 以及P2P下載
2:在客戶機上進行網關IP及其MAC靜態綁定,並修改導入如下註冊表:
(A)禁止ICMP重定向報文
ICMP的重定向報文控制着Windows是否會改變路由表從而響應網絡設備發送給它的ICMP重定向消息,這樣雖然方便了用戶,但是有時也會被他人利用來進行網絡***,這對於一個計算機網絡管理員來說是一件非常麻煩的事情。通過修改註冊表可禁止響應ICMP的重定向報文,從而使網絡更爲安全。 修改的方法是:打開註冊表編輯器,找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters”分支,在右側窗口中將子鍵“EnableICMPRedirects”(REG_DWORD型)的值修改爲0(0爲禁止ICMP的重定向報文)即可。
(B)禁止響應ICMP路由通告報文
“ICMP路由公告”功能可以使他人的計算機的網絡連接異常、數據被竊聽、計算機被用於流量***等,因此建議關閉響應ICMP路由通告報文。 修改的方法是:打開註冊表編輯器,找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters\Interfaces”分支,在右側窗口中將子鍵“PerformRouterDiscovery”REG_DWORD型的值修改爲0(0爲禁止響應ICMP路由通告報文,2爲允許響應ICMP路由通告報文)。修改完成後退出註冊表編輯器,重新啓動計算機即可。
(C)設置arp緩存老化時間設置
默認情況下ARP緩存的超時時限是兩分鐘,你可以在註冊表中進行修改。可以修改的鍵值有兩個,都位於
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
修改的鍵值:
鍵值1:ArpCacheLife,類型爲Dword,單位爲秒,默認值爲120
鍵值2:ArpCacheMinReferencedLife,類型爲Dword,單位爲秒,默認值爲600
注意:這些鍵值默認是不存在的,如果你想修改,必須自行創建;修改後重啓計算機後生效。
解決辦法三:
安全模式下刪除system32\npptools.dll,我維護的網吧那裏刪除了一個月了,從來沒中過ARP病毒,也無任何不良反映,ARP病毒缺少了npptools.dll這個文件根本不能運行,目前所發現的ARP病毒通通提示npptools.dll出錯,無法運行 暫時還沒發現可以自動生成npptools.dll的病毒,npptools.dll本身就40多K,病毒如果還要生成自己的運行庫的話,不是幾十K的大小就可以辦到的,再大一些的就不是病毒了 ,當然,還是要做ARP -S綁定,只綁定本機自身跟路由即可,可以在“一定程度上”減少ARP程序的破壞 ,刪除不了同志,麻煩您先關閉文件保護,最簡單的方法就是用XPLITE來關閉,網上一搜一大把的 另外再次聲明,這個方法只對ARP病毒生效,對惡意軟件只是小部分有效的
特別提醒一點:不要忘記了梆定外網網關和MAC,下面我舉個例子吧
IP:10.10.10.10
子網掩碼:255.255.255.255
網關:10.10.10.9[一定要綁定這個網關地址和MAC]
DNS:222.222.222.222
備用DNS:222.222.221.221