猖獗不衰 ARP病毒该如何防治?
  出处:赛迪网  责任编辑:ANSON  
 
 
  ARP病毒防制方法还待加强

  ARP病毒问题已经讲了很长一段时间了,大家对于ARP病毒的防制也总结了不少的经验,不断在网上发更新防制方法。但是新的ARP病毒的变种更加猖獗,更加充斥我们网络的不同角落给我们的管理工作带来不大不小的问题,同时也影响到网络的正常运行,所以对ARP病毒的防护仍然是一个热点问题。

  近日,又听到有许多网管抱怨传统的绑定方法有时候不能做到防制或者不能根本解决问题,例举一些在日常处理中经常会出现的问题:

  1、仅在PC上绑定安全网关的IP和MAC地址或者做一个批处理文件来进行绑定,当病毒机器伪造IP/MAC,使错误的数据包充斥与网络中会造成大面积的掉线等情况。

  2、仅在路由器做MAC绑定,没有从根本上解决ARP防护,当中ARP病毒的机器伪造网关使其他电脑将数据发到伪造的网关同样会造成掉线等相关问题。

  3、利用一些辅助工具软件,比如一些防ARP病毒攻击软件,或者在PC机安装系统是安装IP/MAC绑定软件等,但现在还没有一款很实用的防ARP攻击软件可以做到有效的防制功能,再就是有些软件占用系统资源比较大,如果有攻击的话会大量占用CPU使用率以及内存等同样造成网络的不可用等问题。

  4、使用监控软件,但是ARP病毒的发作不是说有规律可寻找的,网络管不可能时时都去注意这样的问题。

  5、某些软件通过做几个假的DLL文件欺骗探测软件,但是某些ARP新的变种病毒不需要探测就可以进行ARP攻击。

  6、在客户绑定过程中出现输入的错误等操作上的不足。

  以上几个常用的方法其起到的作用是有限的,但是都会存在这样或者那样的弊端,我们必须寻求更好的解决办法,下面我们来介绍几招新的升级版的防治办法,这些都是Qno侠诺工程师们长期服务在一线工作中所积累宝贵经验。

  解决客户实例

  对于合肥有一家网吧有做了ARP绑定,亦无法抵挡ARP攻击, Qno侠诺工程师联系到客户并查看他的电脑,看到的批处理如下,并且PC 端通过Arp –a命令来确认并没有绑定。原因在与其echo后面的中文的叙述没有用“ ”来做标示,造成其批处理文件无法执行,其用户本机上根本没做相应的绑定工作,如图1。

@echo OFF
ping XXX.XXX.XXX.XXX(保证客户网络安全,其IP地址数字用X代替)
if %~n0==arp exit
if %~n0==Arp exit
if %~n0==ARP exit
echo 正在获取本机信息.....
:IP
FOR /f "skip=13 tokens=15 usebackq " %%i in (`ipconfig /all`) do Set IP=
%%i && GOTO MAC
:MAC
echo IP:%IP%
FOR /f "skip=13 tokens=12 usebackq " %%i in (`ipconfig /all`) do Set
MAC=%%i && GOTO GateIP
:GateIP
echo MAC:%MAC%
arp -s %IP% %MAC%
echo 正在获取网关信息.....
FOR /f "skip=17 tokens=13 usebackq " %%i in (`ipconfig /all`) do Set
GateIP=%%i && GOTO GateMac
:GateMac
echo IP:%GateIP%
FOR /f "skip=3 tokens=2 usebackq " %%i in (`arp -a %GateIP%`) do Set
GateMAC=%%i && GOTO Start
:Start
echo MAC:%GateMAC%
arp -d
arp -s %GateIP% %GateMAC%
echo 操作完成!!!
exit

图1

  Qno侠诺工程师通过对批处理文件做相应的修改,再检查路由器上的绑定,之后这个网吧就没有发现掉线问题了,至今网络运行正常,所以可看出通过双向绑定是完全可以解决ARP病毒防制的,确实是一个行之有效的办法,完全可以解决ARP病毒造成网络吊线、IP冲突的现象,使ARP病毒无能为力。同时建议用户在做双向绑定后,通过Arp –a的命令检查绑定是否有效,和路由器上的绑定是否有错误,这样来进一步确保防制ARP病毒的攻击,下面强调防制几个注意的问题。

  1、执行完之后要用 arp -a 看 type 是 static 还是 dynamic。

  2、不要用复杂的脚本,最简单的即可防止别人中了,自己不受影响,一般网吧都有还原卡,网管可以用软件监察,发现有中了ARP,提醒一下客人以防盗取帐号密码。

  3、目前防毒软件也没有对此有很好的防范。

  4、ARP称之为病毒,但实质上对于ARP协议来说,只是完善和加强(就好象信用卡在中国需要加密码,在外国只需要签名一样,但不是信用机制出了问题)。

  5、不要指望能过广播发包,最终受影响的是自己的网络。

  具体的ARP的解决方法

  Qno侠诺工程师一般会提前做好防制工作,同时需要在客户端和路由器上做双向的绑定工作,这样的话无论ARP病毒是伪造本机的IP/MAC或者网关的地址都不会出现上网掉线或者大面积断线等问题了

  1、激活防止ARP病毒攻击:

  进入Qno侠诺路由器Web管理页面的“防火墙配置”的“基本页面”,激活“防止ARP病毒攻击”。

  2、对每台pc上绑定网关的IP和其MAC地址

  进入电脑的Dos操作,通过arp –s令或者批处理来实现pc的绑定工作(命令格式:arp –s [路由器IP地址] [路由器MAC地址])。

  或者针对网络内的其他主机用同样的方法输入相应的主机IP以及MAC地址完成IP与MAC绑定。但是此动作,如果重启了电脑,作用就会消失,所以可以把此命令做成一个批处理文件,放在操作系统的启动里面:

@echo off
arp -d
arp -s路由器LAN IP 路由器LAN MAC

  当电脑上做绑定之后,就不会收到ARP欺骗攻击,向伪造的网关的 IP/MAC发送消息。

  对于已经中了ARP攻击的内网,要找到攻击源。方法:在PC上不了网或者ping丢包的时候,在DOS下打 arp –a命令,看显示的网关的MAC地址是否和路由器真实的MAC相同。如果不是,则查找这个MAC地址所对应的PC,这台PC就是攻击源。

  3、在路由器端绑定用户IP/MAC地址

  Qno侠诺路由器提供IP/MAC绑定功能,你可以将内网的电脑的IP与对应的MAC地址绑定在一起,使路由器对没有绑定的IP/MAC将其封锁,当内网有ARP欺骗攻击的时候,其伪造IP/MAC向路由器发送消息,这时候由于伪造的IP/MAC并不在路由器的IP/MAC绑定列表里面,路由器会拒绝这类消息,将其挡掉。

  4、进一步的防制

  Qno侠诺技术工程师建议通过一些手段来进一步控制ARP的攻击。

  (1)病毒源,对病毒源头的机器进行处理,杀毒或重新装系统。

  (2)网吧管理员检查局域网病毒,安装杀毒软件。

  (3)给系统安装补丁程序。

  (4)给系统管理员帐户设置足够复杂的强密码。

  (5)经常更新杀毒软件,安装并使用网络防火墙软件。

  (6)关闭一些不需要的服务,条件允许的可关闭一些没有必要的共享,也包括C$、D$等管理共享。完全单机的用户也可直接关闭Server服务
 
  (7)建议用户不要随便点击打开QQ、MSN等聊天工具上发来的链接信息,以免病毒的传播。

  总结:

  我们通过以上综合的方法来解决ARP病毒攻击是行之有效的。虽然ARP病毒版本不断更新、不断升级,给企业用户及网吧不断带来新的冲击与危害,但是如果能够提前能够提前做好防制工作,相信ARP的危害会减少到最小的程度。
  若遇到相关的或者其它技术上的问题,您可以随时登录www.qno.cn网站,我们的专业工程师有设有专业路由技术论坛,在那里您将得到更详细、更专业的解答与帮助。

猖獗不衰 ARP病毒该如何防治?相关推荐

  1. ARP病毒的分析与防治

    ARP病毒的分析与防治 版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 .作者信息和本声明.否则将追究法律责任.http://caihong.blog.51cto.com/2 ...

  2. 浅谈如何防治ARP病毒

    浅谈如何防治ARP病毒 近期,现一种新的"ARP欺骗"木马病毒在互联网上迅速扩散.主要表现为用户频繁断网.IE浏览器频繁出错以及一些常用软件出现故障等问题.Arp病毒在局域网中感染 ...

  3. 浅谈ARP病毒的清除与预防

    (一) ARP病毒的预防  1.  内网IP绑定<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:of ...

  4. ARP病毒查找与防范

    当今,随着网络的快速发展,网络的安全也显得尤为重要,那我们怎么才能有效地防范各种病毒呢?如下我们给大家介绍一些ARP病毒查找与防范的相关内容.   一.首先诊断是否为ARP病毒*** 1.当发现上网明 ...

  5. linux 服务器 iptables 防止arp病毒,Linux下防御ARP病毒攻击

    Linux下防御ARP病毒攻击的类似文章网络上太多了,但效果各有千秋,这里写下我自己的心得. 方法一: 此法比较简单,简言之就是绑定网关的IP和MAC,命令如下: $ sudo arp -s 192. ...

  6. 怎么查找那台电脑中了ARP病毒

    工具/材料: 腾讯电脑管家 ARP病毒想必大家都听说过,这种病毒一般是会在局域网内进行传播的,一旦局域网内有一台电脑中了这种ARP病毒,那么就会自动向外发送ARP欺骗攻击,导致局域网内的其他人的电脑都 ...

  7. 如何检测ARP病毒,arp病毒怎么解决?

    1 2 3 4 5 6 7 分步阅读 严格来说ARP病毒并不是病毒,是一种利用arp协议漏洞进行传播病毒的总称,目前在局域网中较为常见,可以监听局域网中未加密的信息,而目前企业局域网数据加密传输的非常 ...

  8. 服务器上运行arp,服务器ARP病毒的特征及防护说明

    服务器ARP病毒的特征及防护说明 更新时间:2008年01月29日 15:50:33   作者: 服务器ARP病毒的特征及防护说明 近期有些用户反映服务器上所有网站被插入了病毒代码,但是这些病毒代码 ...

  9. arp病毒利用的Javascript技术

    本文的目的是探讨JS相关技术,并不是以杀毒为主要目的,杀毒只是为讲解一些JS做铺垫的,呵呵,文章有点长,倒杯咖啡或者清茶慢慢看,学习切勿急躁! 最近公司的网络中了这两天闹的很欢的ARP病毒,导致大家都 ...

最新文章

  1. 洛谷P2672 推销员
  2. 使用openssl给web站点颁发证书
  3. 博弈论笔记:逆向选择与非对称信息
  4. html 鼠标移动3d视图,HTML5 鼠标悬停3D平面摇晃动效
  5. 活久见!月薪30k的小程序全栈开发到底有多难?
  6. java存储过程示例_安全密码存储–请勿做的事和Java示例
  7. 解决爬虫中文乱码问题
  8. 巴川数据科学炼成记_【脑王直通车】小小记忆高手炼成记
  9. Django_xamin注册model错误
  10. stata基于cox回归制作临床决策曲线
  11. juniper防火墙基于路由的IPsec ***配置
  12. 戴尔计算机管理界面在哪里,戴尔 win10系统控制面板如何打开?
  13. Java中易混淆问题总结
  14. 上位机使用C++通过ADS协议与倍福PLC通信例程-布尔变量的读取
  15. (修改完善)SpringBoot+Mybatis-Plus使用webSocket实现一对一聊天
  16. win11修改mac地址的方法
  17. NS3仿真之LTE数据分析RSRP,SINR,吞吐量
  18. MiKTeX + Texmaker ← 推荐的 LaTeX 学习环境
  19. mysql的sqlyog学习笔记(高级查询部分)(代码用命令行显示 )
  20. dedecms自定义表单 发送邮件

热门文章

  1. 【原创】ES5高效封装WIN10系统教程2020系列(三)母盘安装及系统调整
  2. 简述:http 和 https 有什么区别?为什么有很多网站还在使用 http 呢?
  3. 【王喆-推荐系统】线上服务篇-(task1)线上高并发的推荐服务
  4. centos 挂载移动硬盘
  5. 英语自我介绍,保研面试可能要用
  6. 支持中文的BASE64编码代码
  7. 台风怎么看内存颗粒_《CY》三星官网都没有的颗粒?三星T-DIE全网首测!
  8. Base64转Binary
  9. 如何从符号快速认清三极管和MOS管类型
  10. c#常见的正则表达式