如何清除局域网中的ARP病毒

ywr102

遇上arp  汗。

365222664

  谢谢  多谢 指教!!

alan730

:sleepy:

zzhata

ddddddddddddddddddddddddddd

deathmaskrui

怎么清除怎么清除

doomsday

我看看你的回答吧

xuqiang1991

恩。。。这个很有兴趣。。。看下。。

xuqiang1991

arp攻击是由于TCP/IP协议的漏洞。。。所以无法彻底修补。
找arp攻击源，手动查找虽然精确度较高，但是比较麻烦，在讲求效率的情况下，还是使用抓包软件进行分析，然后使用sniffer、彩影防火墙查看哪个MAC的网卡处于混杂模式。找到攻击源主机后应立即断开网络，继续监测网络情况，看看是否有大量的非正常arp包（一般是IP地址枚举，有些比较恶心的病毒会在网段内取随机IP来生成arp包广播）在流通。同时，在已经找到的攻击源主机上做杀毒处理。根据本人少得可怜的经验来判断，arp病毒一般不会单独中奖。首先怀疑该主机上是否正在或曾经运行网管软件例如网络剪刀手、长角牛网络监控机（原名网络执法官）、p2p终结者、聚生网管等软件。这些软件在技术上不断革新，使用了arp广播网关欺骗、arp泛洪、IP地址冲突、DNS欺骗等手段进行攻击，有时候是多种手段一起使用，对网络安全危害较大，应该尽量杜绝，除非用在必要的时候。。。。（其中长角牛网络监控机攻击效率较大，聚生网管和p2p终结者的功能较强悍）。排除是这些软件的原因，就是病毒了。前面说过，arp病毒单独中奖的概率不大，一般是木马下载器、反弹式木马、捆绑型木马和arp病毒一起中的。如果杀毒软件查出来有很多病毒和木马的情况下，估计就是这种情况了，2009年曾经第一次碰到过这样一起案例，当时是磁碟机、AV终结者风行的时候。。。。整个学校高中部网络都瘫痪。。。。经过查找发现是校长办公室的主机大量发送非正常arp包，断网后学校网络恢复正常。（由于是中学，网络规模不大，用的三层交换。）像这种情况。。。做一下重要数据备份。。。然后果断重装。。。要手动修复这个系统很麻烦。。。如果使用杀毒软件没有查杀到病毒，那可以使用icesword查看非正常的进程和消息钩子来判定（这个有点难度。。。），找到pid号，强制结束进程。找到进程和pe文件关联，删除文件即可。

xuqiang1991

补充一个。。。使用sniffer等软件的时候。。。由于需要接收所有的数据包。。因此网卡会被设置为混杂模式。。。也就是说，当你使用sniffer的软件的时候，你自己的网卡也是处于混杂模式的。。。不排除处于混杂模式的网卡不一定是攻击源，可能处在sniffer状态。。。

feigol