雏鹰部落

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
楼主: Power

[讨论/求助] 如何清除局域网中的ARP病毒

    [复制链接]
发表于 2010-6-18 14:37:40 | 显示全部楼层
遇上arp  汗。
发表于 2010-7-7 13:12:09 | 显示全部楼层
  谢谢  多谢 指教!!
发表于 2010-7-23 12:03:37 | 显示全部楼层
:sleepy:
发表于 2010-7-30 15:08:54 | 显示全部楼层
ddddddddddddddddddddddddddd
发表于 2010-7-30 15:41:00 | 显示全部楼层
怎么清除怎么清除
发表于 2010-8-6 17:58:34 | 显示全部楼层
我看看你的回答吧
发表于 2010-8-6 21:35:12 | 显示全部楼层
恩。。。这个很有兴趣。。。看下。。
发表于 2010-8-6 21:57:42 | 显示全部楼层
arp攻击是由于TCP/IP协议的漏洞。。。所以无法彻底修补。
找arp攻击源,手动查找虽然精确度较高,但是比较麻烦,在讲求效率的情况下,还是使用抓包软件进行分析,然后使用sniffer、彩影防火墙查看哪个MAC的网卡处于混杂模式。找到攻击源主机后应立即断开网络,继续监测网络情况,看看是否有大量的非正常arp包(一般是IP地址枚举,有些比较恶心的病毒会在网段内取随机IP来生成arp包广播)在流通。同时,在已经找到的攻击源主机上做杀毒处理。根据本人少得可怜的经验来判断,arp病毒一般不会单独中奖。首先怀疑该主机上是否正在或曾经运行网管软件例如网络剪刀手、长角牛网络监控机(原名网络执法官)、p2p终结者、聚生网管等软件。这些软件在技术上不断革新,使用了arp广播网关欺骗、arp泛洪、IP地址冲突、DNS欺骗等手段进行攻击,有时候是多种手段一起使用,对网络安全危害较大,应该尽量杜绝,除非用在必要的时候。。。。(其中长角牛网络监控机攻击效率较大,聚生网管和p2p终结者的功能较强悍)。排除是这些软件的原因,就是病毒了。前面说过,arp病毒单独中奖的概率不大,一般是木马下载器、反弹式木马、捆绑型木马和arp病毒一起中的。如果杀毒软件查出来有很多病毒和木马的情况下,估计就是这种情况了,2009年曾经第一次碰到过这样一起案例,当时是磁碟机、AV终结者风行的时候。。。。整个学校高中部网络都瘫痪。。。。经过查找发现是校长办公室的主机大量发送非正常arp包,断网后学校网络恢复正常。(由于是中学,网络规模不大,用的三层交换。)像这种情况。。。做一下重要数据备份。。。然后果断重装。。。要手动修复这个系统很麻烦。。。如果使用杀毒软件没有查杀到病毒,那可以使用icesword查看非正常的进程和消息钩子来判定(这个有点难度。。。),找到pid号,强制结束进程。找到进程和pe文件关联,删除文件即可。
发表于 2010-8-6 22:00:15 | 显示全部楼层
补充一个。。。使用sniffer等软件的时候。。。由于需要接收所有的数据包。。因此网卡会被设置为混杂模式。。。也就是说,当你使用sniffer的软件的时候,你自己的网卡也是处于混杂模式的。。。不排除处于混杂模式的网卡不一定是攻击源,可能处在sniffer状态。。。
发表于 2010-8-9 14:40:43 | 显示全部楼层
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|熊猫同学技术论坛|小黑屋| 网络工程师论坛 ( 沪ICP备09076391 )

GMT+8, 2024-12-23 18:25 , Processed in 0.073422 second(s), 14 queries , Gzip On.

快速回复 返回顶部 返回列表