局域网ARP病毒快速诊断及解决方案.doc

局域网ARP病毒快速诊断及解决方案.doc局域网ARP病毒快速诊断及解决方案~教育资源库
最近ARP病毒极为猖獗,许多校园网及网吧因受到攻击而导致网络缓慢、时断时续或者彻底无法上网。笔者的单位近期也不幸遭遇到了ARP病毒攻击,刚开始经过反复检查网线,及网络状况,发现并无断线的情况,无奈之后上网查找资料才确定系ARP病毒捣鬼。
病毒故障现象及诊断
情况一:在局域网中当有用户木马程序通过ARP欺骗对网络进行攻击,中毒的计算机会根据该网络的设置,克隆一个服务器或者路由器的IP地址和MAC地址出来,以此来截获网内发往外网的数据,这是典型的ARP欺骗案例。在攻击的过程中,被攻击的电脑常表现为突然不能上网,过段时间又能上网,常会反复掉线。
情况二:在局域网中某台电脑感觉ARP病毒后,会在网络中不断地向其实计算机发送ARP欺骗,让原本流向网关的流量改道流向病毒主机,造成受害者上网网速变慢,经常出现掉线的情况。
情况三:在局域网当有ARP欺骗发生时,在IP地址设置正常的情况下,可能电脑会显示IP地址冲突。
如网络用户在使用计算机过程中,突然发现无法上网,可以先禁用网卡,然后再启用,如果启用之后能上网,就有可能是ARP病毒所致。
另外,也可以通过下如操作进行诊断:点击开始按钮->选择运行->输入arp -d->点击确定按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。
注:arp -d命令用于清除并重建本机arp表。arp -d命令并不能抵御ARP欺骗,执行后仍有可能再次遭受ARP攻击。

图1
故障解决办法
可以使用ARP -S命令捆绑IP地址和MAC地址,将网内所有客户端都按找这个方法做好捆绑,确保其的唯一性。
编写批处理文件如下:
echo OFF
if %~n0==arp exit
if %~n0==Arp exit
if %~n0==ARP exit
echo 正在获取本机信息.....
:IP
FOR /f skip=13 tokens=15 usebackq %%i in (`ipconfig /all`) do Set IP=%%i GOTO MAC
:MAC
echo IP:%IP%
FOR /f skip=13 tokens=12 usebackq %%i in (`ipconfig /all`) do Set MAC=%%i GOTO GateIP
:GateIP
echo MAC:%MAC%
arp -s %IP% %MAC%
echo 正在获取网关信息.....
FOR /f