局域网受ARP变种病毒攻击后瞬间掉线的解决方法.doc

局域网受ARP变种病毒攻击后瞬间掉线的解决方法
前言:2006年算是ARP和LOGO1病毒对局域网的危害最大,在前期我们一般采用双向梆定的方法即可解决
但是ARP变种出现日期大概在10月份底,大家也许还在为网关掉线还以为是电信的问题还烦恼吧,其实不然变种过程ARP病毒-变种OK病毒-
现在的这个ARP变种病毒更是厉害,我把自己遇到过的情况说给大家听听,如果大家有这些情况,不好意思"恭喜你"
你中大奖了,呵呵~~
先了解ARP变种病毒的特性吧:
一:破坏你的ARP双向绑定批出理
二:中毒机器改变成代理服务器又叫代理路由
三:改变路由的网关MAC地址和internat网关的MAC地址一样
病毒发作情况:现在的ARP变种不是攻击客户机的MAC地址攻击路由内网网关,改变了它的原理,这点实在佩服
直接攻击您的路由的什么地址你知道吗?哈哈~~猜猜吧~~不卖关了~~新的变种ARP直接攻击您路由的MAC地址和外网网关
而且直接就把绑定IP与MAC的批处理文件禁用了。一会儿全掉线,一会儿是几台几台的掉线。而且
中了ARP的电脑会把那台电脑转变成内网的代理服务器进行盗号和发动攻击。如果大家发现中了ARP没有掉线,那说明你
中了最新的变种,你只要重启了那台中了ARP病毒的电脑,那么受到ARP攻击的机子就会全部掉线
内网的网关不掉包,而外网的IP和DNS狂掉,这点也是ARP变种的出现的情况,请大家留意。
我在最后会公布解决的案例和相关补丁,请大家看完全文可能对你有帮助哦,不要急着下~呵呵~
该病毒发作时候的特征为,中毒的机器会伪造某台电脑的MAC地址,如该伪造地址为网关服务器的地址,那么对整个网吧均会造成影响,用户表现为上网经常瞬断。
一、在任意客户机上进入命令提示符(或MS-DOS方式),用arp -a命令查看:
C:WINNTsystem32>arp -a
Interface: on Interface 0x1000003
Address Physical Address Type
00-50-da-8a-62-2c dynamic
00-11-2f-43-81-8b dynamic
00-50-da-8a-62-2c dynamic
00-05-5d-ff-a8-87 dynamic
00-50-ba-fa-59-fe dynamic
可以看到有两个机器的MAC地址相同,那么实际检查结果为 00-50-da-8a-62-,-02-ba-0b-04-32,,。
二、(或MS-DOS方式),用arp -a命令查看:
C:WINNTsystem32>arp -a