SiS001! Board - [第一会所关闭注册]

标题: [求助] 局域网arp病毒怎样根治呢 [打印本页]

作者: hswtj 时间: 2014-7-10 15:16 标题: 局域网arp病毒怎样根治呢

公司的局域网arp病毒越来越严重了，安装360等杀毒软件的防火墙也起不到很好的作用，这种病毒就不能彻底查杀吗？那位大虾有好的方法

作者: nutnut 时间: 2014-7-10 15:23

建议在空闲时间把网络完全断开，逐台计算机的杀毒，之后再联网

作者: zuo.qigang 时间: 2014-7-10 16:08

最常用的方法就是做IP和MAC静态绑定，在网内把主机和网关都做IP和MAC绑定。
  欺骗是通过ARP的动态实时的规则欺骗内网机器，所以我们把ARP全部设置为静态可以解决对内网PC的欺骗，同时在网关也要进行IP和MAC的静态绑定，这样双向绑定才比较保险。
  方法：
  对每台主机进行IP和MAC地址静态绑定。
  通过命令，arp -s可以实现 “arp –s IP MAC地址 ”。
  例如：“arp –s 192.168.10.1 AA-AA-AA-AA-AA-AA”。
  如果设置成功会在PC上面通过执行 arp -a 可以看到相关的提示：
  Internet Address Physical Address Type
  192.168.10.1 AA-AA-AA-AA-AA-AA static(静态)
  一般不绑定,在动态的情况下：
  Internet Address Physical Address Type
  192.168.10.1 AA-AA-AA-AA-AA-AA dynamic(动态)
  说明：对于网络中有很多主机，500台，1000台...，如果我们这样每一台都去做静态绑定，工作量是非常大的。。。。，这种静态绑定，在电脑每次重起后，都必须重新在绑定，虽然也可以做一个批处理文件，但是还是比较麻烦的！

作者: 随心· 时间: 2014-7-10 18:44

我现在用的就是360的 ARP防火墙不成的话就把电脑IP隐身

作者: j2008c 时间: 2014-7-10 21:10

可以下载最新版本的360安全卫士，开启ARP病毒防护，记得局域网内每台电脑都要安装，全部查杀一次。要知道ARP很容易交叉感染的

作者: bx333bx333 时间: 2014-7-11 00:01

简单点，一天清理一次ARP，就是劳神点，复杂点就是物理地址绑定，最好的办法是通过域控制器，

作者: bafulin 时间: 2014-7-11 15:20

首先清空arp缓存然后建立ip和mac绑定这是一个有效的解决方法
然后就是你自己下载一个arp攻击检测软件随时检测局域网的状况只能是这样了

作者: zghmuse 时间: 2014-7-11 15:22

都装防火墙。应能解决。

作者: xiaohongli 时间: 2014-7-11 17:11

ip绑定mac地址那是必须的，除了防止ARP攻击外，还能避免许多问题。
不知道楼主公司实际的网络情况以及机器如何部署，不管怎么样，安装专杀工具断网查杀恐怕是必须的，杀毒完后部署防火墙。还应强制每台机器安装杀毒软件，安全卫士。

作者: 75119565 时间: 2014-7-11 19:10

arp不是病毒是，是有人在用一种借用网速的东西啊。好像叫超级IP还是什么的，他们无限制的在arp，解析协议。所以你的360才会报警啊。通过mac可以找到那台电脑的ip，知道ip就可以查到哪台电脑了，到那台电脑上关掉就可以了。

[ 本帖最后由 75119565 于 2014-7-11 19:11 编辑 ]

作者: e_o 时间: 2014-7-11 20:13

楼主好，你可以下载一下360最新版本的安全卫士，还有要装防火墙吧一般可以解决的，要不将ip隐身吧，这样中毒也就不容易了！

作者: wzq8684410 时间: 2014-7-12 00:20

所有分机断网。查杀或从做。然后在联网。

作者: gba159357 时间: 2014-7-12 02:31

使用“Anti Arp Sniffer”查找感染毒电脑时，启动该程序，随后在右侧的“网关地址”项中输入该局域网内的网关IP，随后单击“枚取MAC”这是该出现会自动获取到网关电脑网卡的MAC地址(见图1)。MAC获取后单击“自动保护”按钮，这样“Anti Arp Sniffer”便开始监视通过该网关上网的所有电脑了。片刻功夫，看到系统的任务栏中的“Anti Arp Sniffer”图标上弹出一个“ARP欺骗数据包”提示信息这就说明该软件已经侦测到ARP病毒。于是打开“Anti Arp Sniffer”程序的主窗口，在程序的“欺骗数据详细记录”列表中看到一条信息(见图3)，这就是“Anti Arp Sniffer”程序捕获的ARP病毒信息。其中“网关IP地址”和“网关MAC地址”两项中是网关电脑的的真实地址，后面的欺骗机MAC地址就是中ARP病毒的MAC地址。ARP病毒将该局域网的网关指向了这个IP地址，导致其他电脑无法上网。二、获取欺骗机IP “Anti Arp Sniffer”虽然能拦截ARP病毒，但是不能有效的根除病毒。要想清除病毒,决定还要找到感染ARP病毒的电脑才行。通过“Anti Arp Sniffer”程序已经获取了欺骗机的MAC，这样只要找到该MAC对应的IP地址即可。获取IP地址，请来了网管工具“网络执法官”，运行该出现后，在“指定监控范围”中输入单位局域网IP地址段，随后单击“添加/修改”按钮，这样刚刚添加的IP地址段将被添加到下面的IP列表中。如果局域网内有多段IP，还可以进行多次添加。添加后，单击“确定”按钮，进入到程序主界面。

作者: xhzxjja 时间: 2014-7-13 13:14

先查查谁用了网络控制软件吧，在逐台机器查杀吧，最好先全部关机，再一台机器查杀

作者: iokpower80 时间: 2014-7-14 16:27

所有电脑逐一安装ARP防火墙和有效的防毒软件就可以了,布署的过程中就能发现问题,十有八九是有电脑中毒了,
如果电脑比较多,假如有可能申请足够的预算,可将局域网划分成若干VLAN,并且IP MAC地址绑定,可有效预防网络瘫痪,但个别VLAN出现问题不可必免,只是影响范围变小了.
实际是,确保每台电脑安装有效杀毒软件,严格管控用户软件安装权限,上网权限就能解决问题!只是现实中很难做到!

作者: haowan11 时间: 2014-7-14 21:29

这种病毒不可怕，反正就是攻击局域网，有时会让电脑掉线而已。防火墙开着没事的。

作者: sun61599536 时间: 2014-7-15 05:54

ARP攻击没有特别好的办法，最快捷有效地，就是每台机子上装上360吧

作者: hm519902 时间: 2014-7-17 01:27

瑞星，360防火墙都可以拦截，看告警日志，从里面可以找出ip地址，剩下的就简单了。

作者: heerlang 时间: 2014-7-17 23:47

也不见得一定就是病毒，如果是防火墙提示的ARP攻击，也可能是有人在用P2P终结者在限制速度。

作者: bsstan1982 时间: 2014-7-19 13:39

arp攻击不一定是病毒，你们公司是不是用了多级路由器结构？如果路由器达到3层就容易出现arp攻击，最好办法就是把下级路由hdcp关闭，手动分配ip地址

作者: yehansishui 时间: 2014-7-23 15:51

亲，有一种设置叫arp绑定。电脑提示arp攻击一般是电脑上装了360，而且开启了防护所以才会提示有攻击，内网自动获取ip难免会有arp攻击。不理它就没事了。

作者: moyou000 时间: 2014-7-23 18:37

公司的网络大部分交换机都是用的思科和华为的把，如果是的话可以在交换机里绑定mac地址，这样就可以彻底搞定了！因为绑定后只允许你绑定的mac地址才能通过端口，发起arp攻击的mac地址是不能通过的，一劳永逸

作者: xinqingxinqing4 时间: 2014-7-23 19:01

必须要用防止ARP攻击的软件普通的防火墙没用

作者: zzcommon 时间: 2014-7-23 22:45

最简单的办法就是更换带端口隔离的交换机，划分好vlan，即不影响打印还更安全

作者: my_w1016 时间: 2014-7-23 23:59

1、在接入交换机进行IP和MAC地址绑定，必要的情况下看网络环境支持的话，做端口绑定，一个端口一个MAC
2、做接入认证，比如802.1X，portal页面认证也行，公司没人一个账号，
3、所有电脑IP地址和MAC地址和端口做登记，出问题了，直接找到相应的端口，shutdown端口，让自己杀毒

作者: kmn138 时间: 2014-7-24 10:01

逐台电脑查杀，然后全网装网络杀毒软件，下次进行网控全杀

作者: q8990868 时间: 2014-7-25 21:45

是有人用了限速软件了吧？是不是一直提示ARP攻击？用聚生网管吧，秒杀一切P2P限制软件

欢迎光临 SiS001! Board - [第一会所关闭注册] (http://45.13.93.84/bbs/)