求助:ARP病毒肆虐,却束手无策
求助各位高手:
我们单位现在内网ARP病毒肆虐,目前的解决办法是安装彩影ARP防火墙,但是治标不治本,并且不定时提示有来自内部或者外部的ARP进攻,而且这个木马在ARP防火墙上显示出来的IP地址和MAC地址都是伪装了的,无法找到攻击源。我电脑也被感染,但是使用各种杀毒软件都无效,查不出病毒,卡巴斯基,金山毒霸,金山急救箱,金山顽固木马专杀,360急救箱都用过,无效,在CSDN下载了一个趋势科技的ARP木马专杀,但每次都查出有一个,每次都说杀了,但是下次查还有,在安全模式下也是一样。
于是没法子,我把资料全部转移到另一个硬盘,重新格式化整个机器,再把资料拷回来,发现问题依旧,估计是传文件的时候病毒也传播了。
在网上找了很久,也没有发现特别有效的办法,这个病毒出来好几年了,怎么到现在也没有很好的解决办法呢?有没有可靠的专杀软件呢?如果有可靠的专杀,那么在杀完自己的电脑之后,如何彻底根除局域网内的ARP病毒呢?
求助各位大虾!非常感谢!
------解决方案--------------------
绑定MAC 和IP 网关
--------------------
@echo off
arp -d
if exist ipconfig.txt del ipconfig.txt
ipconfig /all >ipconfig.txt
if exist phyaddr.txt del phyaddr.txt
find "Physical Address" ipconfig.txt >phyaddr.txt
for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M
;:::::::::读取本机ip地址
if exist IPAddr.txt del IPaddr.txt
find "IP Address" ipconfig.txt >IPAddr.txt
for /f "skip=2 tokens=15" %%I in (IPAddr.txt) do set IP=%%I
;:::::::::绑定本机IP地址和MAC地址
arp -s %IP% %Mac%
;:::::::::读取网关地址
if exist GateIP.txt del GateIP.txt
find "Default Gateway" ipconfig.txt >GateIP.txt
for /f "skip=2 tokens=13" %%G in (GateIP.txt) do set GateIP=%%G
ping %GateIP% /n 1 >nul
;:::::::::读取网关Mac地址
if exist GateMac.txt del GateMac.txt
arp -a %GateIP% >GateMac.txt
for /f "skip=3 tokens=2" %%H in (GateMac.txt) do set GateMac=%%H
;:::::::::绑定网关Mac和IP
arp -s %GateIP% %GateMac%
;:::::::::删除临时文件和变量
del ipconfig.txt
del phyaddr.txt
del IPAddr.txt
del GateIP.txt
del GateMac.txt
set Mac=
set IP=
set GateIP=
set GateMac=
--------------------------------------------------
把分割线上面的内容保存为.bat文件 放到开机启动项里面 客户机就能实现绑定 但是还要到路由器里面把每台客户机的MAC和IP绑定
------解决方案--------------------
分两步解决:
1.路由器放arp工具,具体的操作是设定“ARP防护生效”和“ARP主动防御生效”(前提是你的路由器支),实在不行就进行IP和MAC绑定;
2.查找中了ARP病毒的电脑,具体操作是排除法,然后在中毒电脑上使用如下专杀:鬼影专杀工具、 顽固木马专杀工具
3.安装360安全卫士,开启“arp防火墙”
------解决方案--------------------这种问题的确很头疼,相对彻底且安全的方法也是大家提到的要找到根源,建议断网排查,排查后的机器重新接入网络。虽然很浪费时间,但目前似乎木有更好的办法了。
------解决方案--------------------1:用抓包工具可以快速定位发出ARP包的源地址,多个源地址对应不同目标地址,可能性就比较大了。
2:如果网络设备是思科或者H3C的可以启用硬件设备上的防arp功能。思科里叫DAI功能。让他检查源地址,mac是否对应。
------解决方案--------------------如果电脑太多,最好划分多个VLAN进行管理,这样可以限制ARP病毒攻击的范围,也容易定位,
会省很多心。
------解决方案--------------------看你的网络规模了,是在严重得不行了就采用断网隔离,然后排除