日期:2014-05-17  浏览次数:21184 次

求助:ARP病毒的肆虐,却束手无策
求助各位高手:
  我们单位现在内网ARP病毒肆虐,目前的解决办法是安装彩影ARP防火墙,但是治标不治本,而且这个木马在ARP防火墙上显示出来的IP地址和MAC地址都是伪装了的,无法找到攻击源。我电脑也被感染,但是使用各种杀毒软件都无效,查不出病毒,卡巴斯基,金山毒霸,金山急救箱,金山顽固木马专杀,360急救箱都用过,无效,在CSDN下载了一个趋势科技的ARP木马专杀,但每次都查出有一个,每次都说杀了,但是下次查还有,在安全模式下也是一样。
  于是没法子,我把资料全部转移到另一个硬盘,重新格式化整个机器,再把资料拷回来,发现问题依旧,估计是传文件的时候病毒也传播了。
  在网上找了很久,也没有发现特别有效的办法,这个病毒出来好几年了,怎么到现在也没有很好的解决办法呢?有没有可靠的专杀软件呢?如果有可靠的专杀,那么在杀完自己的电脑之后,如何彻底根除局域网内的ARP病毒呢?
  求助各位大虾!非常感谢!

------解决方案--------------------
arp是攻击,病毒还在网络上的某台机子里,只是你的电脑被攻击了,你在命令提示符下使用arp -a命令,排斥了网关地址和你自己的地址,那就剩下的电脑里就有攻击的电脑,你要杀毒,需要断开网络,杀毒后把360里的arp防火墙开了,用排查法能找到那台电脑的
------解决方案--------------------
同志,ARP病毒是可以隐藏在局域网上任何一台电脑里面的,你动自己的电脑有什么用?
这ARP病毒还会伪装自己MAC,像是个不错的货色,那么可能还带有感染策略,说不定局域网里所有的电脑都被拷贝了病毒样本.
如果你的单位不大的话,采用静态ARP就可以解决这个问题.但如果电脑数量太多,那就只能由网管向所有电脑投放专杀了.
如果你的单位比较有钱,那采购一台带DHCP Snooping策略的交换机是最好的.此机一出,再无ARP.
------解决方案--------------------
楼上说的不错,再使用交换机端口隔离,可以将ARP限制在很小的范围内。一般具有DHCP SNOOPING功能的交换机,同时也具有端口隔离功能。
------解决方案--------------------
这个最好装个带HIPS主动防御强点的,之前学校时候也遇到过,那会装的NOD32防毒加科摩多带HIPS功能的防火墙,不过现在很多软件都自带了hips功能的,只是不是很强,装nod32 5.0或者科莫多组合试试。
------解决方案--------------------
你弄你的电脑是没用,局域网内的任何一个使用者,都可以进行ARP攻击,(最长用的类似于P2P终结者)一般这样的人只是希望自己的网速变快一点,如果要根本完全抑制,可以再你内网设备里面增加一个管控设备,(比如上网行为管理,流量管理这些都可以抑制,或者局域网管控软件)
------解决方案--------------------
此类情况遇到过,在局域网内病毒不能被清除的情况下,最有效的办法是将网关IP与网关MAC静态绑定,相关操作的详细信息请见http://blog.csdn.net/cashey1991/article/details/6982809
------解决方案--------------------
提醒一下 我解决的案例中有次arp是另一个路由引起的 2路由ip冲突 也会造成arp 攻击