<form id="hz9zz"></form>
    • <form id="hz9zz"></form>
    

      

      <nobr id="hz9zz"></nobr>
      <form id="hz9zz"></form>
      3.   
          
      明輝手游網中心:是一個免費提供流行視頻軟件教程、在線學習分享的學習平臺!
                   
        
                           
        
                        		  
        
                 
              
                
      ARP病毒處理方法
                
                  發表時間:2023-07-16             來源:明輝站整理相關軟件相關文章人氣:          
              
      [摘要]ARP病毒病毒發作時候的特征為, 中毒的機器會偽造某臺電腦的MAC地址, 如該偽造地址為網關服務器的地址, 那么對整個網絡均會造成影響, 用戶表現為上網經常瞬斷。  例子中的IP地址均為假設, 正確...
      ARP病毒病毒發作時候的特征為, 中毒的機器會偽造某臺電腦的MAC地址, 如該偽造地址為網關服務器的地址, 那么對整個網絡均會造成影響, 用戶表現為上網經常瞬斷。  
      例子中的IP地址均為假設, 正確的IP請查詢或加入群13770791
      一、在任意客戶機上進入命令提示符(或MS-DOS方式), 用arp –a命令查看:
      
			
				
      
					
						
      C:WINNTsystem32>arp -a
      
						
      Interface: 192.168.100.93 on Interface 0x1000003
      
						
      Internet Address Physical Address Type
      
						
      192.168.100.1 00-50-da-8a-62-2c dynamic
      
						
      192.168.100.23 00-11-2f-43-81-8b dynamic
      
						
      192.168.100.24 00-50-da-8a-62-2c dynamic
      
						
      192.168.100.25 00-05-5d-ff-a8-87 dynamic
      
						
      192.168.100.200 00-50-ba-fa-59-fe dynamic
      
					      		
				
      
			
      可以看到有兩個機器的MAC地址相同, 那么實際檢查結果為 00-50-da-8a-62-2c為192.168.0.24的MAC地址, 192.168.100.1的實際MAC地址為00-02-ba-0b-04-32, 我們可以判定192.168.100.24實際上為有病毒的機器, 它偽造了192.168.100.1的MAC地址。  
      二、在192.168.100.24上進入命令提示符(或MS-DOS方式), 用arp –a命令查看:
      
			
				
      
					
						
      C:WINNTsystem32>arp -a
      
						
      Interface: 192.168.100.24 on Interface 0x1000003
      
						
      Internet Address Physical Address Type
      
						
      192.168.100.1 00-02-ba-0b-04-32 dynamic
      
						
      192.168.100.23 00-11-2f-43-81-8b dynamic
      
						
      192.168.100.25 00-05-5d-ff-a8-87 dynamic
      
						
      192.168.100.193 00-11-2f-b2-9d-17 dynamic
      
						
      192.168.100.200 00-50-ba-fa-59-fe dynamic
      
					      		
				
      
			
      可以看到帶病毒的機器上顯示的MAC地址是正確的, 而且該機運行速度緩慢, 應該為所有流量在二層通過該機進行轉發而導致, 該機重啟后所有電腦都不能上網, 只有等arp刷新MAC地址后才正常, 一般在2、3分鐘左右。  
      三、如果主機可以進入dos窗口, 用arp –a命令可以看到類似下面的現象:
      
			
				
      
					
						
      C:WINNTsystem32>arp -a
      
						
      Interface: 192.168.100.1 on Interface 0x1000004
      
						
      Internet Address Physical Address Type
      
						
      192.168.100.23 00-50-da-8a-62-2c dynamic
      
						
      192.168.100.24 00-50-da-8a-62-2c dynamic
      
						
      192.168.100.25 00-50-da-8a-62-2c dynamic
      
						
      192.168.100.193 00-50-da-8a-62-2c dynamic
      
						
      192.168.100.200 00-50-da-8a-62-2c dynamic
      
					      		
				
      
			
      該病毒不發作的時候, 在代理服務器上看到的地址情況如下:
      
			
				
      
					
						
      C:WINNTsystem32>arp -a
      
						
      Interface: 192.168.100.1 on Interface 0x1000004
      
						
      Internet Address Physical Address Type
      
						
      192.168.0.23 00-11-2f-43-81-8b dynamic
      
						
      192.168.100.24 00-50-da-8a-62-2c dynamic
      
						
      192.168.100.25 00-05-5d-ff-a8-87 dynamic
      
						
      192.168.100.193 00-11-2f-b2-9d-17 dynamic
      
						
      192.168.100.200 00-50-ba-fa-59-fe dynamic 
      
					      		
				
      
			
      病毒發作的時候, 可以看到所有的ip地址的mac地址被修改為00-50-da-8a-62-2c, 正常的時候可以看到MAC地址均不會相同。  
      解決辦法:
      一、采用客戶機及網關服務器上進行靜態ARP綁定的辦法來解決。  
      1. 在所有的客戶端機器上做網關服務器的ARP靜態綁定。  
      首先在網關服務器(代理主機)的電腦上查看本機MAC地址
      
			
				
      
					
						
      C:WINNTsystem32>ipconfig /all
      
						
      Ethernet adapter 本地連接 2:
      
						
      Connection-specific DNS Suffix . :
      
						
      Description . . . . . . . . . . . : Intel(R) PRO/100B PCI Adapter (TX)
      
						
      Physical Address. . . . . . . . . : 00-02-ba-0b-04-32
      
						
      Dhcp Enabled. . . . . . . . . . . : No
      
						
      IP Address. . . . . . . . . . . . : 192.168.100.1
      
						
      Subnet Mask . . . . . . . . . . . : 255.255.255.0
      
					      		
				
      
			
      然后在客戶機器的DOS命令下做ARP的靜態綁定
      C:WINNTsystem32>arp –s 192.168.100.1 00-02-ba-0b-04-32
      注:如有條件, 建議在客戶機上做所有其他客戶機的IP和MAC地址綁定。  
      2. 在網關服務器(代理主機)的電腦上做客戶機器的ARP靜態綁定
      首先在所有的客戶端機器上查看IP和MAC地址, 命令如上。  
      然后在代理主機上做所有客戶端服務器的ARP靜態綁定。  如:
      
			
				
      
					
						
      C:winntsystem32> arp –s 192.168.0.23 00-11-2f-43-81-8b
      
						
      C:winntsystem32> arp –s 192.168.0.24 00-50-da-8a-62-2c
      
						
      C:winntsystem32> arp –s 192.168.0.25 00-05-5d-ff-a8-87
      
						
      。  。  。  。  。  。  。  。  。  
      
					      		
				
      
			
      3. 以上ARP的靜態綁定最后做成一個windows自啟動文件, 讓電腦一啟動就執行以上操作, 保證配置不丟失。  
      二、有條件的網吧可以在交換機內進行IP地址與MAC地址綁定
      三、IP和MAC進行綁定后, 更換網卡需要重新綁定, 因此建議在客戶機安裝殺毒軟件來解決此類問題:發現的病毒是變速齒輪2.04B中帶的, 病毒程序在 http://www.wgwang.com/list/3007.html 可下載到:
      1、KAV(卡巴斯基), 可殺除該病毒, 病毒命名為:TrojanDropper.Win32.Juntador.c殺毒信息:07.02.2005 10:48:00 C:Documents and SettingsAdministratorLocal SettingsTemporary Internet FilesContent.IE5B005Z0K9Gear_Setup[1].exe infected TrojanDropper.Win32.Juntador.c
      2、瑞星可殺除該病毒, 病毒命名為:TrojanDropper.Win32.Juntador.f
      3、另:別的地市報金山毒霸和瑞星命名:“密碼助手”木馬病毒(Win32.Troj.Mir2)或Win32.Troj.Zypsw.33952的病毒也有類似情況。  
      附:“密碼助手”病毒及TrojanDropper.Win32.Juntador.c 病毒介紹地址:
      http://db.kingsoft.com/c/2004/11/22/152800.shtml
      http://www.pestpatrol.com/pest_info/zh/t/trojandropper_win32_juntador_c.asp

      上面是電腦上網安全的一些基礎常識,學習了安全知識,幾乎可以讓你免費電腦中毒的煩擾。




              
              
                 
              
                                            
                              		       
                          
                           		  
        
                            
      
日韩精品一区二区三区高清