一、ARP病毒的表现形式:
1、 通过网段部分甚至所有电脑都不能上网;
2、 打开网页出现乱码;
3、 打开网页提示有病毒;
二、拓扑图:
三、ARP病毒的查找方法:
如果网络里出现上叙故障现状,很有可能是有电脑中ARP病毒。具体查杀办法如下:
1、 先确定故障网段的VLAN 、网关和IP地址等信息;
2、 登陆网关交换机(一定要网关交换机,不然是没有ARP表。)
3、 通过dis log命令查看日志,如果有病毒一般会有告警(但是也未必所有的都有)。如果出现以下日志:
%Dec 10 13:06:18 2007 Huawei8508_1 ARP/4/DUPIFIP:Slot=4;Duplicate address 10.110.70.126 on VLAN909, sourced by 0016-ec71-9996
%Dec 10 13:05:17 2007 Huawei8508_1 ARP/4/DUPIFIP:Slot=4;Duplicate address 10.110.70.126 on VLAN909, sourced by 0016-ec71-9996
以上日志表示:VLAN 909网段,MAC地址为0016-ec71-9996的电脑中ARP病毒。
4、 如果日志里没有信息显示信息,就需要查看交换机的ARP地址表。通过dis arp | in VLAN号,如dis arp | in 909。就会出现如下信息:
注意:所有IP地址对应的MAC地址都是一样的,是不正常的。正常的ARP表应该是不同IP地址对应不同MAC地址。
< Huawei8508_1>dis arp | in 909
Type: S-Static D-Dynamic
IP Address MAC Address VLAN ID Port Name Aging Type
10.110.64.168 0016-ec71-9996 909 GigabitEthernet4/1/5 13 D CunVPN
10.110.64.200 0016-ec71-9996 909 GigabitEthernet4/1/5 14 D CunVPN
10.110.70.60 0016-ec71-9996 909 GigabitEthernet4/1/5 15 D CunVPN
10.110.70.17 0016-ec71-9996 909 GigabitEthernet4/1/5 16 D CunVPN
10.110.64.236 0016-ec71-9996 909 GigabitEthernet4/1/5 16 D CunVPN
10.110.70.18 0016-ec71-9996 909 GigabitEthernet4/1/5 16 D CunVPN
10.110.70.20 0016-ec71-9996 909 GigabitEthernet4/1/5 17 D CunVPN
10.110.64.221 0016-ec71-9996 909 GigabitEthernet4/1/5 18 D CunVPN
10.110.64.231 0016-ec71-9996 909 GigabitEthernet4/1/5 19 D CunVPN
10.110.64.225 0016-ec71-9996 909 GigabitEthernet4/1/5 20 D CunVPN
10.110.64.160 0016-ec71-9996 909 GigabitEthernet4/1/5 20 D CunVPN
以上信息表示:VLAN 909网段,MAC地址为0016-ec71-9996的电脑中ARP病毒。
5、 用以上两种方法可以轻松的判断哪个MAC地址中毒,但是无法确定IP地址。要想确定IP地址是多少比较困难。需要依赖E盾等软件和日常的IP和MAC记录表等工具来判断。
6、 如果以上工具都没有的话,就只能先登陆到相应的二层交换机(一定要注意,是二层接入交换机)。通过查看MAC地址和端口的对应表,以此来判断是哪个端口。具体方法如下:
< Huawei3900_1>dis mac-address 0016-ec71-9996
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)
0016-ec71-9996 909 Learned GigabitEthernet1/0/5 AGING
由以上信息可以判断出0016-ec71-9996这台电脑是接在3900交换机的GigabitEthernet1/0/5口。
7、 为了暂时恢复网络,可以先关闭交换机的GigabitEthernet1/0/5口。如下:
< Huawei3900_1>sys
System View: return to User View with Ctrl+Z.
[Huawei3900_1]int g 4/1/5
[Huawei3900_1-GigabitEthernet4/1/5]shutdown
8、 再登陆到网关交换机,把相应VLAN重新启动以下,如下:
[Huawei8508_1]int Vlan-interface 909
[Huawei8508_1-Vlan-interface909]shutdown
[Huawei8508_1-Vlan-interface909]undo shutdown
9、 这样就可以恢复网络的正常运行,至于那个中毒的机器的处理。需要用户自己处理。建议直接重装系统,并马上安装补丁、杀毒软件、360安全卫士、E盾等工具。避免重复中毒。这个非常重要,因为重复中毒的可能性非常大。
ARP病毒是个社会难题,目前可以说没有一个厂家可以完全防护ARP病毒。特别是对于大的网络,防护ARP病毒基本成为不可能。正是由于这个特点,所以现在ARP病毒越来越疯狂,基本所有病毒都附带了这个功能,把ARP欺骗当成病毒的必需品。要想防住ARP病毒,还需要所有IT人士共同努力啊!!!