扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
说起ARP病毒,大家一定都不陌生了,但是最近它又有新的举动了,那就是结合网页木马,不仅会导致网络访问中断,而且还会让更多的客户机只要访问了指定的页面就会自动下载木马进行安装。这种危害尤其表现在提供了IIS服务的局域网中。
例如在局域网中某台服务器安装了IIS服务,提供WWW访问,那么该病毒就可能会攻击该台服务器,只要用户访问了该台服务器上安装的网站,就会自动在网页中加上一段代码,从而实现自动网页挂马,而直接在网站源文件中查却很难找出蛛丝马迹。今天我们就和大家一起来解决这个问题。
一、路由器绑定IP与MAC地址
由于ARP病毒是欺骗伪造IP与MAC地址的对应,因此我们只要在路由器上将IP与MAC地址一一绑定即可。目前绝大部分的路由器都支持这一功能,绑定之后就不会再受到ARP病毒的危害。因为中毒的主机要想进行ARP攻击,就得不断的变化自己的MAC地址来发送和拦截数据,而它又被绑定了,自然无法再变换地址了(图1)。
图1
需要注意的是,将IP与MAC地址绑定后,客户机再上网时则需要设置与绑定的IP相同的固定IP地址,否则将无法访问网络。
二、客户端绑定网关
如果我们无法在路由器上绑定,那么则可以在自己的电脑上将网关地址与MAC地址绑定即可。其方法也非常简单,只需要新建一个文本文件,然后在其中输入“arp -s +路由器IP如192.168.1.1+路由器LAN口MAC地址”(图2),然后将其保存为1.bat,最后把这个文件拷贝到系统启动目录,或者添加快捷方式到开始菜单的启动列表中。这样在开机时将自动将网关IP与MAC地址绑定,就不会再出现欺骗现象了。
图2
三、彻底解决
上面两个都是治标不治本的办法,最终要解决我们还是要找出中毒的机器。虽然有很多专业的工具可以查到,但是对于很多中小企业网络的管理员来说,这些工具的使用上手较难,在这里我们介绍一个比较简单的方法给大家。
如果有多台交换机或者多层设备连接,可逐一断开各台设备,在每断开一台设备的时候再检查网络是否畅通,如果畅通则说明中毒机器就是连在该台设备上;如果仍然不畅通则继续断开另一台交换机,直至找出具体所在交换机。
知道交换机之后,可以继续使用二分法,即拨下一半节点,看网络是否正常,如果正常,则依次再将拨下的节点一一连上,当连到某一个节点时网络突然不正常,则说明该节点所连接的计算机就是中毒机器,将其重新安装并杀毒即可。
在实际的测试过程中,检查网络是否畅通,建议大家可以使用“ping IP地址 -t”的方法来判断,也就是不停的秘目标IP进行连接,只要不显示“221.231.114.221”则说明网络是正常的(图3)。
图3
ARP病毒并不是一个新的病毒,但是它的危害却是极其大的,而且在检查时也非常困难,但是只要按照我们上面所介绍的方法,那么一定能够解决,从而恢复网络的正常使用。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。