在每个公司,ARP病毒防护都是必需要做的,而且随着公司规模的扩大,计算机数量的增加,防护程度也会越来越难,一旦出现ARP***,将可能出现大面积客户端断网的情况,影响公司业务的正常进展,而且严重的可能带来公司机密资料的外泄,造成不可挽回的后果!
我们公司现在也有几十台电脑,所以对ARP的防范也是有必要重视的!
名词解释
ARP协议(Address Resolution Protocol),或称地址解析协议。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。它是IPv4中网络层必不可少的协议,不过在IPv6中已不再适用,并被ICMPv6所替代。
表现症状
上网速度慢,或者网络内共享文件很慢
―――表现为利用网络抓包工具,抓到局域网中有大量ARP报文
全网同样配置下,唯独某台电脑无法上网
―――表现为掉线后,重启电脑或者禁用网卡再启用就恢复正常,但一会又掉线
大面积同时掉线,或时通时断(即通常说的“卡”)
―――表现为某一片区域,某台网络设备下挂的所有PC出现上网不正常。
电脑挨个掉线,或时通时断(即通常说的“卡”)
―――表现为正在使用某一类应用程序的PC依次掉线
查看ARP信息时,会出现多个IP地址对应同一MAC地址的情况;
―――在命令行输入arp -a
重启电脑或者在DOS窗口下运行“arp -d” 后,又可以恢复上网。
……
ARP 病毒的检测方法及处理方式在公司的实际应用
我们公司在的员工平时应该有防病毒意识,结合我们公司的具体情况,我们在路由器上做了客户端IP与MAC的绑定
默认情况下我们的电脑都没有做过绑定
做完绑定后
在客户端电脑上的设置
当出现上述情况之一时,有可能你的电脑已经感染了ARP病毒或是受到了ARP***。
1、点击开始--运行,输入 CMD 回车,进入命令窗口,输入命令:arp -d 回车
打开浏览器重新尝试上网,若能短暂正常访问,则说明已经感染了ARP病毒,此时打开任务管理器检查是否有 MIR0.dat 进程,如有这个进程,可以直接结束进程。
2、静态ARP绑定网关,先用上面所说方法进入命令窗口,输入命令:arp -a ,查看网关IP192.168.188.1对应的正确 MAC 地址58-66-ba-2e-a8-1c,并记录这一地址!
此时若已经不能上网了,则先运行一次命令:arp -d,清空arp缓存中的内容,立即将网络断开(禁用网卡或拔掉网线)再用 ARP -a 查看正确的网关地址
找到正确的网关IP和MAC地址后,用以下命令进行绑定:
arp -s 网关IP 网关mac
例如:网关IP:192.168.188.1 网关MAC :58-66-ba-2e-a8-1c
arp -s 192.168.188.1 58-66-ba-2e-a8-1c
3、制作批处理文件
当用以上方式绑定网关,电脑重启后绑定就会消失,因此可以制作一个批处理文件,重启后自动执行绑定。
打开记事本,写入以下内容:
@echo off
arp -d
arp -s 192.168.188.1 58-66-ba-2e-a8-1c
另保存为 arp.bat ,将这个文件拖到“开始---程序---启动”中,下次启动电脑就会自动执行这个文件绑定网关了,上面的IP和MAC是网关的IP与MAC,同时也要在交换机或路由器或防火墙上对每个客户端做IP与MAC绑定,这就是所谓的双向绑定
当然正常的电脑就直接做绑定了,不用判断
以上是对使用XP的员工的电脑设置
公司其他使用win7的员工执行arp -d等有修改动作的操作都要以管理员身份运行
否则会提示ARP项添加失败:请求的操作需要提升
而且arp -s就不能用了,虽然命令解释里还有,会提示ARP项添加失败:拒绝访问
而是要用另一个命令netsh这个命令功能很强,不过相对就复杂很多了
下面的命令查看网卡编号Idx
netsh interface ipv4 show interfaces当然可以简写至netsh i i sh in
或者netsh interface ipv4 show neighbors
记下网卡的Idx,我这里是21
下面的命令绑定IP和MAC
netsh i i set neighbors 21 "192.168.188.1" "58-66-ba-2e-a8-1c" store=persistent
这个是永久绑定,重启电脑后不会失效
相当于netsh -c i i add neighbors 21 网关IP 网关mac
netsh i i set neighbors 21 "192.168.188.1" "58-66-ba-2e-a8-1c" store=active
这个是临时绑定,重启电脑后失效
先看下绑定前的情况
执行命令
绑定后变成静态了
这里成了永久,静态的就会暂时认为永久
删除绑定信息
netsh i i delete neigh 21
也可以是netsh i i reset
不过这个命令比较狠,直接IP也会重置,还要重启生效
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。