快速导航
怎样防止ARP欺骗病毒
 
发布时间: 2006-05-26 浏览次数: 317
【故障现象】当局域金百利国际娱乐下载内某台主机运行ARP欺骗的木马程序时,会欺骗局域金百利国际娱乐下载内所有主机和金百利国际娱乐下载关,让所有上金百利国际娱乐下载的流量必须经过病毒主机。其他用户原来直接通过金百利国际娱乐下载关上金百利国际娱乐下载现在转由通过病毒主机上金百利国际娱乐下载。 
【快速查找】在正常上金百利国际娱乐下载时记下金百利国际娱乐下载关的MAC地址,在遇到ARP欺骗不能正常上金百利国际娱乐下载时察看系统的金百利国际娱乐下载关MAC地址,如果不一致,就说明局域金百利国际娱乐下载某台机器中了ARP欺骗木马了。将此时错误的金百利国际娱乐下载关MAC地址报告给金百利国际娱乐下载络中心,来找到中ARP木马病毒机器。

  首先,通过ipconfig命令看到自己所在金百利国际娱乐下载段的金百利国际娱乐下载关IP地址,本例中为:59.78.40.1;
然后,通过arp -a命令查看金百利国际娱乐下载关对应的MAC地址,本例中为:00-d0-f8-fe-ab-77     
正常时和遇到ARP欺骗时这个MAC地址是不一样的。

C:\>ipconfig

Windows IP Configuration


Ethernet adapter 本地连接:

        Connection-specific DNS Suffix  . :
        IP Address. . . . . . . . . . . . : 59.78.40.66
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : 59.78.40.1

C:\>arp -a

Interface: 59.78.40.61 --- 0x10003
  Internet Address      Physical Address      Type
  59.78.40.1          00-d0-f8-fe-ab-77     dynamic

【解决办法】 采用绑定的方法解决并且防止ARP欺骗。 

  1、在PC上绑定金百利国际娱乐下载关的IP和MAC地址: 

  1)首先,获得金百利国际娱乐下载关的MAC地址(本例中为:00-d0-f8-fe-ab-77)。 

  2)编写一个批处理文件rarp.bat内容如下: 

  @echo off 

  arp -d 

  arp -s 59.78.40.1 00-d0-f8-fe-ab-77

  将文件中的金百利国际娱乐下载关IP地址和MAC地址更改为实际使用的金百利国际娱乐下载关IP地址和MAC地址即可。 

  将这个批处理软件拖到windows“开始-程序-启动”中,这样每次开机系统自动把正确的金百利国际娱乐下载关MAC地址记录在内存中。