单位的电脑中了arp病毒,很长时间都无法解决
单位的电脑中了arp病毒,很长时间都无法解决
用这个软件Antiarp.exe 防御的时候发现攻击的
电脑的mac地址是:0080 c8ca d606
再用lanheiper这个软件发现这个mac对应的ip地址竟然是192.168.0.1
这是我的网关啊。
我们单位拉的是网通光线,一个网络公司做的局域网,有交换机,防火墙。100多台电脑。
都经常掉线。
请问有什么办法可以解决。
Antiarp.exe 能够防御的了,可是每次开机都的设置,台麻烦了。能有什么办法清楚攻击源。
先谢过各位大哥了。
[解决办法]
既然是那么多电脑了,那么建议你们换个可以有ARP拦截的路由吧,,好多都有,600多元
[解决办法]
看看:
先在不能上网的电脑运行CMD窗口输入:arp -a
看一下指的网关是那一个MAC地址,再用nbtscan工具扫一下局域网,看一下这个MAC地址对应的是那一个IP和主机名,查出来,将那台电脑重装系统就OK了。
[解决办法]
你的那个网关 192.168.0.1应该是一台windows服务器吧?如果是个小路由器应该不可能出现情况,如果是unix/linux/或者别的小路由器,该软件仍然认定攻击源是192.168.0.1,那么应该考虑是误报。
[解决办法]
arp病毒我曾经也经历过,
我觉得解决这个问题主要是思路一定要清晰.
首先,你单位的电脑要访问外网,肯定要通过网关,
假如这个时候你单位内部有一台电脑中了arp病毒,它假冒成了网关,
然后不停的向外部发布广播数据包,向别人通告自己就是网关.
接到这个广播的电脑,就会把那台中病毒的电脑误认成网关,
所以你单位的电脑在访问外网的时候,出现的症状应该是一会儿不能访问,一会儿可以访问,周而复始.
比较简单的方法是,建议在一台客户机上面输入命令:arp -d ,清空arp表,尽量多输几遍,确定arp表已经为空.
然后输入:arp -a ,查看arp表,看看有没有可疑的ip出现在你arp列表中.
重复几次上面的步骤.
因为那台中病毒的电脑会不停的向外部发arp广播,所以这个时候它的通信量应该是很大的,极有可能刚刚用arp -d 清空arp表,再用arp -a 查看的时候就已经出现在你的arp表中了,
找到可疑的ip,可疑的电脑,即可解决问题了
[解决办法]
antiarp 很好用啊,可以反向查找电脑ip的。
