病毒故障現象及診斷
情況一:在局域網中當有用戶木馬程序通過ARP欺騙對網絡進行攻擊,中毒的計算機會根據該網絡的設置,克隆一個服務器或者路由器的IP地址和 MAC地址出來,以此來截獲網內發往外網的數據,這是典型的ARP欺騙案例。在攻擊的過程中,被攻擊的電腦常表現為突然不能上網,過段時間又能上網,常會反復掉線。
情況二:在局域網中某台電腦感覺ARP病毒後,會在網絡中不斷地向其實計算機發送ARP欺騙,讓原本流向網關的流量改道流向病毒主機,造成受害者上網網速變慢,經常出現掉線的情況。
情況三:在局域網當有ARP欺騙發生時,在IP地址設置正常的情況下,可能電腦會顯示“IP地址沖突”。
如網絡用戶在使用計算機過程中,突然發現無法上網,可以先禁用網卡,然後再啟用,如果啟用之後能上網,就有可能是ARP病毒所致。
另外,也可以通過下如操作進行診斷:點擊"開始"按鈕->選擇"運行"->輸入"arp -d"->點擊"確定"按鈕,然後重新嘗試上網,如果能恢復正常,則說明此次掉線可能是受ARP欺騙所致。
注:"arp -d"命令用於清除並重建本機arp表。"arp -d"命令並不能抵御ARP欺騙,執行後仍有可能再次遭受ARP攻擊。
故障解決辦法
可以使用ARP -S命令捆綁IP地址和MAC地址,將網內所有客戶端都按找這個方法做好捆綁,確保其的唯一性。
編寫批處理文件如下:
@echo OFF
if %~n0==arp exit
if %~n0==Arp exit
if %~n0==ARP exit
echo 正在獲取本機信息.....
:IP
FOR /f "skip=13 tokens=15 usebackq " %%i in (`ipconfig /all`) do Set IP=%%i && GOTO MAC
:MAC
echo IP:%IP%
FOR /f "skip=13 tokens=12 usebackq " %%i in (`ipconfig /all`) do Set MAC=%%i && GOTO GateIP
:GateIP
echo MAC:%MAC%
arp -s %IP% %MAC%
echo 正在獲取網關信息.....
FOR /f "skip=17 tokens=13 usebackq " %%i in (`ipconfig /all`) do Set GateIP=%%i && GOTO GateMac
:GateMac
echo IP:%GateIP%
FOR /f "skip=3 tokens=2 usebackq " %%i in (`arp -a %GateIP%`) do Set GateMAC=%%i && GOTO Start
:Start
echo MAC:%GateMAC%
arp -d
arp -s %GateIP% %GateMAC%
echo 操作完成!!!
exit
把以上批處理另存為ARP.BAT,然後把文件拖到“windows--開始--程序--啟動”中即可。如果是在網吧中,可以利用收費軟件服務端程序(pubwin或者萬象都可以)發送批處理文件rarp.bat到所有客戶機的啟動目錄。