現(xiàn)在局域網(wǎng)中感染ARP病毒的情況比較多，清理和防范都比較困難，給不少的網(wǎng)絡(luò)管理員造成了很多的困擾。下面就是個(gè)人在處理這個(gè)問題的一些經(jīng)驗(yàn)，同時(shí)也在網(wǎng)上翻閱了不少的參考資料。

ARP病毒的癥狀

有時(shí)候無法正常上網(wǎng)，有時(shí)候有好了，包括訪問網(wǎng)上鄰居也是如此，拷貝文件無法完成，出現(xiàn)錯(cuò)誤；局域網(wǎng)內(nèi)的ARP包爆增，使用ARP查詢的時(shí)候會(huì)發(fā)現(xiàn)不正常的MAC地址，或者是錯(cuò)誤的MAC地址對(duì)應(yīng)，還有就是一個(gè)MAC地址對(duì)應(yīng)多個(gè)IP的情況也會(huì)有出現(xiàn)。

ARP攻擊的原理

ARP欺騙攻擊的包一般有以下兩個(gè)特點(diǎn)，滿足之一可視為攻擊包報(bào)警：第一以太網(wǎng)數(shù)據(jù)包頭的源地址、目標(biāo)地址和ARP數(shù)據(jù)包的協(xié)議地址不匹配?；蛘?，ARP數(shù)據(jù)包的發(fā)送和目標(biāo)地址不在自己網(wǎng)絡(luò)網(wǎng)卡MAC數(shù)據(jù)庫內(nèi)，或者與自己網(wǎng)絡(luò)MAC數(shù)據(jù)庫MAC/IP不匹配。這些統(tǒng)統(tǒng)第一時(shí)間報(bào)警，查這些數(shù)據(jù)包(以太網(wǎng)數(shù)據(jù)包)的源地址(也有可能偽造)，就大致知道那臺(tái)機(jī)器在發(fā)起攻擊了?，F(xiàn)在有網(wǎng)絡(luò)管理工具比如網(wǎng)絡(luò)執(zhí)法官、P2P終結(jié)者也會(huì)使用同樣的方式來偽裝成網(wǎng)關(guān)，欺騙客戶端對(duì)網(wǎng)關(guān)的訪問，也就是會(huì)獲取發(fā)到網(wǎng)關(guān)的流量，從而實(shí)現(xiàn)網(wǎng)絡(luò)流量管理和網(wǎng)絡(luò)監(jiān)控等功能，同時(shí)也會(huì)對(duì)網(wǎng)絡(luò)管理帶來潛在的危害，就是可以很容易的獲取用戶的密碼等相關(guān)信息。

處理的辦法：

寫個(gè)腳本提供大家參考，解決局域網(wǎng)內(nèi)部的APR攻擊

c:

cd\

if exist ipconfig.txt del ipconfig.txt

ipconfig /all >c:\ipconfig.txt //獲取本地MAC地址

if exist GateMac.txt del GateMac.txt

arp -a %GateIP% >c:\GateMac.txt

for /f "skip=3 tokens=2"%%H in(GateMac.txt)do set GateMac=%%H //獲取出口路由（即網(wǎng)關(guān)）的MAc地址

if exist GateIP.txt del GateIP.txt

find "Default Gateway" ipconfig.txt >c:\GateIP.txt

for /f "skip=2 tokens=13"%%G in (GateIP.txt) do set GateIP=%%G

echo set Ws= Wscript.Createobject("Wscript.Shell") >c:\banding.vbs

echo count =0>>banding.vbs

echo for each ps in getobject("winmgmts:\\.\root\cimv2:win32_process").instances_>>banding.vbs

間隔6秒重新將網(wǎng)關(guān)的IP地址與MAC地址進(jìn)行綁定

echo if ps.name="wscript.exe" then count=count+1>>banding.vbs

echo if count >2 then wscript.quit>>banding.vbs

echo i=1 >>banding.vbs

echo for i= 1 to 5>>banding.vbs

echo i=i-1>>banding.vbs

echo Wscript.sleep(1000*60*0.1)每6秒鐘綁定一次 >>banding.vbs

echo ws.run "arp-d",0>>banding.vbs

echo ws.run "arp -s %GateIP% %GateMac%",0>>banding.vbs

echo next >>banding.vbs

清除ARP緩存，重新將本機(jī)的Ip地址與MAC地址進(jìn)行綁定

c:

cd \

start banding.vbs

del /f /q GateMac.txt

del /f /q ipconfig.txt

del /f /q GateIP.txt

copy banding.vbs c:\ windows\system32

echo Windows Registry Editor Version 5.00 >c：\arp.reg

echo.>>arp.reg

echo [HKEY_LOC AL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]>>arp.reg

echo "arptom"="c:\\windows\\system32\\banding.vbs">>arp.reg

regedit -is arp.reg

del /f /q arp.reg

del /f /q banding.vbs

exit

把這些代碼復(fù)制放入記事本，后綴名保存為.bat

適合各種環(huán)境。