問題描述:
Arp病毒
原因分析:
ARP(地址解析協議)是壹種在只知道主機IP地址的情況下確定主機物理地址的協議。當計算機接收到ARP報文時,可以肯定的是,當前局域網中的某臺計算機(不是本地計算機)使用工具偽造IP地址和MAC地址,實現ARP欺騙。這時候妳要盡快聯系網絡管理員,安裝ARP防護軟件。
解決方案:
方案壹:用安全軟件檢測ARP是否存在。
1.
首先,打開arp防火墻:打開360安全衛士-特洛伊防火墻。(如圖1所示)
圖1
2.
找到局域網保護(ARP ),將它拖到左側以選擇它已打開。(如圖2所示)
圖2
3.
出現提示時,單擊確定。(如圖3所示)
圖3
4.
如果有攻擊,360會有提示。(如圖4所示;圖5)
圖4
圖5
註意:
目前常用的安全防火墻軟件在檢測ARP時指示的IP是路由器的網關,如:192.168.0 . 1;192.168.0.254
方案二:安裝相應的防火墻軟件。
1.
比如開啟360安全衛士ARP防火墻或者使用其他防火墻,比如彩影ARP防火墻單機版。(如圖6所示;圖7)
圖6
圖7
2.
安全完成後,運行軟件,電腦上會顯示壹個紅色圖標。當發現網絡上的ARP數據包或攻擊時,圖標會持續閃爍。(如圖8所示;圖9)
圖8
圖9
3.
已經發現攻擊或者正在發布ARP廣播,可以判斷攻擊原因。(如圖10所示)
圖10
4.
軟件界面清晰的顯示了攻擊和攔截的次數並在右邊:這個軟件功能強大,可以測試攻擊者的IP、MAC、電腦名稱等信息。(如圖11所示)
圖11
5.
點擊軟件頂部:網絡主機示例表顯示了目前局域網內PC、IP、名稱、工作組、MAC等所有信息。如果任何計算機有問題,它將在表格中顯示紅色,並加速到混合模式。(如圖12所示)
圖12
6.
軟件流量分析可以顯示當前流量的簡單信息。如上所述,ARP是以廣分布的形式,而不是單壹的計算機。以上廣播:22非廣播:局域網內323廣播正常,廣播次數壹般不是特別多,沒有問題。具體的廣播含義這裏不詳細解釋。但是不播是不正常的,壹般是整個局域網ARP收縮。根據以上信息,我們可以判斷是否有ARP,如何處理。最簡單的就是找到簽約的PC直接關機,或者斷開本機網絡進行殺毒處理。「ARP防火墻單機版」這個軟件對於測試和檢查不同的網絡和不同的工作環境非常有用,但是有時候無法確定具體的PC,所以軟件要麽可以測試,要麽測試的攻擊IP是網關。只有兩種情況。
附:我再給妳介紹壹個軟件。這個軟件只能檢查啟動ARP病毒的電腦,無法詳細分析,但是對於檢查問題原因是有效的,不會出現檢測到攻擊的是網關的情況。
“局域網ARP檢查”的軟件如下(綠色版本不需要安裝)。(如圖13所示)
圖13
1.
選擇本地網卡,然後單擊開始分析。該軟件將測試網絡中的所有電腦。(如圖14;圖15)
圖14
圖15
2.
軟件掃描完成後,不會顯示所有電腦信息,只會顯示網關信息,互聯網網關警告危險是正常的。可能是因為沒有安裝防火墻。如果網絡中沒有ARP病毒或者網絡攻擊,那麽軟件顯示如上無顯示,如圖16有攻擊時所示:
圖16
3.
軟件顯示非常簡單,如果有攻擊或ARP,它可以準確快速地確定哪臺PC及其MAC、IP、狀態等。並顯示:“ARP風暴正在進行,發出欺騙數據包”,即假裝攻擊源是網關地址。(如圖17所示)
圖17
4.
壹個TXT文檔會出現在軟件的目錄下。它記錄所有的個人電腦號碼,MAC和IP地址在局域網中。