公司內網ARP病毒防范
背景
在每個公司���,ARP病毒防護都是必需要做的��,而且隨著公司規模的擴大���,計算機數量的增加��,防護程度也會越來越難�,一旦出現ARP***�,將可能出現大面積客戶端斷網的情況�,影響公司業務的正常進展�����,而且嚴重的可能帶來公司機密資料的外泄�����,造成不可挽回的后果�!
我們公司現在也有幾十臺電腦�����,所以對ARP的防范也是有必要重視的�����!
名詞解釋
ARP協議(Address Resolution Protocol)�,或稱地址解析協議��。ARP協議的基本功能就是通過目標設備的IP地址����,查詢目標設備的MAC地址�,以保證通信的順利進行��。它是IPv4中網絡層必不可少的協議���,不過在IPv6中已不再適用���,并被ICMPv6所替代���。
表現癥狀
上網速度慢��,或者網絡內共享文件很慢
―――表現為利用網絡抓包工具����,抓到局域網中有大量ARP報文
全網同樣配置下��,唯獨某臺電腦無法上網
―――表現為掉線后����,重啟電腦或者禁用網卡再啟用就恢復正常����,但一會又掉線
大面積同時掉線���,或時通時斷(即通常說的“卡”)
―――表現為某一片區域���,某臺網絡設備下掛的所有PC出現上網不正常����。
電腦挨個掉線�����,或時通時斷(即通常說的“卡”)
―――表現為正在使用某一類應用程序的PC依次掉線
查看ARP信息時�,會出現多個IP地址對應同一MAC地址的情況����;
―――在命令行輸入arp -a
重啟電腦或者在DOS窗口下運行“arp -d” 后�����,又可以恢復上網�。
……
ARP 病毒的檢測方法及處理方式在公司的實際應用
我們公司在的員工平時應該有防病毒意識����,結合我們公司的具體情況��,我們在路由器上做了客戶端IP與MAC的綁定
默認情況下我們的電腦都沒有做過綁定
做完綁定后
在客戶端電腦上的設置
當出現上述情況之一時����,有可能你的電腦已經感染了ARP病毒或是受到了ARP***�����。
1���、點擊開始--運行�,輸入 CMD 回車���,進入命令窗口�,輸入命令:arp -d 回車
打開瀏覽器重新嘗試上網����,若能短暫正常訪問�����,則說明已經感染了ARP病毒�����,此時打開任務管理器檢查是否有 MIR0.dat 進程���,如有這個進程�����,可以直接結束進程����。
2���、靜態ARP綁定網關���,先用上面所說方法進入命令窗口�����,輸入命令:arp -a ����,查看網關IP192.168.188.1對應的正確 MAC 地址58-66-ba-2e-a8-1c���,并記錄這一地址���!
此時若已經不能上網了��,則先運行一次命令:arp -d�,清空arp緩存中的內容��,立即將網絡斷開(禁用網卡或拔掉網線)再用 ARP -a 查看正確的網關地址
找到正確的網關IP和MAC地址后�,用以下命令進行綁定:
arp -s 網關IP 網關mac
例如:網關IP:192.168.188.1 網關MAC :58-66-ba-2e-a8-1c
arp -s 192.168.188.1 58-66-ba-2e-a8-1c
3���、制作批處理文件
當用以上方式綁定網關��,電腦重啟后綁定就會消失��,因此可以制作一個批處理文件��,重啟后自動執行綁定�。
打開記事本��,寫入以下內容:
@echo off
arp -d
arp -s 192.168.188.1 58-66-ba-2e-a8-1c
另保存為 arp.bat �,將這個文件拖到“開始---程序---啟動”中�����,下次啟動電腦就會自動執行這個文件綁定網關了,上面的IP和MAC是網關的IP與MAC�,同時也要在交換機或路由器或防火墻上對每個客戶端做IP與MAC綁定��,這就是所謂的雙向綁定
當然正常的電腦就直接做綁定了��,不用判斷
以上是對使用XP的員工的電腦設置
公司其他使用win7的員工執行arp -d等有修改動作的操作都要以管理員身份運行
否則會提示ARP項添加失?�。赫埱蟮牟僮餍枰嵘?/p>
而且arp -s就不能用了�����,雖然命令解釋里還有,會提示ARP項添加失?���。壕芙^訪問
而是要用另一個命令netsh這個命令功能很強���,不過相對就復雜很多了
下面的命令查看網卡編號Idx
netsh interface ipv4 show interfaces當然可以簡寫至netsh i i sh in
或者netsh interface ipv4 show neighbors
記下網卡的Idx,我這里是21
下面的命令綁定IP和MAC
netsh i i set neighbors 21 "192.168.188.1" "58-66-ba-2e-a8-1c" store=persistent
這個是永久綁定�����,重啟電腦后不會失效
相當于netsh -c i i add neighbors 21 網關IP 網關mac
netsh i i set neighbors 21 "192.168.188.1" "58-66-ba-2e-a8-1c" store=active
這個是臨時綁定����,重啟電腦后失效
先看下綁定前的情況
執行命令
綁定后變成靜態了
這里成了永久��,靜態的就會暫時認為永久
刪除綁定信息
netsh i i delete neigh 21
也可以是netsh i i reset
不過這個命令比較狠��,直接IP也會重置����,還要重啟生效
4�、另外我們還要定時檢查局域網病毒���,對機器進行病毒掃描�����,平時給系統安裝好補丁程序�����,用系統自帶的更新功能或使用360安全衛士或金山衛士�����,QQ電腦管家等都可以���,最好是局域網內每臺電腦保證有殺毒軟件(可升級)
5�、不要隨便點擊打開QQ����、MSN等聊天工具上發來的鏈接信息�����,不要隨便打開或運行陌生���、可疑文件和程序���,如郵件中的陌生附件��,外掛程序等
6.當然我也可以通過 設置虛擬網關來防止ARP***
通過執行以上的操作后�����,基本可以保障公司PC不會輕易中ARP病毒
本文不涉及VLAN之類的技術
