sayikio

最近单位的局域网有时就无法上网，联系了宽带安装部门。告诉是单位局域网中有病毒造成的。救助大哥们，有什么好的办法、方法，来解决病毒呀？？？有好的免费的杀毒，可以删除局域网的病毒。小弟谢谢！！！

现在局域网中感染ARP病毒的情况比较多，清理和防范都比较困难，给不少的网络管理员造成了很多的困扰。下面就是个人在处理这个问题的一些经验，同时也在网上翻阅了不少的参考资料。 ARP病毒的症状 有时候无法正常上网，有时候有好了，包括访问网上邻居也是如此，拷贝文件无法完成，出现错误；局域网内的ARP包爆增，使用ARP查询的时候会发现不正常的MAC地址，或者是错误的MAC地址对应，还有就是一个MAC地址对应多个IP的情况也会有出现。 ARP攻击的原理 ARP欺骗攻击的包一般有以下两个特点，满足之一可视为攻击包报警：第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。或者，ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内，或者与自己网络MAC数据库MAC/IP不匹配。这些统统第一时间报警，查这些数据包(以太网数据包)的源地址(也有可能伪造)，就大致知道那台机器在发起攻击了。现在有网络管理工具比如网络执法官、P2P终结者也会使用同样的方式来伪装成网关，欺骗客户端对网关的访问，也就是会获取发到网关的流量，从而实现网络流量管理和网络监控等功能，同时也会对网络管理带来潜在的危害，就是可以很容易的获取用户的密码等相关信息。 处理办法 通用的处理流程 1.先保证网络正常运行 方法一：编辑一个***.bat文件内容如下：

arp.exe s**.**.**.**（网关ip） ************（网关MAC地址）end

让网络用户点击就可以了! 办法二：编辑一个注册表问题，键值如下：

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"MAC"="arp s网关IP地址网关MAC地址"

然后保存成Reg文件以后在每个客户端上点击导入注册表。 2.找到感染ARP病毒的机器 a、在电脑上ping一下网关的IP地址，然后使用ARP －a的命令看得到的网关对应的MAC地址是否与实际情况相符，如不符，可去查找与该MAC地址对应的电脑。 b、使用抓包工具，分析所得到的ARP数据报。有些ARP病毒是会把通往网关的路径指向自己，有些是发出虚假ARP回应包来混淆网络通信。第一种处理比较容易，第二种处理比较困难，如果杀毒软件不能正确识别病毒的话，往往需要手工查找感染病毒的电脑和手工处理病毒，比较困难。 c、使用MAC地址扫描工具，Nbtscan扫描全网段IP地址和MAC地址对应表，有助于判断感染ARP病毒对应MAC地址和IP地址。 预防措施 1、及时升级客户端的操作系统和应用程式补丁； 2、安装和更新杀毒软件。 3、如果网络规模较少，尽量使用手动指定IP设置，而不是使用DHCP来分配IP地址。 4、如果交换机支持，在交换机上绑定MAC地址与IP地址。（不过这个实在不是好主意）



由于一般局域网内主机数量较多，网络管理员很难能找到带毒主机，所以查杀此病毒非常困难，经过一段时间的摸索，我采用了如下方法进行判断及查杀！
        在已知局域网有ARP传播的情况下，选择一台主机，进行同一网段的IP地址扫描及对应的MAC地址的扫描！通过扫描可以查看到一般中毒主机会和网关的MAC完全相同，比如某网段中网关地址为192.168.0.254，那么可以用过IP扫描查找到某一IP地址所对应的MAC和网关MAC完全相同，这时可以确认中毒机器的IP地址。如果网管手上有IP地址对应的机器的话，可以通过IP地址快速找到相关主机！


网络解毒剂DIY
　　步骤一. 在能上网时，进入MS-DOS窗口，输入命令：arp –a
　　查看网关IP对应的正确MAC地址，将其记录下来。
　　注：如果已经不能上网，则先运行一次命令arp –d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话），一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp –a。
　　步骤二. 如果已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令：arp –s     网关IP     网关MAC
　　例如：假设计算机所处网段的网关为192.168.1.25，本机地址为192.168.1.11在计算机上运行arp –a后输出如下：

　　C:\Documents and Settings>arp -a
　　　Interface: 192.168.1.11 --- 0x2
　　　Internet Address Physical Address Type
　　　192.168.1.25 00-01-02-03-04-05 dynamic

　　其中00-01-02-03-04-05就是网关192.168.1.25对应的MAC地址，类型是动态（dynamic）的，因此是可被改变。
　　被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC，如果大家希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找做准备。

　　手工绑定的命令为：arp –s 192.168.1.25 00-01-02-03-04-05
　　绑定完，可再用arp –a查看arp缓存，

　　C:\Documents and Settings>arp -a
　　　Interface: 192.168.1.11 --- 0x2
　　　Internet Address Physical Address Type
　　　192.168.1.25 00-01-02-03-04-05 static

　　这时，类型变为静态（static），就不会再受攻击影响了。
　　但是，需要说明的是，手工绑定在计算机关机重开机后就会失效，需要再绑定。所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，令其杀毒，方可解决。

[ 本帖最后由 交通 于 2008-2-1 10:55 编辑 ]

1、每台机器安装杀毒软件，定期升级病毒库，单位的话，最好多买几套正版杀毒软件，每3、4台电脑共用一套

2、制定公司上网管理制度，安装流量、访问地址控制软件，如P2P终结者，发现局域网内有不断发包、PING命令等情况的机器，马上将其断开并进行处理

woaihuangjin1

所有电脑断网,各自查毒杀毒,甚至严重的重装,然后联网,ok

一般是ARP病毒，装个瑞星防火墙里面设置ARP欺骗规则，一般都可以解决你的烦恼。，还有360安全卫士里面也有ARP的拦截工具。都不错，我以前也这样，现在已经解决了，希望你也可以哦。好了的话不要忘记告诉我哦。

使用360安全卫士，是一个不错的选择；还有就是取消不必要的共享服务；减少直接文件拷贝，可能通过usb设备传输大量病毒