一、 arp病毒的检测
1、用 ipconfig 命令查看本机的网关地址
点出 “开始”菜单 - 选“运行”,输入 "cmd" 并确定调出"命令提示符"窗口
输入ipconfig并按回车键:
记录网关 IP 地址,即 "Default Gateway" 对应的值,例如 "59.78.129.193" 。
屏幕输出例子:
Windows IP Configuration
Ethernet adapter 本地连接:
Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 59.78.129.221
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 59.78.129.193
2、在网络通讯正常时用 arp -a 命令查看网关的 MAC 地址,若已经遭到攻击无法获得正确mac信息时可以查询同网段计算机的网关信息
输入arp -a命令并按回车键,在 "Internet Address" 下找到上步记录的网关 IP 地址,记录其对应的物理地址,即 "Physical Address" 值,例如 "00-14-22-bf-8b-ee"。
例子:
Interface: 59.78.129.221 --- 0x2
nternet Address Physical Address Type
59.78.129.193 00-04-80-de-42-05 dynamic
在网络正常时这就是网关的正确物理地址,在网络不稳定时,它有可能是感染病毒计算机的网卡物理地址。另可输入arp -d命令后输入 arp –a命令查看网关mac是否改变。
二、常用的防护方法
目前对于ARP攻击防护问题出现最多是绑定IP和MAC和使用ARP防护软件
1 静态绑定
最常用的方法就是做IP和MAC静态绑定,在网内把主机和网关都做IP和MAC绑定。
欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全部设置为静态可以解决对内网PC的欺骗。
方法:
在 Dos 方式下输入 arp -s <网关 ip 地址> <网关 mac 地址>
例如 arp 59.78.129.193 00-04-80-de-42-05
该命令可以配置网关静态的 mac 地址,若无法设置时可以重复用arp -d 删除系统中的 arp表,也可以拨出网线断开网络后再设置。
若该网段经常有 arp 病毒爆发,可以在 Windows 启动时添加 批处理命令 设置网关的静态 mac 地址,方法如下:
在所有用户的“启动”程序组中建立 arp.bat 文件,文件内容如下:
arp -s <网关 ip 地址> <网关 mac 地址>
exit
2 使用ARP防护软件
目前关于ARP类的防护软件出的比较多了,其中360安全卫士是使用率较高的一款软件,其自带的arp防火墙能有效地防治arp病毒对于本机的影响,此款软件可在www.360safe.com上下载,下载安装后注意开启局域网“ARP攻击拦截”功能 ”.
