公司内网ARP病毒防范

发布时间:2020-09-18 01:13:38 作者:清_风
来源:网络 阅读:1577

背景

在每个公司,ARP病毒防护都是必需要做的,而且随着公司规模的扩大,计算机数量的增加,防护程度也会越来越难,一旦出现ARP***,将可能出现大面积客户端断网的情况,影响公司业务的正常进展,而且严重的可能带来公司机密资料的外泄,造成不可挽回的后果!

我们公司现在也有几十台电脑,所以对ARP的防范也是有必要重视的!

名词解释

ARP协议(Address Resolution Protocol),或称地址解析协议。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。它是IPv4中网络层必不可少的协议,不过在IPv6中已不再适用,并被ICMPv6所替代。

表现症状

上网速度慢,或者网络内共享文件很慢 

―――表现为利用网络抓包工具,抓到局域网中有大量ARP报文 

全网同样配置下,唯独某台电脑无法上网 

―――表现为掉线后,重启电脑或者禁用网卡再启用就恢复正常,但一会又掉线 

大面积同时掉线,或时通时断(即通常说的“卡”)

―――表现为某一片区域,某台网络设备下挂的所有PC出现上网不正常。

电脑挨个掉线,或时通时断(即通常说的“卡”)

―――表现为正在使用某一类应用程序的PC依次掉线

查看ARP信息时,会出现多个IP地址对应同一MAC地址的情况;

―――在命令行输入arp -a

重启电脑或者在DOS窗口下运行“arp -d” 后,又可以恢复上网。

……

ARP 病毒的检测方法及处理方式在公司的实际应用

我们公司在的员工平时应该有防病毒意识,结合我们公司的具体情况,我们在路由器上做了客户端IP与MAC的绑定

默认情况下我们的电脑都没有做过绑定

公司内网ARP病毒防范

做完绑定后

公司内网ARP病毒防范

在客户端电脑上的设置

当出现上述情况之一时,有可能你的电脑已经感染了ARP病毒或是受到了ARP***。

1、点击开始--运行,输入 CMD 回车,进入命令窗口,输入命令:arp -d 回车

公司内网ARP病毒防范

打开浏览器重新尝试上网,若能短暂正常访问,则说明已经感染了ARP病毒,此时打开任务管理器检查是否有 MIR0.dat 进程,如有这个进程,可以直接结束进程。

2、静态ARP绑定网关,先用上面所说方法进入命令窗口,输入命令:arp -a ,查看网关IP192.168.188.1对应的正确 MAC 地址58-66-ba-2e-a8-1c,并记录这一地址!

公司内网ARP病毒防范

此时若已经不能上网了,则先运行一次命令:arp -d,清空arp缓存中的内容,立即将网络断开(禁用网卡或拔掉网线)再用 ARP -a 查看正确的网关地址

公司内网ARP病毒防范

找到正确的网关IP和MAC地址后,用以下命令进行绑定:

arp -s 网关IP 网关mac

例如:网关IP:192.168.188.1 网关MAC :58-66-ba-2e-a8-1c

arp -s 192.168.188.1 58-66-ba-2e-a8-1c

3、制作批处理文件

当用以上方式绑定网关,电脑重启后绑定就会消失,因此可以制作一个批处理文件,重启后自动执行绑定。

打开记事本,写入以下内容:

@echo off

arp -d

arp -s 192.168.188.1 58-66-ba-2e-a8-1c

另保存为 arp.bat ,将这个文件拖到“开始---程序---启动”中,下次启动电脑就会自动执行这个文件绑定网关了,上面的IP和MAC是网关的IP与MAC,同时也要在交换机或路由器或防火墙上对每个客户端做IP与MAC绑定,这就是所谓的双向绑定

当然正常的电脑就直接做绑定了,不用判断

以上是对使用XP的员工的电脑设置

公司其他使用win7的员工执行arp -d等有修改动作的操作都要以管理员身份运行

否则会提示ARP项添加失败:请求的操作需要提升

公司内网ARP病毒防范

公司内网ARP病毒防范

而且arp -s就不能用了,虽然命令解释里还有,会提示ARP项添加失败:拒绝访问

公司内网ARP病毒防范

而是要用另一个命令netsh这个命令功能很强,不过相对就复杂很多了

下面的命令查看网卡编号Idx

netsh interface ipv4 show interfaces当然可以简写至netsh i i sh in

公司内网ARP病毒防范

或者netsh interface ipv4 show neighbors

公司内网ARP病毒防范

记下网卡的Idx,我这里是21

下面的命令绑定IP和MAC

netsh i i set neighbors 21 "192.168.188.1" "58-66-ba-2e-a8-1c" store=persistent

这个是永久绑定,重启电脑后不会失效

相当于netsh -c i i add neighbors 21 网关IP 网关mac

netsh i i set neighbors 21 "192.168.188.1" "58-66-ba-2e-a8-1c" store=active

这个是临时绑定,重启电脑后失效

先看下绑定前的情况

公司内网ARP病毒防范

公司内网ARP病毒防范

执行命令

公司内网ARP病毒防范

绑定后变成静态了

公司内网ARP病毒防范

这里成了永久,静态的就会暂时认为永久

公司内网ARP病毒防范

删除绑定信息

netsh i i delete neigh 21

公司内网ARP病毒防范

也可以是netsh i i reset

不过这个命令比较狠,直接IP也会重置,还要重启生效

4、另外我们还要定时检查局域网病毒,对机器进行病毒扫描,平时给系统安装好补丁程序,用系统自带的更新功能或使用360安全卫士或金山卫士,QQ电脑管家等都可以,最好是局域网内每台电脑保证有杀毒软件(可升级)

5、不要随便点击打开QQ、MSN等聊天工具上发来的链接信息,不要随便打开或运行陌生、可疑文件和程序,如邮件中的陌生附件,外挂程序等

6.当然我也可以通过 设置虚拟网关来防止ARP***

通过执行以上的操作后,基本可以保障公司PC不会轻易中ARP病毒

本文不涉及VLAN之类的技术

推荐阅读:
  1. Powershell 挖矿病毒处理与防范
  2. 防范勒索病毒

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

arp rp

上一篇:MySQL问答系列之如何避免ibdata1文件大小暴涨

下一篇:Python爬虫实现抓取京东店铺信息及下载图片功能示例

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》