現(xiàn)在局域網(wǎng)中感染ARP病毒的情況比較多,清理和防范都比較困難,給不少的網(wǎng)絡(luò)管理員造成了很多的困擾.下面就是個(gè)人在處理這個(gè)問題的一些經(jīng)驗(yàn),同時(shí)也在網(wǎng)上翻閱了不少的參考資料. 0\X\izQ5  
NxkGOAOE  
G"r1+#  
ARP病毒的癥狀 DBo%fYst  
有時(shí)候無法正常上網(wǎng)，有時(shí)候有好了，包括訪問網(wǎng)上鄰居也是如此，拷貝文件無法完成，出現(xiàn)錯(cuò)誤；局域網(wǎng)內(nèi)的ARP包爆增，使用ARP查詢的時(shí)候會(huì)發(fā)現(xiàn)不正常的MAC地址，或者是錯(cuò)誤的MAC地址對(duì)應(yīng)，還有就是一個(gè)MAC地址對(duì)應(yīng)多個(gè)IP的情況也會(huì)有出現(xiàn)。 u}#(.)a:  
h1j!IG  
ARP攻擊的原理 ,1y@Z 5wy  
ARP欺騙攻擊的包一般有以下兩個(gè)特點(diǎn)，滿足之一可視為攻擊包報(bào)警：第一以太網(wǎng)數(shù)據(jù) 包頭的源地址、目標(biāo)地址和ARP數(shù)據(jù)包的協(xié)議地址不匹配�；蛘�，ARP數(shù)據(jù)包的發(fā)送和目標(biāo)地址不在自己網(wǎng)絡(luò)網(wǎng)卡MAC數(shù)據(jù)庫內(nèi)，或者與自己網(wǎng)絡(luò)MAC數(shù)據(jù) 庫MAC/IP不匹配。這些統(tǒng)統(tǒng)第一時(shí)間報(bào)警，查這些數(shù)據(jù)包(以太網(wǎng)數(shù)據(jù)包)的源地址(也有可能偽造)，就大致知道那臺(tái)機(jī)器在發(fā)起攻擊了�，F(xiàn)在有網(wǎng)絡(luò)管理 工具比如網(wǎng)絡(luò)執(zhí)法官、P2P終結(jié)者也會(huì)使用同樣的方式來偽裝成網(wǎng)關(guān)，欺騙客戶端對(duì)網(wǎng)關(guān)的訪問，也就是會(huì)獲取發(fā)到網(wǎng)關(guān)的流量，從而實(shí)現(xiàn)網(wǎng)絡(luò)流量管理和網(wǎng)絡(luò)監(jiān) 控等功能，同時(shí)也會(huì)對(duì)網(wǎng)絡(luò)管理帶來潛在的危害，就是可以很容易的獲取用戶的密碼等相關(guān)信息。 1auIR/=-  
W\>fh&!)  
處理辦法 Q)~aiI0  
通用的處理流程 qLO4#CKCL6  
1.先保證網(wǎng)絡(luò)正常運(yùn)行 ]3D0R;  
方法一：編輯一個(gè)***.bat文件內(nèi)容如下： BGvre'67  

[pre]arp.exe s S(k3 `;K   **.**.**.**（網(wǎng)關(guān)ip） **** 6Pz4\uE=   ** ncZ+gzK|"   ** NN%*b yK   ** zG }@0   **（ xipU8'ac/   網(wǎng)關(guān)MAC地址） 1jx:; j   end[/pre]

-"R2  
讓網(wǎng)絡(luò)用戶點(diǎn)擊就可以了! j@AIK+0Qc  
辦法二：編輯一個(gè)注冊表問題，鍵值如下： YDIG,%uv  

[pre]Windows Registry Editor Version 5.00 iJ ($YvF4   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Z-$[\le   "MAC"="arp s )%`c_FL@N=   網(wǎng)關(guān)IP地址網(wǎng)關(guān)MAC地址"[/pre]

+vw\y  
然后保存成Reg文件以后在每個(gè)客戶端上點(diǎn)擊導(dǎo)入注冊表。 uF