(一) ARP病毒的预防
1. 内网IP绑定
§ 按照我们单位的局域网络进行说明:进入路由器ESR-2200 的配置界面, 选择网络配置---内网IP绑定 ---ARP列表,重新扫描。本次扫描的内网IP地址是最新的IP地址,全部选中,复制粘贴到ARP列表内。单击确定按纽。对内网的所有客户端IP---MAC地址进行有效帮定。
§在所有的客户端上对网关IP---MAC地址进行有效绑定。
这里的绑定文件采用记事本,word等文本编辑工具,然后保存为.bat文件即可。arp -s IP地址MAC地址。如:我们单位的网关IP为 192.168.1.1 MAC 地址为 00-50-7F-24-CA- 9C
arp -s 192.168.1.1 00-50-7F-24-CA- 9C把windows 自启动批处理文件放在各个主机的“启动”文件夹中,保证计算机启动后就执行上面操作,配置不会丢失。
2.使用防护软件预防arp病毒
§360安全卫士
打开360安全卫士---适时保护---开启ARP 防火墙---重新启动计算机。
打开360安全卫士---适时保护---高级设置----ARP 防火墙---添加保护网关IP/MAC(192.168.1.1/00-50-7F-24-CA- 9C )---保存设置。
§彩影软件的ARP防火墙(http://www.antiarp.com)。
§瑞星个人防火墙
打开瑞星个人防火墙---网络安全---ARP欺骗防御---设置---ARP欺骗防御---ARP静态规则---增加IP地址、MAC地址(网关)---应用---确定。
(二) ARP病毒的清除
§利用arp -a命令来查看,如果发现有两个不同主机的MAC地址一样,或者直接ping 网关IP地址,然后 “arp –a”查看,如果显示的网关 IP地址与原有的IP地址不一样,即可发现ARP病毒源主机所对应的IP 地址,就可以确定ARP病毒源了,然后对其进行断网,并用专门的工具软件进行病毒处理。
§Nbtscan扫描全网段IP地址和MAC地址对应表,如果发现有两个不同主机的MAC地址一样,则证明肯定其中有一个是盗用了另一个主机(通常是网关)的MAC地址,只要对照一下原网关MAC地址即可发现ARP病毒源主机所对应的IP 地址,就可以确定ARP病毒源了,然后对其进行断网,并用专门的工具软件进行病毒处理。
本文转自 jiangxuezhi2009 51CTO博客,原文链接:http://blog.51cto.com/jiangxuezhi/171054 ,如需转载请自行联系原作者
