扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
不知上班的朋友是否有过这样的经历,尤其是单位用的是局域网,总是出现网络断一会通一会的现象。而且网速很慢,当你重起交换机等设备,或是重启电脑就好了,不过一会就又上不去了,很是烦人。但有的时候却能上去。
其实,若不是网络或设备的问题。那就很可.能是受到了arp病毒的攻击所至。听起来很可怕,这种病毒很早以前就已经有了。它常随一些网游外挂被下载,然后攻击中毒机器所在的局域网,发送病毒数据包,使其他网内电脑不能上网。
我不想说太多它的原理,一些不好理解的东西。在这里我只想告诉你简单的东西,还有怎么去判断和防御病毒攻击,以及如何处理中毒的电脑。
当出现以上现象时,分两种情况。当你网络正常时,你可在“开始”---“运行”中输入"cmd"命令。然后输入arp -a,列出IP地址和Mac地址对照表,这是所有与你的电脑有过通信的设备。必须有的就是网关IP和网关的Mac地址(因为局域网上.网是通过网关的,所以你必须是和网关通信的)。记录下来网关的Mac地址,这时是正确的地址。
当你断网时,再次输入此.命令,这时查看此对照表发现,网关的Mac地址改变了。这就说明你受到了arp病毒的攻击,此Mac地址正是与你在同一网络内中arp病毒的电脑的网卡Mac地址。此时输入arp -d,再看网络发现又能上网了,这就说明是中招了。arp -d是清空arp表的命令。(是不是有些晕~~正常!!)
我们之所以受到攻击时上不去网,是因为中毒的电脑会自动断断续续的向整个局域网内的其他电脑广发病毒包。该病毒包会使其他电脑误以为网关的Mac地址是中毒电脑的网卡Mac地址(因为网内电脑都.是通过网关连接到外网的),这时所有的电脑在收到病毒包后就都连接到中毒电脑(误以为是网关),当然就不能上网了。如果中毒电脑一直连在网络上,那么其他电脑就会一直受影响。
我们已经判断出是否受到arp攻击,并能得到中毒电脑的网卡Mac地址,这时我们就可以去找到这台电脑,断开网线,并进行查杀病毒了。可能会问如何找到这台电脑,方法很多,例如:用sniffer软件去查找,但这就需要对网络和软件的熟悉。
或者在网络正常的时候利用btscan软件来扫描得到网内所有电脑的正确IP--Mac地址对照。当中毒时就能查出此电脑的IP地址了,一般来说大家都能根据IP找到电脑。
如果不能做到这些,最简单最笨的办法就是,你可以在"运行"中,cmd后输入ipconfig -all来查看本台电脑的网卡信息,当中就有此网卡的Mac地址。因为网卡的IP地址可以改变,但Mac地址是出厂时就是唯一的。这样就可以查看电脑网卡的Mac地址,如果与所记录的中毒电脑相同,那么就是它了~~!!拔网线,杀毒吧。
怎么杀?自己上网找专杀,不行的话就重装系统吧(最彻底)。
补充:有的中arp病毒的电脑,你会在进程中发现mir0.dat的进程名,这.正是arp病毒在作祟。但有的就很隐蔽,是不能这样判断的,还要根据前面来判断。
防止arp攻击,可以下载Anti ARP Sniffer(arp防火墙),来预防攻击。也可以在中毒时,对网关绑定其正确的Mac地址。可以用arp -s IP Mac来实现,这样就能够免受arp的欺骗正常上网了。不过开机就需要重新绑定,除非做成开机批处理。它与arp防火墙的原理是相同的。当然做根本的处理办法还是要从根上解决,就是找到中毒电脑,杀掉病毒。
一些小小心得,希望对大家有所帮助,我也是初学不过现在转.行了,没有继续研究下去。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。