ARP病毒感染~~~ 求助

发布网友 发布时间：2022-04-20 07:42

我来回答

共5个回答

热心网友 时间：2023-08-01 01:19

1:关闭局域网内所有交换机5分钟后。重新接通电源，观察网络是否恢复正常！（原因：可能是交换机长时间没有重启其内存已用光，导致交换数据速度缓慢，或受网络风暴影响导致阻塞）(另一种可能是交换机的某一个或几个接口模块损坏，或交换机故障引发的网络内暴,解决方法是更换交换机）
解决方案2：找个机器装个CommView，IP地址设置为你的路由器IP（拔掉路由器，使其脱离网络）然后你看看内网机器都向外面发送了什么包，看看哪个机器发包最多，朝什么IP发的？如果发现某机器向外发送大量目的IP是连续的包，且速度很快的话，请修理该机器！
（可能是原因是：局域网中的某一台或者多台机器感染了蠕虫病毒，在疯狂发包，导致路由器NAT连接很快占满）
解决方案3：如果上述二种原因被排除或不能解决其问题，可能是你的路由器性能低劣，处理能力有限造成的。你可以制作ROUTE
OS之类的软件路由器，或者购买3000~5000元左右的硬路由，并更换以观察情况。
解决方案4：局域网内某台/某几台计算机网卡接口损坏，而不停的向网络中发送大量的*数据包造成网络阻塞。（集成网卡容易出现此问题，尤其是网络中机器较多时此问题也是比较难于排查的，可以试着断开某台交换机，进行逐一排查）在确认了是哪台交换机内的机器有问题后。逐台打开这些机器，进入桌面，退出所有管理软件，打开网络连接，在不做任何事的情况下，看谁在大量发包或收包
解决方案5：（此情况比较特殊：局域网中有人使用非法软件恶意攻击网吧 或
ARP病毒攻击网络）在技术员制作母盘时应各面屏蔽非法攻击网吧的一些软件并在可能的情况下对网关MAC进行静态ARP绑定现在也有很多硬路由器有专门的防掉线的功能了，我们网吧的飞鱼星路由器就可以，可定时广播正常的ARP包，如果你是软件路由的话可以用软件进行防护.
这里也借鉴了别人的一些经验!

关于近期全国网吧客户机发生莫明掉线断流的一些解决建议
发生断流时的状况及现象：

1：能PING通网内其它客户机，但PING不通路由，上不了网（连接到INTERNET)。
2：能PING通网内其它客户机，同样PING不通路由，但能上网（能连接到INTERNET）。

当出现此状况时，用下列操作可恢复连接：1：禁用网卡后启用，2：重启客户机，3：重启路由器，4：在路由上删除其掉线机器对应的ARP列表。

原因可能性分析：ARP病毒或其它最新的变种病毒及漏洞攻击。

分析上述状况，可得出以下几点结论：
此病毒感染机器时，可能修改了客户机的MAC地址，或ARP缓存中的本机对应MAC。
此病毒感染机器时，可能修改了客户机ARP缓存中网关IP相对应的MAC。

A：当中毒的机器向网关路由发出请求时，网关路由的ARP缓存还未到刷新时间，网关路由内的ARP缓存表中保存的是客户机还未中毒前的MAC地址。而这个MAC地址，与客户机当前请求的MAC（被病毒修改过）不一致，客户机的连接请求被网关拒绝。即发生与网关断流。

B：当中毒的源头机器向局域网发出假MAC广播时，网关路由也接收到了此消息，并将这些假MAC地址与其IP相对应，并建立新的ARP缓存。导致客户机与服务器断开连接。

解决方法：
1：在网关路由上对客户机使用静态MAC绑定。PF-2.8
OEM软路由的用户可以参照相关教程，或是在IP--->ARP列表中一一选中对应项目单击右键选择“MAKE
STATIC”命令，创建静态对应项。

用防火墙封堵常见病毒端口：134-139，445，500，6677，5800，5900，593，1025，1026，2745，3127，6129
以及P2P下载

2：在客户机上进行网关IP及其MAC静态绑定，并修改导入如下注册表：
（A）禁止ICMP重定向报文

ICMP的重定向报文控制着Windows是否会改变路由表从而响应网络设备发送给它的ICMP重定向消息，这样虽然方便了用户，但是有时也会被他人利用来进行网络攻击，这对于一个计算机网络管理员来说是一件非常麻烦的事情。通过修改注册表可禁止响应ICMP的重定向报文，从而使网络更为安全。

修改的方法是：打开注册表编辑器，找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters”分支，在右侧窗口中将子键“EnableICMPRedirects”(REG_DWORD型)的值修改为0（0为禁止ICMP的重定向报文）即可。

（B）禁止响应ICMP路由通告报文

“ICMP路由公告”功能可以使他人的计算机的网络连接异常、数据被窃听、计算机被用于流量攻击等，因此建议关闭响应ICMP路由通告报文。

修改的方法是：打开注册表编辑器，找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters\Interfaces”分支，在右侧窗口中将子键“PerformRouterDiscovery”�REG_DWORD型的值修改为0（0为禁止响应ICMP路由通告报文，2为允许响应ICMP路由通告报文）。修改完成后退出注册表编辑器，重新启动计算机即可。

（C）设置arp缓存老化时间设置

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters

ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒)
ArpCacheMinReferencedLife REG_DWORD
0-0xFFFFFFFF(秒数,默认值为600)

说明:如果ArpCacheLife大于或等于ArpCacheMinReferencedLife,则引用或未引用的ARP

缓存项在ArpCacheLife秒后到期.如果ArpCacheLife小于ArpCacheMinReferencedLife,

未引用项在ArpCacheLife秒后到期,而引用项在ArpCacheMinReferencedLife秒后到期.
每次将出站数据包发送到项的IP地址时,就会引用ARP缓存中的项。

曾经看见有人说过，只要保持IP-MAC缓存不被更新，就可以保持正确的ARP协议运行。关于此点，我想可不可以通过，修改注册表相关键值达到：

默认情况下ARP缓存的超时时限是两分钟，你可以在注册表中进行修改。可以修改的键值有两个，都位于

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

修改的键值：

键值1：ArpCacheLife，类型为Dword，单位为秒，默认值为120

键值2：ArpCacheMinReferencedLife，类型为Dword，单位为秒，默认值为600

注意：这些键值默认是不存在的，如果你想修改，必须自行创建；修改后重启计算机后生效。

如果ArpCacheLife的值比ArpCacheMinReferencedLife的值大，那么ARP缓存的超时时间设置为ArpCacheLife的值；如果ArpCacheLife的值不存在或者比ArpCacheMinReferencedLife的值小，那么对于未使用的ARP缓存，超时时间设置为120秒；对于正在使用的ARP缓存，超时时间则设置为ArpCacheMinReferencedLife的值。

我们也许可以将上述键值设置为非常大，不被强制更新ARP缓存。为了防止病毒自己修改注册表，可以对注册表加以*。

对于小网吧，只要事先在没遇到ARP攻击前，通过任意一个IP-MAC地址查看工具，纪录所有机器的正确IP-MAC地址。等到受到攻击可以查看哪台机器出现问题，然后通常是暴力解决，问题也许不是很严重。但是对于内网电脑数量过大，每台机器都帮定所有IP-MAC地址，工作量非常巨大，必须通过专门软件执行。

热心网友 时间：2023-08-01 01:20

这个是ARP攻击把

这个问题是可以用腾讯电脑管家处理的

先用管家全盘查杀下把

再开启管家的ARP防火墙就可以

热心网友 时间：2023-08-01 01:20

最简单明了的方法当然就是选择针对arp欺骗的防火墙，下面给你官方下载地址： http://www.antiarp.com/ARP防火墙采用内核层拦截技术和主动防御技术，几大功能模块（拦截ARP攻击/拦截IP冲突/DoS攻击抑制/安全模式/ARP数据分析/监测ARP缓存/主动防御/追踪攻击源/查杀ARP病毒/系统时间保护/IE首页保护/ARP缓存保护/自身进程保护/智能防御）互相配合，可彻底解决ARP相关问题，扼杀DoS攻击源。

热心网友 时间：2023-08-01 01:21

不知道你是在什么地方。。用的是什么方式上网
假如你是在自己家你确定是你没有内部网络的话 那就是ARP攻击了
有内部网络的话那就是和你内部其他的电脑用了一个IP地址
你是后者的可能性大点 改个IP地址就OK
实在有什么不明白的就加我Q问我

热心网友 时间：2023-08-01 01:22

下载扫描病毒的软件．．