ARP病毒终极解决方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
GAMETUZI MSN aipaotuzi@
ARP病毒终极解决方案
说明:
现在网络上ARP类病毒及其变种越来越多,导致网络时断时续,严重影响到公司关健业务如ARP/CRM/OA/APS等应用系统的运行。同时很多用户投诉我们网络部,而我们有苦难言。在采取了一定的技术手段后,目前一切运行正常。即使有ARP病毒发作,影响面很少。针对ARP类病毒,我个人观点如下:
一、检查ARP病毒
检查网络中是否有ARP类病毒,有如下方法:
1、在PC电脑上,输入arp –a 如果看到的网关的MAC和实际不一样,则可
以是感染了ARP类病毒
2、在中心交换机上,输入:sh arp 看到很多IP地址对应的MAC一样,则说
明那个MAC的电脑感染了病毒(远程VPN用户的IP地址除外,因为
VPN用户拨入成功并获取IP地址后,IP对应的是VPN服务器上的MAC
地址)
3、也可以在路由器或交换机上使用debug arp查看或sh logging显示有IP地
址冲突信息
4、如果网关为linux,可以使用命令:tcpdump -nn –i eth0 arp检测,如果出
现如下信息,则说明192.168.0.2感染了arp病毒。
15:01:53.597121 arp who-has 192.168.0.1 tell 192.168.0.2
15:01:53.597125 arp who-has 192.168.0.1 tell 192.168.0.2
15:01:53.617436 arp who-has 192.168.0.2 tell 192.168.0.2
15:01:53.617440 arp who-has 192.168.0.2 tell 192.168.0.2
15:01:53.637942 arp who-has 192.168.0.3 tell 192.168.0.2
15:01:53.637946 arp who-has 192.168.0.3 tell 192.168.0.2
15:01:53.658452 arp who-has 192.168.0.4 tell 192.168.0.2
15:01:53.658456 arp who-has 192.168.0.4 tell 192.168.0.2
15:01:53.678963 arp who-has 192.168.0.5 tell 192.168.0.2
15:01:53.678967 arp who-has 192.168.0.5 tell 192.168.0.2
15:01:53.699464 arp who-has 192.168.0.6 tell 192.168.0.2
…………………
5、使用sniffer,并在交换机上配置SPAN口抓包分析。具体操作可以参考我
的其它文章
6、安装Anti ARP sniffer等之类的软件也可以检测,也可以使用NBTSCAN
检测。
7、如果网络一会断开,一会又好了,很可能是arp病毒在作怪(当然也可能
是其它网络故障,如STP问题,特此声明喜欢钻牛角尖的人找我面谈,我
给他吃一块钻头)
8、其它
二、防范ARP病毒
可采取如下措施:
1、如果条件允许,可以在交换机上配置port-security特性,即某个端口仅允
许某个或某些MAC进出,这样即使中了ARP病毒,也不会影响网络,命
令如下:
interface FastEthernet0/1
port security max-mac-count 1
mac-address-table secure 0000.0000.0010 FastEthernet0/1 vlan 1
。。。。。。。。。
(因大部分公司网络不可能都是中高端交换机,不具有此项管理功能。因此无法配置端口安全)
2、在交换机或网关路由器上进行IP地址与MAC地址的绑定,命令如下:
arp 192.168.1.x 000d.bcb9.d480 arpa
……………
3、通过组策略使用计算机启动时自动进行静态ARP绑定,如建立一下
antiarp.bat,内容如下:
@echo off
arp -d
arp -s 192.168.1.254 00-03-47-e0-8e-1e 此为网关
arp -s 192.168.1.253 00-18-19-00-40-00 此为VPN线路网关
arp -s 192.168.1.1 00-0d-bc-b9-d4-80 此为ERP服务器
…………………
@echo on
注:一般仅绑定网关即可
4、也可以在电脑上安装防arp病毒之类的软件,如Anti ARP Sniffer等。
5、如果小公司的网关路由器具有防arp欺骗功能,则可以开启此功能,有一
定的效果
6、防病毒软件虽然基本上每台电脑都会安装的,但对它不要抱太大希望,根
据本人的经验,一般防病毒软件不能防止ARP类病毒
7、管理员定期检查网络。(可以编写一个脚本,定期检查网络,发现断开就
立即进行邮件提醒)
8、使用防火墙监控网络或网络管理软件进行监控。
9、其它
注:以上方法都用,乃ARP病毒终极解决方法。