经过这段时间的工作, 特将此次给单位查杀ARP病毒的过程及体难发上来供大家参考, 希望能给大家有所帮助。
本人单位的局域网前段时间感染了ARP病毒, 用了两个星期的时间致力于和ARP病毒做斗争, 瑞星查杀不了, ARP专杀工具不起作用, 影响极其劣, 局域网以及内部广域网每隔20分钟就断掉时, 通时断, 视频会议无法进行, 本人在网上查找了大量资料, 也试过多种方法, 无法很好地解决。 只能靠自己多年的经验边摸索边实践, 现将整个过程写出来和大家分享一下, 希望能给碰到这种情况的兄弟有点帮助。
这里先介绍一下什么是ARP。 ARP(AddressResolutionProtocol)地址解析协议用于将计算机的网络IP地址转化为物理MAC地址。 ARP协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。 在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表, 表里的IP地址与MAC地址是一一对应的, 如果系统ARP缓存表被修改不停的通知路由器一系列错误的内网IP或者干脆伪造一个假的网关进行欺骗的话, 网络就肯定会出现大面积的掉线问题。 ARP攻击在现今的网络中频频出现, 有效的防范ARP形式的网络攻击已成为确保网络畅通必要条件。 ARP病毒攻击与普通病毒不同, 它是一类病毒攻击行为的总称, 而具体的病毒攻击文件不固定, 查杀中很难进行全面地防御, 因此防御此类病毒攻击通常从拦截网络行为入手, 以前的ARP病毒攻击, 只需绑定网关和本机IP地址与MAC网卡地址, 新的ARP病毒则需要全面的拦截防御。
基本知识介绍完毕, 开始工作。 首先, 也是最重要的一步, 设法获取局域网网关的真实IP及MAC, 如果以前保存有网络参数配置数据, 那么这一步很简单了, 接下来的工作也轻松许多, 我这里除服务器外, 工作站都是通过DHCP获取IP, 没有采用静态IP, 如果是采用静态IP, 那么你可以试试双向绑定工作站的IP和网关的MAC。 服务器安装的是win2000 server sp4, 工作站端安装的是win2000和win XP。 接下来就要把你提前准备好的各种杀软和维护工具(我准备的是ARP防火墙网络版、360安全卫士、AV终结者专杀、U盘病毒专杀、完美卸载2008版、ARP病毒专杀工具, 当然你可以再多准备几款工具)下发到每台工作站上面, 有条件最好准备好相关的系统安全补丁。
接下来就要找到一台正常的工作站及服务器, 如果不行那就用一台干净的笔记本电脑接入局域网吧, 安装ARP防火墙服务器端软件, 设置好网关真实IP及MAC, 作为防火墙服务器管理监控端使用, 并在每台工作站端安装ARP防火墙客户端软件, 安装好后断开网络, 开始对每台工作站进行查杀工作, 本人首先使用的是完美卸载进行了系统垃圾清理、插件清理以及木马清理, 如果不放心还可以用多种木马清除工具再次扫描, 顺便做了下磁盘整理, 完成后使用其他准备好的工具都扫描一遍, 打好系统安全补丁, 接着就重启计算机, 进入安全模式, 运行杀毒软件进行全盘扫描。 所有工作完成后就可以接入网络了, 但还不能保证能够清除ARP病毒。
最后一步, 回到安装有ARP防火墙服务器端的电脑旁, 坐下来, 仔细查看监控信息, 因为事先设置好的网关真实IP及MAC, 如果在监控端发现的有工作站在发送非可信路由的数据包, 那么这些工作站肯定感染了ARP病毒, 这种情况下, 本人建议对这几台机子进行系统重装并格式化各分区, 前提是要备份好重要数据, 这样才能真正保证清除了ARP病毒, 除此之外, 本人也没找到更好更快速的解决办法, 如果有哪位兄弟有心得希望提供一下方法, 让我也学习学习。 谢谢!
因为这一次被动防御, 如果平时更加主动防范一下, 也不会造成如此局面, 所以平常的防范很重要。 还好目前本人已经基本控制了局面, 不再为ARP病毒烦恼了。
需要说明一下, 由于我使用的ARP防火墙网络版软件是免费的, 所以安装后会有一个小小的困扰, 防火墙不允许修改IE首页, 如果你的局域网有内部网站, 建议你使用其他的浏览器。
……