¿Cómo lidiar con el virus arp?

El primer paso es ingresar a la ventana de MS-DOS cuando puedas acceder a Internet e ingresar el comando: arp

–a

Comprueba la MAC correcta dirección correspondiente a la IP de la puerta de enlace, regístrela.

Nota: Si Internet ya no está disponible, ejecute el comando arp primero

–d para eliminar el contenido en el caché de arp. La computadora puede reanudar temporalmente el acceso a Internet (si el. el ataque no se detiene), una vez que pueda acceder a Internet, desconecte inmediatamente la red (deshabilite la tarjeta de red o desconecte el cable de red) y luego ejecute arp

–a.

El segundo paso,

Si ya tiene la dirección MAC correcta de la puerta de enlace, cuando no pueda acceder a Internet, vincule manualmente la IP de la puerta de enlace y la MAC correcta para garantizar que la La computadora ya no se ve afectada por los ataques. Para el enlace manual, ejecute el siguiente comando en la ventana de MS-DOS:

arp

–s

IP de puerta de enlace

MAC de puerta de enlace

Por ejemplo: suponga que la puerta de enlace del segmento de red donde se encuentra la computadora es 218.197.192.254 y la dirección local es 218.197.192.1 después de ejecutar arp

–a. en la computadora, el resultado es el siguiente:

C:\Documents

and

Settingsgt

-a

Interfaz:

218.197.192.1

---

0x2

Internet

Dirección

Dirección física

Tipo

218.197.192.254

00-01-02-03-04 -05

dinámica

00-01-02-03-04-05 es la dirección MAC correspondiente a la puerta de enlace 218.197.192.254. El tipo es dinámico, por lo que se puede cambiar.

Después de ser atacado, use este comando para verificar nuevamente y encontrará que la MAC ha sido reemplazada por la MAC de la máquina atacante. Si desea encontrar la máquina atacante y erradicar completamente el ataque, puede cambiar la MAC en este momento. La MAC se registra para prepararse para búsquedas futuras.

El comando para el enlace manual es:

arp

–s

218.197.192.254

00- 01-02-03-04-05

Después del enlace, puede usar arp

–a para ver el caché de arp,

C:\Documents< / p>

y

Configuracióngt; arp

-a

Interfaz:

218.197.192.1

---

0x2

Internet

Dirección

Dirección física

Dirección

Tipo

218.197.192.254

00-01-02-03-04-05

estático

En este momento, el tipo cambia. Si es estático, ya no se verá afectado por los ataques. Sin embargo, debe tenerse en cuenta que la vinculación manual dejará de ser válida después de apagar y reiniciar la computadora, y será necesario vincularla nuevamente. Por lo tanto, para erradicar completamente el ataque, la única forma de solucionar el problema es encontrar los ordenadores infectados por el virus en el segmento de red y desinfectarlos. Métodos para descubrir la computadora con virus:

Si ya tiene la dirección MAC de la computadora con virus, puede usar el software NBTSCAN para averiguar la IP correspondiente a la dirección MAC en el segmento de red, es decir, la dirección IP de la computadora con el virus y luego informarlo. El centro de red de la escuela se apoderó de ella.

Cómo usar NBTSCAN:

Descargue nbtscan.rar en el disco duro y descomprímalo, luego copie los archivos cygwin1.dll y nbtscan.exe en c:\windows\system32 ( o sistema), ingrese a la ventana de MSDOS e ingrese el comando:

nbtscan

-r

218.197.192.0/24

( Supongamos que el segmento de red donde se encuentra la máquina es 218.197.192 y la máscara es 255.255.255.0; cuando se utiliza este comando, la parte en cursiva debe cambiarse al segmento de red correcto)

Nota: Cuando se usa nbtscan, a veces debido a que algunas computadoras tienen software de firewall instalado, la salida de nbtscan está incompleta, pero puede reflejarse en el caché arp de la computadora. Por lo tanto, cuando usa nbtscan, también puede ver el caché arp al mismo tiempo para obtenerlo. una IP y MAC más completa de la computadora en el segmento de red correspondiente.