¿Cómo determinar eficazmente qué máquina de la LAN está infectada con el virus arp?

¿Cómo determinar efectivamente qué máquina en la LAN está infectada con el virus arp?

Yo también lo he encontrado, pero debido a que hay relativamente pocas máquinas en nuestra red local, solo 10, y la mayoría de mis máquinas están equipadas con 360 Security Guard, que tiene un firewall ARP, solo hay una. La máquina no estaba instalada, así que lo hice muy rápido. Pensé que si no funcionaba, podría probarlo en el conmutador. No debería llevar mucho tiempo probarlos uno por uno. ¡No sé si esto te ayuda! ¿Cómo comprobar qué máquina tiene el virus arp en la red local?

Puede verificar la cantidad de conexiones de red externa de cada computadora en el enrutador. Si no hay un número de conexión de descarga de BT Thunder, definitivamente no excederá los dos dígitos. La cantidad de conexiones de computadoras infectadas con ARP. El virus será miles. Este método es el más rápido y puede detectar y desconectar rápidamente las computadoras infectadas de Internet. La mayoría de los enrutadores empresariales tienen esta función. Existe otro método que resulta más problemático, que consiste en comprobar cada dispositivo uno por uno. Sólo necesitas mirar la conexión local de cada computadora (las dos computadoras pequeñas en la parte inferior derecha de la pantalla). Si la conexión local está siempre activa, transmite y recibe datos sin parar y recibe miles de paquetes de datos cada vez (siempre que no utilice Thunder BT para descargar), entonces esta computadora debe estar infectada con un virus ARP.

Le recomendamos un software antivirus, es de primera clase para eliminar virus troyanos de forma gratuita.

Vaya al interruptor principal en la sala de computadoras de la empresa y use una computadora para hacer PING. la puerta de enlace, como por ejemplo: ping 192.168.0.1 -t Si hay una computadora en la LAN que está infectada por el virus ARP, el valor de PING debe ser muy alto y los paquetes a menudo se pierden si el valor de PING normal es menor. 1MS. Ahora ya sabe qué hacer. Desenchufe los cables de red uno por uno y vea si el valor de PING del cable de red es normal. Entonces ha encontrado la computadora infectada. En su caso, debe tener paciencia. , esta también es una manera. Cómo determinar si su propia máquina se ve afectada por arp o si una máquina de la red local se ve afectada. Cómo encontrar el huésped del virus. ¿Es fácil de usar el arp de 360?

Recuerde hacer ping a la puerta de enlace primero. Simplemente hazle ping.

Luego ejecute arp -a

y verifique la dirección mac de la puerta de enlace.

En este momento, la dirección mac de la puerta de enlace es la dirección mac de la máquina infectada con el virus.

Si eres administrador de red, puedes ir a la puerta de enlace y mirar la tabla de enrutamiento para comprobar la IP real de la máquina envenenada.

Si no eres administrador de red. Haga ping a cada dispositivo en la intranet y verifique la dirección mac.

¿Cómo comprobar qué máquina tiene el virus arp en la red local? Huawei 3026E

Solución a la desconexión instantánea de la red local tras ser atacado por un virus variante ARP

Prólogo: En 2006, los virus ARP y LOGO1 fueron los más dañinos para la red local. En la etapa inicial, generalmente se puede resolver utilizando el método de fijación bidireccional.

Sin embargo, la variante ARP apareció a finales de octubre. Es posible que todavía le preocupe que la puerta de enlace se desconecte y piense. es un problema de telecomunicaciones. De hecho, no es una variante del virus Process ARP - variante OK virus - variante TrojanDropper.Win32.Juntador.f o TrojanDropper.Win32.Juntador.C

La variante ARP actual. El virus es aún más poderoso. Te contaré lo que encontré. Déjame decirte que si tienes esta situación, lamento decirte "felicidades".

Has ganado el premio mayor, jaja~~.

Primero, comprenda las características de las variantes de virus ARP:

p>

Uno: destruya su procesamiento por lotes de enlace bidireccional ARP

Dos: cambie el máquina envenenada en un servidor proxy, también llamado enrutamiento proxy

Tres: cambiar la puerta de enlace de enrutamiento La dirección MAC del enrutador es la misma que la dirección MAC de la puerta de enlace interna

Brote de virus Situación: la variante ARP actual no ataca la dirección MAC del cliente para atacar la puerta de enlace de la intranet de enrutamiento, pero cambia su principio. Estoy realmente impresionado.

¿Conoce la dirección que ataca directamente su ruta? Jaja~~Adivina~~No lo revelaré~~La nueva variante ARP ataca directamente la dirección MAC de su ruta y la puerta de enlace de la red externa

Y agrupa directamente la IP y MAC vinculantes. El archivo es desactivado. En un momento, todos están desconectados, y en otro momento, algunos están desconectados. Además

Una computadora infectada con ARP la convertirá en un servidor proxy en la intranet para robo de cuentas y ataques. Si descubre que no está desconectado después de haber sido atacado por ARP, significa que ha sido afectado por la última variante. Siempre que reinicie la computadora que está infectada con el virus ARP, todo el proceso. las máquinas que son atacadas por ARP estarán fuera de línea

La puerta de enlace en la red interna no descarta paquetes, pero la IP y el DNS en la red externa caen enormemente. Este también es el caso con las variantes de ARP. atención a esto.

Anunciaré los casos resueltos y los parches relacionados al final. Lee el texto completo, que puede resultarte útil. No te apresures a descargarlo~jaja~

. Cuando el virus ataca La característica es que la máquina envenenada falsificará la dirección MAC de una determinada computadora. Si la dirección falsificada es la dirección del servidor de puerta de enlace, tendrá un impacto en todo el cibercafé. Los usuarios experimentarán interrupciones frecuentes. acceder a Internet.

1. Ingrese al símbolo del sistema (o modo MS-DOS) en cualquier computadora cliente y use el comando arp -a para ver:

C:\WINNT\system32gt; a

Interfaz: 192.168.0.193 en la interfaz 0x1000003

Tipo de dirección física entre direcciones

192.168.0.1 00-50-da-8a-62-2c dinámica

192.168.0.23 00-11-2f-43-81-8b dinámico

192.168.0.24 00-50-da-8a-62-2c dinámico

192.168 .0.25 00-05-5d-ff-a8-87 dinámico

192.168.0.200 00-50-ba-fa-59-fe dinámico

Puedes ver que hay son dos máquinas La dirección MAC es la misma, entonces el resultado de la verificación real es que 00-50-da-8a-62-2c es la dirección MAC de 192.168.0.24 y la dirección MAC real de 192.168.0.1 es 00-02 -ba-0b-04-32 Se puede determinar que 192.168.0.24 es en realidad una máquina infectada por un virus que falsificó la dirección MAC 192.168.0.1.

2. Ingrese al símbolo del sistema (o modo MS-DOS) en 192.168.0.24 y use el comando arp –a para ver:

C:\WINNT\system32gt - a

Interfaz: 192.168.0.24 en la interfaz 0x1000003

Tipo de dirección física entre direcciones

192.168.0.1 00-02-ba-0b-04-32 dinámica

192.168.0.23 00-11-2f-43-81-8b dinámico

192.168.0.25 00-05-5d-ff-a8-87 dinámico

192.168.0.193 00-11-2f-b2-9d-17 dinámico

192.168.0.200 00-50-ba-fa-59-fe dinámico

Puedes ver el virus La dirección MAC que se muestra en la máquina es correcta y la velocidad de ejecución de la máquina es lenta. Esto debería deberse a que todo el tráfico se reenvía a través de la máquina en el segundo piso. Después de reiniciar la máquina, todas las computadoras en el cibercafé no pueden acceder. Internet Tienen que esperar a que se reorganice el arp. La dirección MAC vuelve a la normalidad solo después de 2 o 3 minutos.

3. Si el host puede ingresar a la ventana DOS, use el comando arp -a para ver un fenómeno similar al siguiente:

C:\WINNT\system32gt;

Interfaz: 192.168.0.1 en la interfaz 0x1000004

Tipo de dirección física entre direcciones

192.168.0.23 00-50-da-8a-62-2c dinámica

192.168.0.24 00-50-da-8a-62-2c dinámico

192.168.0.25 00-50-da-8a-62-2c dinámico

192.168.0.193 00 -50-da-8a-62-2c dinámico

192.168.0.200 00-50-da-8a-62-2c dinámico

Cuando el virus no ataca , el servidor proxy La dirección que se ve en el servidor es la siguiente:

C:\WINNT\system32gt; arp -a

Interfaz: 192.168.0.1 en la interfaz 0x1000004

Tipo de dirección física entre direcciones

192.168.0.23 00-11-2f-43-81-8b dinámica

192.168.0.24 00-50-da-8a-62- 2c dinámico

192.168.0.25 00-05-5d-ff-a8-87 dinámico

192.168.0.193 00-11-2f-b2-9d-17 dinámico

192.168.0.200 00-50-ba-fa-59-fe dinámico

Cuando el virus ataca, puede ver que las direcciones mac de todas las direcciones IP se modifican a 00-50-da- 8a-62-2c Normalmente puedes ver que las direcciones MAC no son las mismas.

El éxito es la espera subconsciente: ¡el aprendizaje no tiene fin! El más débil es el más fuerte

Siga los pasos paso a paso

Solución uno:

1. Utilice el cliente y el servidor de puerta de enlace para realizar el método de enlace ARP estático para resolver.

1. Realice un enlace ARP estático del servidor de puerta de enlace en todas las máquinas cliente.

Primero verifique la dirección MAC local en la computadora del servidor de puerta de enlace (host proxy)

C:\WINNT\system32gt; ipconfig /all

Adaptador de éter; Conexión local 2:

Sufijo DNS específico:

Adaptador PCI (TX). /p>

Dirección física. No

.

Luego realice el enlace estático de ARP bajo el comando DOS de la máquina cliente

C:\WINNT\system32gt; arp –s 192.168.0.1 00-02-ba-0b -04 -32

Nota: Si es posible, se recomienda vincular las direcciones IP y MAC de todos los demás clientes en la computadora cliente.

2. Realice un enlace estático ARP en la máquina cliente en la computadora del servidor de puerta de enlace (host proxy)

Primero, verifique las direcciones IP y MAC en todas las máquinas cliente. El comando es el anterior.

Luego realice el enlace estático ARP de todos los servidores cliente en el host proxy. Por ejemplo:

C:\winnt\system32gt; arp –s 192.168.0.23 00-11-2f-43-81-8b

C:\winnt\system32gt; s 192.168.0.24 00-50-da-8a-62-2c

C:\winnt\system32gt; arp –s 192.168.0.25 00-05-5d-ff-a8-87

. . . . . . . . .

3. El enlace estático anterior de ARP finalmente se convierte en un archivo de inicio automático de Windows, lo que permite que la computadora realice las operaciones anteriores tan pronto como se inicia, asegurando que la configuración no se pierda.

2. Los cibercafés que tienen las condiciones pueden vincular la dirección IP y la dirección MAC en el conmutador.

3. Una vez vinculadas la IP y la MAC, es necesario volver a vincularlas. vinculado cuando se reemplaza la tarjeta de red, por lo que se recomienda instalar un software antivirus en la computadora cliente para resolver tales problemas: el virus descubierto por este cibercafé está incluido en Gearbox 2.04B y el programa de virus está en: wgwang. ./list/3007. Se puede descargar en:

Solución 2:

1: Utilice un enlace MAC estático para el cliente en la ruta de la puerta de enlace. Los usuarios de enrutamiento suave de ROUTE OS pueden consultar los tutoriales relevantes o seleccionar los proyectos correspondientes uno por uno en la lista IP---gt; hacer clic derecho y seleccionar el comando "MAKE STATIC" para crear los elementos estáticos correspondientes.

Utilice firewall para bloquear puertos de virus comunes: 134-139, 445, 500, 6677, 5800, 5900, 593, 1025, 1026, 2745, 3127, 6129 y descargas P2P

2: Vincule estáticamente la IP de la puerta de enlace y su MAC en la computadora cliente, y modifique e importe el siguiente registro:

(A) Deshabilite los mensajes de redireccionamiento ICMP

ICMP El mensaje de redireccionamiento controla si Windows cambiará la tabla de enrutamiento en respuesta al mensaje de redireccionamiento ICMP que le envía el dispositivo de red. Aunque esto es conveniente para los usuarios, a veces otros pueden usarlo para llevar a cabo ataques de red. Es algo muy problemático para los administradores de red. Al modificar el archivo de inicio de sesión, puede desactivar las respuestas a los mensajes de redireccionamiento ICMP, lo que hace que la red sea más segura.

El método de modificación es: abrir el editor de archivos de inicio de sesión, buscar o crear una nueva rama "HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters" y cambiar la subclave "EnableICMPRedirects" (tipo REG_DWORD) en (en la ventana derecha) el valor se puede cambiar a 0 (0 significa que los mensajes de redireccionamiento ICMP están prohibidos).

(B) Prohibido responder a mensajes de anuncio de enrutamiento ICMP

La función "Anuncio de enrutamiento ICMP" puede provocar que las computadoras de otras personas tengan conexiones de red anormales, que se escuchen datos y que las computadoras para ser utilizado Ataques de tráfico, etc., por lo que se recomienda desactivar la respuesta a mensajes de publicidad de ruta ICMP.

El método de modificación es: abrir el editor de archivos de inicio de sesión, buscar o crear una nueva rama "HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters\Interfaces" y cambiar la subclave "PerformRouterDiscovery". REG_DWORD escriba el valor en 0 (0 significa deshabilitar las respuestas a los mensajes de anuncio de ruta ICMP, 2 significa permitir respuestas a los mensajes de anuncio de ruta ICMP). Una vez completada la modificación, salga del editor de archivos de inicio de sesión y reinicie la computadora.

(C) Establecer la configuración del tiempo de caducidad de la caché arp

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters

ArpCacheLife REG_DWORD 0-0xFFFFFFFF (Número de segundos, el valor predeterminado es 120 segundos)

ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF (Número de segundos, el valor predeterminado es 600)

Descripción: Si ArpCacheLife es mayor o igual que ArpCacheMinReferencedLife, entonces Las entradas de caché ARP referenciadas o no referenciadas caducan después de los segundos de ArpCacheLife. Si ArpCacheLife es menor que ArpCacheMinReferencedLife,

Las entradas sin referencia caducan después de los segundos de ArpCacheLife, mientras que las entradas referenciadas caducan después de los segundos de ArpCacheMinReferencedLife.

Se hace referencia a la entrada en la caché ARP cada vez que se entrega un paquete saliente a la dirección IP de la entrada.

Una vez vi a alguien decir que mientras no se actualice la caché IP-MAC, se puede mantener la ejecución correcta del protocolo ARP. Con respecto a este punto, me pregunto si es posible modificar los valores clave relevantes en el archivo de inicio de sesión para:

De forma predeterminada, el tiempo de espera de la caché ARP es de dos minutos y puede modificarlo en el inicio de sesión. archivo.

Hay dos valores clave que se pueden modificar, ambos ubicados en

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

Valores clave modificados:

Valor clave 1: ArpCacheLife, el tipo es Dword, la unidad son segundos, el valor predeterminado es 120

Valor clave 2: ArpCacheMinReferencedLife, el tipo es Dword, la unidad son segundos, el valor predeterminado es 600

Nota: Estos valores clave predeterminados no existen. Si desea modificarlos, debe crearlos usted mismo; las modificaciones surtirán efecto después de reiniciar la computadora.

Si el valor de ArpCacheLife es mayor que el valor de ArpCacheMinReferencedLife, entonces el tiempo de espera de la caché ARP se establece en el valor de ArpCacheLife si el valor de ArpCacheLife no existe o es menor que el valor de ArpCacheMinReferencedLife; luego, para ARP no utilizado para el caché, el tiempo de espera se establece en 120 segundos; para el caché ARP en uso, el tiempo de espera se establece en el valor de ArpCacheMinReferencedLife;

Es posible que podamos configurar el valor de clave anterior para que sea muy grande y no vernos obligados a actualizar la caché ARP. Para evitar que el virus modifique el archivo de inicio de sesión, se pueden imponer restricciones al archivo de inicio de sesión.

Para los cibercafés pequeños, simplemente utilice cualquier herramienta de visualización de direcciones IP-MAC para registrar las direcciones IP-MAC correctas de todas las máquinas antes de encontrarse con ataques ARP. Después de ser atacado, puedes comprobar qué máquina tiene el problema y, por lo general, resolverlo con violencia. El problema puede no ser muy grave. Sin embargo, si la cantidad de computadoras en la intranet es demasiado grande, cada máquina debe determinar todas las direcciones IP-MAC. La carga de trabajo es muy grande y debe realizarse mediante software especializado.

Solución 3:

Eliminar system32\npptools.dll. Se eliminó del cibercafé que mantengo durante un mes. Nunca me han infectado los virus ARP y los ha habido. no hay reacciones adversas El virus ARP carece del archivo npptools.dll y no se puede ejecutar en absoluto. Todos los virus ARP descubiertos hasta ahora indican que npptools.dll tiene un error y no se puede ejecutar.

No hay ningún virus que. puede generar automáticamente npptools.dll, npptools El dll en sí tiene más de 40K. Si un virus quiere generar su propia biblioteca de ejecución, no puede hacerlo con un tamaño de docenas de K. Si es más grande, no será un. virus

Por supuesto, todavía es necesario realizar el enlace ARP -S que solo une la máquina y el enrutador, lo que puede reducir el daño del programa ARP hasta "cierta medida"

Si no se puede eliminar al camarada, primero desactive la protección de archivos. La forma más sencilla es desactivarla usando Un punto: no olvide configurar la puerta de enlace de la red externa y la MAC. ejemplo.

IP: 10.10.10.10

Máscara de subred: 255.255.255.255

Puerta de enlace: 10.10.10.9 [Asegúrese de asociar esta dirección de puerta de enlace y MAC]

DNS: 222.222.222.222

DNS de respaldo: 222.222.221.221

Personalmente recomiendo herramientas y parches de seguridad:

Yo personalmente Creo que el enrutamiento de TP-LINK480T es muy bueno en este sentido. Para más detalles, consulte la introducción de enrutamiento de TP-LINK480T en este sitio

p>

Si es un pequeño cibercafé. TP-LINK480T, actualice a la última versión, que está disponible para descargar en este sitio

Si está utilizando Cisco y Huawei, conecte la dirección de puerta de enlace y MAC

Herramientas recomendadas : AntiArpSniffer3 última versión

Parche: programa de enlace mAC

Parche anti-ARP Vnd8.28

Virus variante ARP Parche de Microsoft

TP -LINK480T último parche de actualización

¡Puede instalar la versión de red del software antivirus ARP y luego realizar la vinculación de direcciones bidireccional!

Solución a la desconexión instantánea de la red local tras ser atacada por el virus variante ARP Prefacio: En 2006, los virus ARP y LOGO1 fueron los más dañinos para la red local. En la etapa inicial, generalmente usamos bidireccional. El método fijo se puede resolver, pero la variante ARP aparece a fines de octubre. Es posible que todavía le preocupe que la puerta de enlace esté fuera de línea y piense que es un problema de telecomunicaciones. El proceso no es el virus ARP - variante OK virus - variante TrojanDropper.Win32.Juntador.f o TrojanDropper.Win32.Juntador.C La variante del virus ARP actual es aún más poderosa. Les contaré a todos las situaciones que he encontrado. Si tienes estas situaciones, lo siento "Felicitaciones". Has ganado el premio mayor, jaja ~~ Primero, comprenda las características de los virus variantes de ARP: 1: Destruya su procesamiento por lotes de enlace bidireccional ARP 2: Cambie la máquina envenenada a un proxy. servidor, también llamado enrutamiento proxy 3: Cambie la puerta de enlace de enrutamiento La dirección MAC del enrutador es la misma que la dirección MAC de la puerta de enlace interna Situación de brote de virus: la variante ARP actual no ataca la dirección MAC del cliente para atacar la intranet de enrutamiento. puerta de enlace, pero cambia su principio. Esto es realmente admirable y ataca directamente su ruta. ¿Conoce la dirección? Jaja~~Adivina~~No te lo voy a decir~~La nueva variante ARP ataca directamente la dirección MAC de tu enrutador y la puerta de enlace de la red externa, y directamente

Luego, el archivo por lotes que vincula IP y MAC se desactiva. En un momento, todos están desconectados, y en otro momento, algunos están desconectados. Además, una computadora infectada con ARP la convertirá en un servidor proxy en la intranet para realizar robos de cuentas y lanzar ataques. Si descubre que no está desconectado después de haber sido infectado por ARP, significa que ha sido infectado por la última variante. Siempre que reinicie la computadora infectada por el virus ARP, todas las máquinas atacadas por ARP lo harán. estar fuera de líneaLa puerta de enlace de la red interna no descartará paquetes y la IP y el DNS de la red externa están cayendo enormemente. Este también es el caso con la aparición de variantes de ARP. Publicaré los casos resueltos y los parches relacionados al final. Lea el texto completo, que puede resultarle útil. No se apresure a descargarlo ~ jaja ~ La característica de este virus cuando ataca es que la máquina infectada lo hará. falsificar la dirección MAC de una determinada computadora, si la dirección falsificada es la dirección del servidor de puerta de enlace, tendrá un impacto en todo el cibercafé y los usuarios experimentarán interrupciones frecuentes en el acceso a Internet. 1. Ingrese al símbolo del sistema (o al modo MS-DOS) en cualquier computadora cliente y use el comando arp -a para ver: C:\WINNT\system32gt; arp -a Interfaz: 192.168.0.193 en la interfaz 0x1000003 Tipo de dirección física entre direcciones 192.168.0.1 00-50-da-8a-62-2c dinámico 192.168.0.23 00-11-2f-43-81-8b dinámico 192.168.0.24 00-50-da-8a-62-2c dinámico 192.168.0.25 00- 05- 5d-ff-a8-87 dinámico 192.168.0.200 00-50-ba-fa-59-fe dinámico Puede ver que dos máquinas tienen la misma dirección MAC, por lo que el resultado de la verificación real es 00-50-da-8a -62- 2c es la dirección MAC de 192.168.0.24, y la dirección MAC real de 192.168.0.1 es 00-02-ba-0b-04-32. Podemos determinar que 192.168.0.24 es en realidad una máquina infectada por virus. que falsificó la dirección MAC de 192.168.0.1. 2. Ingrese al símbolo del sistema (o modo MS-DOS) en 192.168.0.24 y use el comando arp -a para ver: C:\WINNT\system32gt; arp -a Interfaz: 192.168.0.24 en la interfaz 0x1000003 Inter dirección Tipo de dirección física 192.168 .0.1 00-02-ba-0b-04-32 dinámico 192.168.0.23 00-11-2f-43-81-8b dinámico 192.168.0.25 00-05-5d-ff-a8-87 dinámico 192.168.0.193 00- 11 -2f-b2-9d-17 dinámico 192.168.0.200 00-50-ba-fa-59-fe dinámico Puede ver que la dirección MAC que se muestra en la máquina con el virus es correcta y la máquina se ejecuta lentamente, lo que debería Este es el caso para todos El tráfico se reenvía a través de la máquina en la segunda capa. Después de reiniciar la máquina, todas las computadoras en el cibercafé no pueden acceder a Internet. Solo puede ser normal después de que arp reorganice la dirección MAC. publicación original gt; gt; Hay una máquina en la red local ¿Qué debo hacer si obtengo un acceso ARP?

Si el sistema está desconectado de Internet, simplemente aplique parches y software antivirus. En la red local, una máquina es atacada por ARP. ¿Cómo puedo comprobar qué máquina está envenenada?

Qué experto puede ver a simple vista. . .

Nuestra empresa también fue atacada el mes pasado. Lo descubrí usando 360. Configuré el firewall ARP para interceptar el ataque y descubrir la dirección IP del ataque. Dirección del ataque en la red de área local. El virus ARP es atacado constantemente. ¿Cómo puedo saber de qué máquina proviene el virus?

1. Un método relativamente simple

a. Ejecute cmd

b. En la interfaz de línea de comando, ingrese arp -a y presione Enter

c, primero mire la información de mac de su IP de puerta de enlace actual, por ejemplo, 10.16.0.1 y la MAC es 00-00-00-00-00-00 (confirme si es la mac de su propia puerta de enlace, si no, entonces puede estar sujeto a un ataque arp), escriba esta dirección mac falsa y luego busque la misma dirección IP que esta mac en los datos que acaba de obtener de arp -a, y luego vaya a la máquina para verificarla.

2. Ejecute el software de captura de paquetes durante aproximadamente 30 segundos. Verifique los paquetes de datos capturados para las direcciones mac que aparecen con mayor frecuencia en los mensajes ARP. Si hay una dirección mac registrada en la red, estime cuál. lo es. Creo que estará disponible pronto

3. Si no tiene miedo de tener problemas, todas las computadoras en la red deben aplicar un parche que restrinja la función de envío de paquetes arp o habilitar el método de inicio de sesión del usuario. de la red pppoe Algunas computadoras con una gran cantidad de transmisión de datos interna Para una IP de servicio, puede especificar una subred más pequeña y dejar que tomen una ruta directa. La red de área de la unidad ha sido infectada por el virus ARP, atacando a cientos de máquinas. ¿Cómo detectarlo y cómo eliminarlo?

Solución

¡Hola! Métodos comunes para lidiar con virus ARP en LAN:

1. Verifique si ha sido infectado por el virus ARP. Síntomas del virus ARP: el acceso a Internet es intermitente y el acceso a los vecinos en Internet es el mismo. No se puede completar la copia de archivos y se producen errores en la red local, y se encuentran direcciones MAC anormales al utilizar la consulta ARP; o Es una correspondencia de dirección MAC incorrecta y también puede haber situaciones en las que una dirección MAC corresponda a varias IP.

2. Elimina el virus ARP en la red local. Consulte: feiying.blog.51cto./230250/42812

3. Medidas preventivas

a. Actualice oportunamente el sistema operativo del cliente y los parches de las aplicaciones;

c. Si el tamaño de la red es pequeño, intente especificar manualmente la configuración de IP en lugar de usar DHCP para asignar direcciones IP.

d. Si el conmutador lo admite, vincule la dirección MAC y la dirección IP en el conmutador (no es una buena idea)