刚中了ARP 病毒，特来请教一下

myciciy

刚刚收到消息 我们公司服务器 也重了 哈哈

肖斯沃勒

FuryMythos

anti arp snifer
并不是很管用。
最好还是把每把PC IP进行绑定

davidlili

把MAC地址记录下来（利用软件扫描很简单的），如果觉得种了 ARP病毒的话，在开始运行里输入ARP -a就可以知道是那台机器中毒了。

modfix

广播正确的mac地址，这种办法不错

puluto

APR病毒一般两种方法~第一欺骗客户端~第二欺骗网关。。。。
欺骗客户端可以ARP -A然后看一般会发现三条纪录，一条是自己的，一条是网关的（网关的MAC地址是假的），还有一条就是攻击的机器的IP和MAC地址了。（如果只是欺骗客户端的病毒就可以直接在客户机上绑定网关的MAC就可以了。）
欺骗网关的比较麻烦暂时还没找到很好的排查方法~（大家帮忙思考下~欺骗网关是发送虚假ARP纪录给网关，让网关不能正确找到客户机。还有攻击的机器肯定能上网，因为他不能在欺骗网关的时候把自己堵住，因为这样他就不能和网关通信了。）
ARP防火墙的原理其实就和病毒一样，只是他发送的ARP纪录是正确的而病毒发送的是错误的~而且防火墙发送的频率要必病毒快~所以这种方法不稳定，回一会儿断一会儿连上的情况。
防止ARP病毒的最好办法还是双向绑定MAC，客户机MAC地址可以在网关得到，如果有DHCP也可以在DHCP服务器得到，先可以不管对错一起绑了，绑完后不能上网的机器肯定就是错误的MAC，然后改掉错误的那几台就可以了~~

likeforrest

arp攻击有很多种方式，“修改网卡的mac地址”？这种方式还没有见过，不好意思。
相对来说最常见的arp攻击还是针对网关的arp欺骗和arp request flooding，这两种方式都可以通过抓包确定攻击源，你可以对照交换机的arp地址表来确定攻击源位置。
不建议挨个对照主机mac，你现在仅有10台罢了，如果有1000台呢？
针对arp攻击没有杜绝的方法，只能采取几种手段了：
1，在pc上做：主机ip和mac绑定（重启后失效）；
2，交换机：ip和mac绑定；（通常无效）
3，acl控制；
4，主机防火墙和补丁定时更新；
5，针对员工的计算机安全常识教育，不要随意打开一些不可靠的网页
还有，确定攻击源之后，立刻让他下线

[ 本帖最后由 likeforrest 于 2007-8-29 20:43 编辑 ]

qintel

不解ACL和MAC有什么关系

suncobaby

建议用ROUTER OS做成PPPOE-SERVER,或用SYGATE防火墙

drobeer

用ARP防御软件最直接