彻底分析ARP病毒 查杀防范ARP全攻略

中的一台机器无法上网),同时抓取ip地址对应mac 地址.网卡的工作有两种模式：一种是正常模式，即只能接收到指定目的MAC的广播包或都是目的MAC与网卡MAC相同的包。第二种是不检查目的MAC而接收所有的包,sniffer(监听程序)就是用这种原理来窃取网络上的数据的。那么也就是说我们只要检测出局域网中哪个网卡工作在混杂模式，它就很可能是在进行攻击的那台计算机了。

　　固定的ip地址

　　所谓固定的ip地址是指每台计算机ip地址是静态的(网络管理员根据自己的网络分配).

　　单纯使用 tracert命令就可以找到问题的根源.(这里不在详述)

　　Arp病毒清除

　　如果你得计算机不想格式化硬盘，请按以下顺序删除病毒组件

　　1.1) 删除 ”病毒组件释放者”

　　%windows%/SYSTEM32/LOADHW.EXE

　　2) 删除 ”发ARP欺骗包的驱动程序” (兼 “病毒守护程序”)

　　%windows%/System32/drivers/npf.sys

　　a. 在设备管理器中, 单击”查看”-->”显示隐藏的设备”

　　b. 在设备树结构中,打开”非即插即用….”

　　c. 找到” NetGroup Packet Filter Driver” ,若没找到,请先刷新设备列表

　　d. 右键点击” NetGroup Packet Filter Driver” 菜单,并选择”卸载”.

　　e. 重启windows系统,

　　f. 删除%windows%/System32/drivers/npf.sys

　　3) 删除 ”命令驱动程序发ARP欺骗包的控制者”

　　%windows%/System32/msitinit.dll

　　2. 删除以下”病毒的假驱动程序”的注册表服务项:

　　HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Npf

　　Arp预防

　　不要把你的网络安全信任关系建立在ip基础上或mac基础上，(rarp同样存在欺骗的问题)，理想的关系应该建立在ip+mac基础上。设置静态的 mac-->ip对应表，不要让主机刷新你设定好的转换表,管理员定期用响应的ip包中获得一个rarp请求，然后检查ARP响应的真实性。检查主机上的ARP缓存, 使用防火墙连续监控网络。(注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢 )