這幾天工作有點小煩,只因為這該死的 ARP 病毒 ~

一旦 ARP 病毒一發作,整段網路都會被它一個人所影響,網路速度會明顯的變慢或是中斷。而中了 ARP 病毒的人通常是可以上網的,反觀其它人直可說是災情慘重。

這三天一直往學生宿舍跑,一弄就是幾個小時,這種病毒不是隨時在發作的,偏偏它又愛挑在下班的時候發作 ~  今晚看了一下 Switch 的狀態,嗯,很好! ARP 病毒又開始放肆了!

要解決 ARP 病毒其實得花點心力,首先講治標的方法 ~  因為 ARP 病毒會去改使用者的 ARP Table ,若開機時就先給它綁定 Gateway 的 IP & MAC Address,這樣子就可以解決了!

該怎麼做呢,我的做法是寫指令存成一個批次檔,放在使用者的啟動資料夾,這樣一開機就會去執行了,不管那病毒再怎麼強大也改不了。只要開啟記事本,輸入下列二行指令存成 *.bat 就行了

arp -d ( 清除現有的 ARP Table )
arp -s Gateway-IP Gateway-MAC-Address ( 綁定 Gateway 的 IP 和 MAC Address )

但是丫,使用此種方法解決,通常適合在少數使用者的環境下,像宿舍學生人數暴多,一層樓約130人,總共有十四層,每逢寒暑假學生進駐,又要配合學生都在的時間才能做,狼客啊!這樣解決不如叫我去死算了 ~

接下來談治本的方法,很簡單,只要把那台中毒的電腦找出來不就好了 ... 廢話!那要怎麼找呢?只要找一台無法上網的電腦,下指令 arp -a,此時記下 Gateway 的 MAC Address 是多少,再去比對此 MAC 應該是哪台電腦,利用趨勢科技專殺 ARP 病毒程式即可清除,不過前提是要先有一份所有電腦的 IP 和 MAC 對照表資料庫唷。

只是令我頭大的,是最近碰到的 ARP 病毒似乎沒有那麼單純,怎麼說呢?通常「正常」的 ARP 病毒,都會把受害者 ARP Table 內的 Gateway MAC 改為中毒的電腦,但是「不正常」的情況下,就是它又另外違造其它的 MAC ,這樣該怎麼查呢?唉 ... 這樣看起來,用治標的方法可能還比較有效了

[1] 小隆網管日誌 - 161816 ARP病毒解決(之一)
[2] 小隆網管日誌 - 161816 ARP病毒解決(之二)
[3] 政大應數《數理資訊》討論版 - arp病毒
[4] 北縣技術論壇 - arp病毒
[5] Security Page for Computer Center of Physics dept. of NTHU
[6] Trend - 2007 技術通報 - 瞭解ARP病毒
arrow
arrow
    全站熱搜

    Bojack 發表在 痞客邦 留言(1) 人氣()

    E-mail轉寄