局域網(wǎng)ARP病毒攻擊的解決方法

前兩天有個朋友在群里說局域網(wǎng)中了arp，到處偽裝網(wǎng)關(guān)的IP進(jìn)行攻擊，問我有沒有辦法知道到底是哪臺電腦中了毒了，說真的當(dāng)時還真是回答不上，只能用最笨的辦法，一臺臺的去關(guān)機(jī)，用這個排除法進(jìn)行判斷，還好他們公司人少，只有幾個人，如果幾十個人，那就真的一天的時間就這么浪費(fèi)了，后來參考了一些資料，現(xiàn)在把想法和大家一起分享一下。

在局域網(wǎng)絡(luò)管理中，遇到ARP欺騙的病毒是經(jīng)常發(fā)生的，當(dāng)局域網(wǎng)內(nèi)某臺主機(jī)運(yùn)行ARP欺騙的木馬程序時，會欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由器，讓所有上網(wǎng)的流量必須經(jīng)過病毒主機(jī)。其他用戶原來直接通過路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過病毒主機(jī)上網(wǎng)，切換的時候用戶會斷一次線。當(dāng)ARP欺騙的木馬程序停止運(yùn)行時，用戶會恢復(fù)從路由器上網(wǎng)，切換過程中用戶會再斷一次線。經(jīng)過在網(wǎng)絡(luò)上的游蕩和搜索，找到了一個方法，貌似可以解決問題的，下面貼出來給大家看看： 
局域網(wǎng)中了ARP欺騙病毒的現(xiàn)象：中毒的網(wǎng)絡(luò)中同一網(wǎng)段的機(jī)器掉線，而沒中毒的網(wǎng)段網(wǎng)絡(luò)正常，局域網(wǎng)內(nèi)部訪問沒有問題；打開每個網(wǎng)站的時候，有時候殺毒軟件會報病毒，當(dāng)查看網(wǎng)頁源文件的時候，會發(fā)現(xiàn)在代碼的頭部被注入了一段<iframe>的代碼。 
一般解決的方法：先查找到真實的網(wǎng)關(guān)的MAC地址，然后利用"arp -s ip mac"的方法解決一下，但是這個需要在每臺機(jī)器上執(zhí)行，十分麻煩。而且有時候也不能根本解決問題。 
所以我們要查找到病毒的源頭，也就是感染ARP病毒的機(jī)器，將其斷網(wǎng)，使其他人的網(wǎng)絡(luò)恢復(fù)，然后徹底處理一下此機(jī)器。 
在網(wǎng)上查到的方法：首先在沒有中毒的機(jī)器上運(yùn)行tracert www.163.com -d來進(jìn)行路由跟蹤，馬上就發(fā)現(xiàn)第一條不是網(wǎng)關(guān)機(jī)的內(nèi)網(wǎng)ip，而是本網(wǎng)段內(nèi)的另外一臺機(jī)器的IP，再下一跳才是網(wǎng)關(guān)的內(nèi)網(wǎng)IP;正常情況是路由跟蹤執(zhí)行后的輸出第一條應(yīng)該是默認(rèn)網(wǎng)關(guān)地址，由此判定第一跳的那個非網(wǎng)關(guān)IP 地址的主機(jī)就是罪魁禍?zhǔn)住?nbsp;
問題又出來了，由于網(wǎng)內(nèi)的主機(jī)IP地址有的是通過DHCP自動獲取來的，怎么找出這個主機(jī)又是一個難題，幾十個機(jī)器，挨個用 ipconfig/all查非累死不可，怎么辦?得走捷徑才行。突然之間冒出一個念頭:設(shè)置一個與查出來的中毒主機(jī)相同的IP地址，然后……，接下來，找一臺無法上網(wǎng)的客戶端機(jī)器，查一下其自動獲取的IP地址，沒有那么幸運(yùn)-這臺機(jī)器不是要揪出來的那個IP，然后把這個主機(jī)的“自動獲取IP地址”取消，手動設(shè)置機(jī)器的IP與有病毒的那個IP相同，設(shè)置生效后就會有人叫嚷道:“我的IP地址怎么跟別人沖突了呢?”，殊不知，我要找的就是你呢！把他的主機(jī)隔離網(wǎng)絡(luò)，其他的機(jī)器上網(wǎng)立馬就順暢了。 
簡單總結(jié)一下，其主要步驟有兩步:1、運(yùn)行 tracert –d www.163.com 找出作崇的主機(jī)IP地址。 2、設(shè)置與作崇主機(jī)相同的IP，然后造成IP地址沖突，使中毒主機(jī)報警然后找到這個主機(jī)。