受ARP困扰的朋友越来越多,问题回答的多了,也觉得有点累,在这里帖出来自己的解决办法,在此不讨论如何去抓出攻击源头,被感染原因等复杂的问题,只给想用最简单手段解决问题的朋友们一点参考。
ARP病毒攻击特征,使用IRIS这类的sniffer软件在内网抓包,数据包特点:间歇性发作,一两小时发作一次,持续十分钟,发作时整屏整屏的数据包从同一伪造的MAC地址/IP地址发出,目的地是内网192.168.0.1-255,在中毒的客户端上看到的就是网卡每次发送大约50-60个数据包,而接收的很少。
简单、一劳永逸解决ARP病毒问题的方法:
下载Mcafee离线杀毒包:http://download.nai.com/products/licensed/superdat/nai/Chinese/simplified/7145xdat.exe
数字随日期增加自动增长,基准日为2013年7月25日,参照下图命令行语法释放压缩包文件。
内网交换机断电,每台机器重启动F8进入安全模式,使用如下命令查杀:
scan.exe /ad /sub /clean
最好是所有机器都查完再接通交换机电源,否则漏过一个就全白干了。
ARP病毒会伪造MAC地址和IP地址,不要想去把它抓出来了,基本是白折腾。。。
所有机器都查完,自然知道谁是源头了,世界终于清静了。。。