局域網(wǎng)ARP病毒攻擊的解決方法

前兩天有個朋友在群里說局域網(wǎng)中了arp，到處偽裝網(wǎng)關的IP進行攻擊，問我有沒有辦法知道到底是哪臺電腦中了毒了，說真的當時還真是回答不上，只能用最笨的辦法，一臺臺的去關機，用這個排除法進行判斷，還好他們公司人少，只有幾個人，如果幾十個人，那就真的一天的時間就這么浪費了，后來參考了一些資料，現(xiàn)在把想法和大家一起分享一下。

在局域網(wǎng)絡管理中，遇到ARP欺騙的病毒是經(jīng)常發(fā)生的，當局域網(wǎng)內某臺主機運行ARP欺騙的木馬程序時，會欺騙局域網(wǎng)內所有主機和路由器，讓所有上網(wǎng)的流量必須經(jīng)過病毒主機。其他用戶原來直接通過路由器上網(wǎng)現(xiàn)在轉由通過病毒主機上網(wǎng)，切換的時候用戶會斷一次線。當ARP欺騙的木馬程序停止運行時，用戶會恢復從路由器上網(wǎng)，切換過程中用戶會再斷一次線。經(jīng)過在網(wǎng)絡上的游蕩和搜索，找到了一個方法，貌似可以解決問題的，下面貼出來給大家看看： 
局域網(wǎng)中了ARP欺騙病毒的現(xiàn)象：中毒的網(wǎng)絡中同一網(wǎng)段的機器掉線，而沒中毒的網(wǎng)段網(wǎng)絡正常，局域網(wǎng)內部訪問沒有問題；打開每個網(wǎng)站的時候，有時候殺毒軟件會報病毒，當查看網(wǎng)頁源文件的時候，會發(fā)現(xiàn)在代碼的頭部被注入了一段<iframe>的代碼。 
一般解決的方法：先查找到真實的網(wǎng)關的MAC地址，然后利用"arp -s ip mac"的方法解決一下，但是這個需要在每臺機器上執(zhí)行，十分麻煩。而且有時候也不能根本解決問題。 
所以我們要查找到病毒的源頭，也就是感染ARP病毒的機器，將其斷網(wǎng)，使其他人的網(wǎng)絡恢復，然后徹底處理一下此機器。 
在網(wǎng)上查到的方法：首先在沒有中毒的機器上運行tracert www.163.com -d來進行路由跟蹤，馬上就發(fā)現(xiàn)第一條不是網(wǎng)關機的內網(wǎng)ip，而是本網(wǎng)段內的另外一臺機器的IP，再下一跳才是網(wǎng)關的內網(wǎng)IP;正常情況是路由跟蹤執(zhí)行后的輸出第一條應該是默認網(wǎng)關地址，由此判定第一跳的那個非網(wǎng)關IP 地址的主機就是罪魁禍首。 
問題又出來了，由于網(wǎng)內的主機IP地址有的是通過DHCP自動獲取來的，怎么找出這個主機又是一個難題，幾十個機器，挨個用 ipconfig/all查非累死不可，怎么辦?得走捷徑才行。突然之間冒出一個念頭:設置一個與查出來的中毒主機相同的IP地址，然后……，接下來，找一臺無法上網(wǎng)的客戶端機器，查一下其自動獲取的IP地址，沒有那么幸運-這臺機器不是要揪出來的那個IP，然后把這個主機的“自動獲取IP地址”取消，手動設置機器的IP與有病毒的那個IP相同，設置生效后就會有人叫嚷道:“我的IP地址怎么跟別人沖突了呢?”，殊不知，我要找的就是你呢！把他的主機隔離網(wǎng)絡，其他的機器上網(wǎng)立馬就順暢了。 
簡單總結一下，其主要步驟有兩步:1、運行 tracert –d www.163.com 找出作崇的主機IP地址。 2、設置與作崇主機相同的IP，然后造成IP地址沖突，使中毒主機報警然后找到這個主機。