⑴ .设置 ARP 表避免“ ARP 欺骗”木马影响的方法
⑵本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关 IP 地址和网关物理地址,然后在 “命令提示符”窗口中输入并执行以下命令:
⑶arp –s 网关 IP 网关物理地址
⑷.态ARP绑定网关
⑸在能正常上网时,进入MS-DOS窗口,输入命令:arp -a,查看网关的IP对应的正确MAC地址, 并将其记录下来。
⑹注意:如果已经不能上网,则先运行一次命令arp -d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话)。一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp -a。
⑺如果计算机已经有网关的正确MAC地址,在不能上网只需手工将网关IP和正确的MAC地址绑定,即可确保计算机不再被欺骗攻击。
⑻要想手工绑定,可在MS-DOS窗口下运行以下命令:
⑼arp -s 网关IP 网关MAC
⑽例如:假设计算机所处网段的网关为...,本机地址为...,在计算机上运行arp -a后输出如下:
⑾Cocuments and Settings>arp -a
⑿Interface:... --- x
⒀Inter Address Physical Address Type
⒁... ----- dynamic
⒂其中,-----就是网关...对应的MAC地址,类型是动态(dynamic)的,因此是可被改变的。
⒃被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC。如果希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找该攻击的机器做准备。
⒄手工绑定的命令为:
⒅arp -s ... -----
⒆绑定完,可再用arp -a查看arp缓存:
⒇Cocuments and Settings>arp -a
⒈Interface: ... --- x
⒉Inter Address Physical Address Type
⒊... ----- static
⒋这时,类型变为静态(static),就不会再受攻击影响了。
⒌但是,需要说明的是,手工绑定在计算机关机重启后就会失效,需要再次重新绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,把病毒杀掉,才算是真正解决问题。