欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

ARP病毒---導致網(wǎng)絡(luò )(ping)時(shí)斷時(shí)通---解決辦法
【解決思路】
1、不要把你的網(wǎng)絡(luò )安全信任關(guān)系建立在IP基礎上或MAC基礎上，(rarp同樣存在欺騙的問(wèn)題)，理想的關(guān)系應該建立在IP+MAC基礎上。
2、設置靜態(tài)的MAC-->IP對應表，不要讓主機刷新你設定好的轉換表。
3、除非很有必要，否則停止使用ARP，將ARP做為永久條目保存在對應表中。
4、使用ARP服務(wù)器。通過(guò)該服務(wù)器查找自己的ARP轉換表來(lái)響應其他機器的ARP廣播。確保這臺ARP服務(wù)器不被黑。
5、使用“proxy”代理IP的傳輸。
6、使用硬件屏蔽主機。設置好你的路由，確保IP地址能到達合法的路徑。(靜態(tài)配置路由ARP條目)，注意，使用交換集線(xiàn)器和網(wǎng)橋無(wú)法阻止ARP欺騙。
7、管理員定期用響應的IP包中獲得一個(gè)rarp請求，然后檢查ARP響應的真實(shí)性。
8、管理員定期輪詢(xún)，檢查主機上的ARP緩存。
9、使用防火墻連續監控網(wǎng)絡(luò )。注意有使用SNMP的情況下，ARP的欺騙有可能導致陷阱包丟失。
【HiPER用戶(hù)的解決方案】
建議用戶(hù)采用雙向綁定的方法解決并且防止ARP欺騙。
1、在PC上綁定路由器的IP和MAC地址：
1)首先，獲得路由器的內網(wǎng)的MAC地址(例如HiPER網(wǎng)關(guān)地址192.168.16.254的MAC地址為0022aa0022aa局域網(wǎng)端口MAC地址>)。
2)編寫(xiě)一個(gè)批處理文件rarp.bat內容如下：
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa
將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為您自己的網(wǎng)關(guān)IP地址和MAC地址即可。
將這個(gè)批處理軟件拖到“windows--開(kāi)始--程序--啟動(dòng)”中。



arp
顯示和修改“地址解析協(xié)議 (ARP)”緩存中的項目。ARP 緩存中包含一個(gè)或多個(gè)表，它們用于存儲 IP 地址及其經(jīng)過(guò)解析的以太網(wǎng)或令牌環(huán)物理地址。計算機上安裝的每一個(gè)以太網(wǎng)或令牌環(huán)網(wǎng)絡(luò )適配器都有自己?jiǎn)为毜谋?。如果在沒(méi)有參數的情況下使用，則 arp 命令將顯示幫助信息。

語(yǔ)法
arp[-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]]

參數
-a[ InetAddr] [ -N IfaceAddr]

顯示所有接口的當前 ARP 緩存表。要顯示特定 IP 地址的 ARP 緩存項，請使用帶有 InetAddr 參數的 arp -a，此處的 InetAddr 代表 IP 地址。如果未指定 InetAddr，則使用第一個(gè)適用的接口。要顯示特定接口的 ARP 緩存表，請將 -N IfaceAddr 參數與 -a 參數一起使用，此處的 IfaceAddr 代表指派給該接口的 IP 地址。-N 參數區分大小寫(xiě)。

-g[ InetAddr] [ -N IfaceAddr]

與 -a 相同。

-d InetAddr [IfaceAddr]

刪除指定的 IP 地址項，此處的 InetAddr 代表 IP 地址。對于指定的接口，要刪除表中的某項，請使用 IfaceAddr 參數，此處的 IfaceAddr 代表指派給該接口的 IP 地址。要刪除所有項，請使用星號 (*) 通配符代替 InetAddr。

-s InetAddr EtherAddr [IfaceAddr]

向 ARP 緩存添加可將 IP 地址 InetAddr 解析成物理地址 EtherAddr 的靜態(tài)項。要向指定接口的表添加靜態(tài) ARP 緩存項，請使用 IfaceAddr 參數，此處的 IfaceAddr 代表指派給該接口的 IP 地址。

/?

在命令提示符下顯示幫助。

注釋
InetAddr 和 IfaceAddr 的 IP 地址用帶圓點(diǎn)的十進(jìn)制記數法表示。

EtherAddr 的物理地址由六個(gè)字節組成，這些字節用十六進(jìn)制記數法表示并且用連字符隔開(kāi)（比如，00-AA-00-4F-2A-9C）。
按以下順序刪除病毒組件

1) 刪除 ”病毒組件釋放者”

%windows%\SYSTEM32\LOADHW.EXE

2) 刪除 ”發(fā)ARP欺騙包的驅動(dòng)程序” (兼 “病毒守護程序”)

%windows%\System32\drivers\npf.sys

a. 在設備管理器中, 單擊”查看”-->”顯示隱藏的設備”

b. 在設備樹(shù)結構中,打開(kāi)”非即插即用….”

c. 找到” NetGroup Packet Filter Driver” ,若沒(méi)找到,請先刷新設備列表

d. 右鍵點(diǎn)擊” NetGroup Packet Filter Driver” 菜單,并選擇”卸載”.

e. 重啟windows系統,

f. 刪除%windows%\System32\drivers\npf.sys


3) 刪除 ”命令驅動(dòng)程序發(fā)ARP欺騙包的控制者”

%windows%\System32\msitinit.dll

2. 刪除以下”病毒的假驅動(dòng)程序”的注冊表服務(wù)項:



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf





三、定位ARP攻擊源頭和防御方法
1．定位ARP攻擊源頭

主動(dòng)定位方式：因為所有的ARP攻擊源都會(huì )有其特征——網(wǎng)卡會(huì )處于混雜模式，可以通過(guò)ARPKiller這樣的工具掃描網(wǎng)內有哪臺機器的網(wǎng)卡是處于混雜模式的，從而判斷這臺機器有可能就是“元兇”。定位好機器后，再做病毒信息收集，提交給趨勢科技做分析處理。

標注：網(wǎng)卡可以置于一種模式叫混雜模式（promiscuous），在這種模式下工作的網(wǎng)卡能夠收到一切通過(guò)它的數據，而不管實(shí)際上數據的目的地址是不是它。這實(shí)際就是Sniffer工作的基本原理：讓網(wǎng)卡接收一切它所能接收的數據。

被動(dòng)定位方式：在局域網(wǎng)發(fā)生ARP攻擊時(shí)，查看交換機的動(dòng)態(tài)ARP表中的內容，確定攻擊源的MAC地址；也可以在局域居于網(wǎng)中部署Sniffer工具，定位ARP攻擊源的MAC。

也可以直接Ping網(wǎng)關(guān)IP，完成Ping后，用ARP –a查看網(wǎng)關(guān)IP對應的MAC地址，此MAC地址應該為欺騙的MAC。

使用NBTSCAN可以取到PC的真實(shí)IP地址、機器名和MAC地址，如果有”ARP攻擊”在做怪，可以找到裝有ARP攻擊的PC的IP、機器名和MAC地址。

命令：“nbtscan -r 192.168.16.0/24”（搜索整個(gè)192.168.16.0/24網(wǎng)段, 即192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 網(wǎng)段，即192.168.16.25-192.168.16.137。輸出結果第一列是IP地址，最后一列是MAC地址。

NBTSCAN的使用范例：

假設查找一臺MAC地址為“000d870d585f”的病毒主機。

1）將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下。

2）在Windows開(kāi)始—運行—打開(kāi)，輸入cmd（windows98輸入“command”），在出現的DOS窗口中輸入：C: btscan -r 192.168.16.1/24（這里需要根據用戶(hù)實(shí)際網(wǎng)段輸入），回車(chē)。

3）通過(guò)查詢(xún)IP--MAC對應表，查出“000d870d585f”的病毒主機的IP地址為“192.168.16.223”。

通過(guò)上述方法，我們就能夠快速的找到病毒源，確認其MAC——〉機器名和IP地址。



2．防御方法

a.使用可防御ARP攻擊的三層交換機，綁定端口-MAC-IP，限制ARP流量，及時(shí)發(fā)現并自動(dòng)阻斷ARP攻擊端口，合理劃分VLAN，徹底阻止盜用IP、MAC地址，杜絕ARP的攻擊。

b.對于經(jīng)常爆發(fā)病毒的網(wǎng)絡(luò )，進(jìn)行Internet訪(fǎng)問(wèn)控制，限制用戶(hù)對網(wǎng)絡(luò )的訪(fǎng)問(wèn)。此類(lèi)ARP攻擊程序一般都是從Internet下載到用戶(hù)終端，如果能夠加強用戶(hù)上網(wǎng)的訪(fǎng)問(wèn)控制，就能極大的減少該問(wèn)題的發(fā)生。

c.在發(fā)生ARP攻擊時(shí)，及時(shí)找到病毒攻擊源頭，并收集病毒信息，可以使用趨勢科技的SIC2.0，同時(shí)收集可疑的病毒樣本文件，一起提交到趨勢科技的TrendLabs進(jìn)行分析，TrendLabs將以最快的速度提供病毒碼文件，從而可以進(jìn)行ARP病毒的防御。
該病毒發(fā)作時(shí)候的特征為，中毒的機器會(huì )偽造某臺電腦的MAC地址，如該偽造地址為網(wǎng)關(guān)服務(wù)器的地址，那么對整個(gè)網(wǎng)吧均會(huì )造成影響，用戶(hù)表現為上網(wǎng)經(jīng)常瞬斷。

一、在任意客戶(hù)機上進(jìn)入命令提示符(或MS-DOS方式)，用arp –a命令查看：
C:\WINNT\system32>arp -a

Interface: 192.168.0.193 on Interface 0x1000003
Internet Address Physical Address Type
192.168.0.1 00-50-da-8a-62-2c dynamic
192.168.0.23 00-11-2f-43-81-8b dynamic
192.168.0.24 00-50-da-8a-62-2c dynamic
192.168.0.25 00-05-5d-ff-a8-87 dynamic
192.168.0.200 00-50-ba-fa-59-fe dynamic

可以看到有兩個(gè)機器的MAC地址相同，那么實(shí)際檢查結果為
00-50-da-8a-62-2c為192.168.0.24的MAC地址，192.168.0.1的實(shí)際MAC地址為00-02-ba-0b-04-32，我們可以判定192.168.0.24實(shí)際上為有病毒的機器，它偽造了192.168.0.1的MAC地址。

二、在192.168.0.24上進(jìn)入命令提示符(或MS-DOS方式)，用arp –a命令查看：
C:\WINNT\system32>arp -a
Interface: 192.168.0.24 on Interface 0x1000003
Internet Address Physical Address Type
192.168.0.1 00-02-ba-0b-04-32 dynamic
192.168.0.23 00-11-2f-43-81-8b dynamic
192.168.0.25 00-05-5d-ff-a8-87 dynamic
192.168.0.193 00-11-2f-b2-9d-17 dynamic
192.168.0.200 00-50-ba-fa-59-fe dynamic


可以看到帶病毒的機器上顯示的MAC地址是正確的，而且該機運行速度緩慢，應該為所有流量在二層通過(guò)該機進(jìn)行轉發(fā)而導致，該機重啟后網(wǎng)吧內所有電腦都不能上網(wǎng)，只有等arp刷新MAC地址后才正常，一般在2、3分鐘左右。

三、如果主機可以進(jìn)入dos窗口，用arp –a命令可以看到類(lèi)似下面的現象：
C:\WINNT\system32>arp -a
Interface: 192.168.0.1 on Interface 0x1000004
Internet Address Physical Address Type
192.168.0.23 00-50-da-8a-62-2c dynamic
192.168.0.24 00-50-da-8a-62-2c dynamic
192.168.0.25 00-50-da-8a-62-2c dynamic
192.168.0.193 00-50-da-8a-62-2c dynamic
192.168.0.200 00-50-da-8a-62-2c dynamic

該病毒不發(fā)作的時(shí)候，在代理服務(wù)器上看到的地址情況如下：
C:\WINNT\system32>arp -a
Interface: 192.168.0.1 on Interface 0x1000004
Internet Address Physical Address Type
192.168.0.23 00-11-2f-43-81-8b dynamic
192.168.0.24 00-50-da-8a-62-2c dynamic
192.168.0.25 00-05-5d-ff-a8-87 dynamic
192.168.0.193 00-11-2f-b2-9d-17 dynamic
192.168.0.200 00-50-ba-fa-59-fe dynamic


病毒發(fā)作的時(shí)候，可以看到所有的ip地址的mac地址被修改為00-50-da-8a-62-2c，正常的時(shí)候可以看到MAC地址均不會(huì )相同。








解決辦法：
一、采用客戶(hù)機及網(wǎng)關(guān)服務(wù)器上進(jìn)行靜態(tài)ARP綁定的辦法來(lái)解決。
1． 在所有的客戶(hù)端機器上做網(wǎng)關(guān)服務(wù)器的ARP靜態(tài)綁定。
首先在網(wǎng)關(guān)服務(wù)器（代理主機）的電腦上查看本機MAC地址
C:\WINNT\system32>ipconfig /all
Ethernet adapter 本地連接 2:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel? PRO/100B PCI
Adapter (TX)
Physical Address. . . . . . . . . : 00-02-ba-0b-04-32
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.1
Subnet Mask . . . . . . . . . . . : 255.255.255.0
然后在客戶(hù)機器的DOS命令下做ARP的靜態(tài)綁定
C:\WINNT\system32>arp –s 192.168.0.1 00-02-ba-0b-04-32
注：如有條件，建議在客戶(hù)機上做所有其他客戶(hù)機的IP和MAC地址綁定。

2． 在網(wǎng)關(guān)服務(wù)器（代理主機）的電腦上做客戶(hù)機器的ARP靜態(tài)綁定
首先在所有的客戶(hù)端機器上查看IP和MAC地址，命令如上。
然后在代理主機上做所有客戶(hù)端服務(wù)器的ARP靜態(tài)綁定。如：
C:\winnt\system32> arp –s 192.168.0.23 00-11-2f-43-81-8b
C:\winnt\system32> arp –s 192.168.0.24 00-50-da-8a-62-2c
C:\winnt\system32> arp –s 192.168.0.25 00-05-5d-ff-a8-87
。。。。。。。。。

3． 以上ARP的靜態(tài)綁定最后做成一個(gè)windows自啟動(dòng)文件，讓電腦一啟動(dòng)就執行以上操作，保證配置不丟失。

二、有條件的網(wǎng)吧可以在交換機內進(jìn)行IP地址與MAC地址綁定


三、IP和MAC進(jìn)行綁定后，更換網(wǎng)卡需要重新綁定，因此建議在客戶(hù)機安裝殺毒軟件來(lái)解決此類(lèi)問(wèn)題：該網(wǎng)吧發(fā)現的病毒是變速齒輪2.04B中帶的，病毒程序在
http://www.wgwang.com/list/3007.html 可下載到：

1、 KAV(卡巴斯基)，可殺除該病毒，病毒命名為：TrojanDropper.Win32.Juntador.c
殺毒信息：07.02.2005 10:48:00 C:\Documents and
Settings\Administrator\Local Settings\Temporary Internet
Files\Content.IE5\B005Z0K9\Gear_Setup[1].exe infected
TrojanDropper.Win32.Juntador.c

2、 瑞星可殺除該病毒，病毒命名為：TrojanDropper.Win32.Juntador.f