一、查找了一下主页文件,没有最近被修改的文件,初步确定是ARP欺骗。
二、是自己单位局网被ARP欺骗还是托管主机被ARP欺骗判断。
1、进CMD,用ARP -A 查看网关 MAC,多次查看,未变,绑定先,进主页,还是有。
2、进一步判定是托管主机被其他托管主机ARP欺骗了,进托管主机,用ARP -A多次查看,果然托管主机的网关MAC变了,不要一次查看,一定要多次,最好间隔时间10秒左右,因为ARP病毒有时肯定不发包,这时正确的网关也在不断的发ARP广播包将正确的MAC给每台主机。
如何判断哪个是正确的呢,其实很简单,ARP病毒发送的速度远远比网关要快的多,所以大部分时间存在的网关MAC就是欺骗的, 偶然出现一次的网关MAC是正确的。
三、OK了,进CMD,用ARP -S 网关IP 网关MAC,进行静态绑定,或做个批处理,放启动里。
四、再进主页,OK,病毒没有了,解决,打电话给朋友(主机是朋友的),将病毒主机的MAC告之,让他打给托管商。
五。再用amac.exe扫描托管主机局网一次,找到病毒MAC对应的IP地址,有时用软件查找不到,但没关系,你扫描一次后,进CMD,用ARP -A看,会有的。
再提醒一点:
因为刚才要嗅探,所以添加了COMMVIEW嗅探需要的协议,然后发现,主页上又有病毒了。
再用ARP -A查看,发现绑定已经没了,原因就是添加了这个协议以后网卡有个禁用启用,或无效有效的过程,目的就是为了启用新添加的协议,在这过程中,ARP列表被清空了,所以我又绑定了一次。
