最近深受arp病毒的折磨,一周光顾了两次,先是同事的一台机器中毒导致整个公司网络受影响,访问任何网页,都会被强制嵌入恶意代码。今天又光顾了服务器组中客户的一台windows机器~ 抓狂了~

linux下

  1. 先查出网关的ip地址,无论你用什么方法:
1
2
3
# cat /etc/sysconfig/network-scripts/ifcfg-eth0 或
# route -n 或
# netstat -nr

都能查出网关IP地址

  1. 然后ping 网关ip,ping完网关ip之后,arp缓存中就会有网关的mac数据
1
# ping 网关IP
  1. 用arp命令 查看网关mac
1
#arp -a (freebsd风格)

例如:

1
2
3
4
[root@TestServer root]# arp -a
? (10.0.0.254) at 00:0D:48:21:08:83 [ether] PERM on eth0
bj_22netdb (192.0.0.16) at 00:A0:D1:E0:A3:E5 [ether] on eth1
bj_12webb (192.0.0.18) at 00:A0:D1:E0:88:25 [ether] on eth1

1
#arp -e (linux 风格)

例如:

1
2
3
4
5
[root@TestServer root]# arp -e
Address                  HWtype  HWaddress           Flags Mask            Iface
10.0.0.254               ether   00:0D:48:21:08:83    C                    eth0
bj_22netdb               ether   00:A0:D1:E0:A3:E5   C                     eth1
bj_12webb                ether   00:A0:D1:E0:88:25   C                     eth1

linux风格的arp -e 输出结果比较整齐,推荐使用。

注:如果arp -a 或者arp -e看到网关mac与真实mac不同,那么这个mac就是欺骗机的mac,找出来这台机器,拔网线,拔电源,先踹几脚,然后从窗户上扔出去,废了它丫的~! :D

  1. 然后 编辑 /etc/ethers 文件

添加 10.0.0.254 00:0D:48:21:08:83
或者 用arp -s IP MAC地址:向ARP缓存中输入一个静态项目

  1. 再执行 arp -f 即可
1
arp -f

将 arp -f 加到/etc/rc.d/rc.local中

windows下基本相同,arp -s IP MAC地址来添加一个静态项目,MAC地址写法不同与linux

这样做: 

1
arp -s 10.0.0.254  00-0D-48-21-08-83

可以写一个批处理文件,添加到拖到启动中去,随机启动~