文章标题

 
       【转】ARP防范
2007-11-10 晴



方法一:
目前发现,唯一可以称做终极的解决ARP病毒(恶意软件除外)的方法就是:

删除system32npptools.dll,我这里删除了一个月了,从来没中过ARP病毒,也无任何不良反映,ARP病毒缺少了npptools.dll这个文件根本不能运行,目前所发现的ARP病毒通通提示npptools.dll出错,无法运行

暂时还没发现可以自动生成npptools.dll的病毒,npptools.dll本身就40多K,病毒如果还要生成自己的运行库的话,不是几十K的大小就可以办到的,再大一些的就不是病毒了

当然,还是要做ARP -S绑定,只绑定本机自身跟路由即可,可以在“一定程度上”减少ARP程序的破坏



另外,防止arp攻击的软件有 anti arp sniffer ,最新版为3.5,在百度上搜寻即可!
另外,据闻,目前唯一能防止arp攻击的软件防火墙是lns :look n stop 最新版是sp3版。需要自定arp规则。



方法二:
ARP应该是一直以来捆绕着众多网管朋友的一个难题,我在工作中也经常遇到,也因此搜集了很多关于ARP方面的资料跟防御工具,希望对朋友们有些帮助。
(先给朋友们提供一个基本的思路:
局域网防止ARP,双向绑定就够了,然后在注册表禁止一些软件比如网络执法官的运行等,就可以了。
提供一个思路把,客户机开机的批处理(记住批处理的名字不可以为ARP.bat)
一.@echo off
arp -d
arp -s 192.168.*.*(网关 IP) 00-00-00-00-00-00(网关 mac)

exit

二.@echo off
if exist ipconfig.txt del ipconfig.txt
ipconfig /all >ipconfig.txt
if exist phyaddr.txt del phyaddr.txt
find "hysical Address" ipconfig.txt >phyaddr.txt
for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M

if exist IPAddr.txt del IPaddr.txt
find "IP Address" ipconfig.txt >IPAddr.txt
for /f "skip=2 tokens=15" %%I in (IPAddr.txt) do set IP=%%I

arp -s %IP% %Mac%


del ipaddr.txt
del ipconfig.txt
del phyaddr.txt


exit.
# posted by 一竖先生 @ 2007-11-10 23:50:33 评论(0)
 






   
 
  一竖先生  2007-11-11 06:22:58
预防arp病毒的方法



由于arp病毒发作时必须调用系统里的npptools.dll文件,因此如果把这个DLL文件删除了,之后随便弄个文件改名为npptools.dll,如果是NTFS分区格式把权限都去掉,如果是FAT格式设置为只读就可以了,同时配合arp防火墙软件的使用,应该可以预防arp病毒。



具体解决办法如下:



(1)如果计算机硬盘是fat格式的,新建一个文本文档,改名为npptools.dll,然后鼠标右键点击该文件,选择“属性”,选中“只读”和“隐藏”,然后,点击“高级”,把所有的对勾取消,点击“确定”即可。然后把这个文件覆盖到系统盘下windows\system32和windows\system32\dllcache里。



(2)如果计算机是NTFS格式的,到系统盘windows\SYSTEM32下找npptools.dll文件,点右键-安全(如果没有安全选项,打开文件夹选项,里面有个简单共享,去掉),然后在组或用户名称那里,有用户administrator、POWER、system、users等用户,每点一个用户,都会出现每个用户的权限,把允许那里,全部去掉,在拒绝下面的全选上。然后设置文件属性只读。这样可以防止有的ARP自动生成此文件。



以上步骤操作以后,如果电脑提示找不到npptools.dll,有可能该电脑已经中毒,请立即进行相关的处理。.
 
 
   


 
笔 名:
 *
评 论:
最多1000字。当前字数:0
*
联系方式: