从本机过滤入手根除arp欺骗蠕虫

《从本机过滤入手根除arp欺骗蠕虫》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、从本机过滤入手根除ARP欺骗蠕虫～教育资源库　　ARP欺骗病毒的威力不需要笔者多说，特别是现在很多类似ARP病毒都具备了蠕虫特性，应对起来更加麻烦。网上有很多文章都是介绍过如何应对企业内网出现的ARP欺骗病毒，不过大多数情况都需要我们在核心交换机上针对MAC地址进行过滤或绑定，如果我们没有交换机的管理权限又该如何呢?今天就让我们从本机过滤入手根除ARP欺骗蠕虫吧。　　一、安装8SignsFirel　　第一步：运行8SignsFirefiles8signsfireyrulesetforme(对本帐户设置规则)即可。

2、(如图4)　　第五步：该软件支持远程管理功能，我们可以通过设置的密码和默认管理端口来远程控制和监听。当然对于大多数情况我们不需要此功能，直接选择NO即可。(如图5)　　第六步：设置该软件防火墙的启动方式，YES是随系统启动而启动。(如图6)　　第七步：最后是关键的一步，一定不能够选错，他是让你设置默认情况下如果防火墙没有开启，那么是容许通讯还是阻止通讯。这个要根据实际使用来决定，笔者建议大家选择ALLOAC地址的情况，特别是网关地址存在这种对应关系。(如图9)　　要想对付这种错误绑定关系的话，我们可以使用8Sig

3、nsFirewall中的规律规则。　　第一步：安装好后重新启动计算机，之后启动8SignsFirewall程序将原来firewall默认的ARP规则禁止或删除掉，直接在上面选择ARP标签和对应的规则点右键选择disable即可禁用。(如图10)　　第二步：12下一页友情提醒：，特别！然后在Rule菜单下建立可信任的IPAddressGroup，为建立的地址组起一个名字。(如图11)　　第三步：在刚建立的地址组中添加一个IP对应信息，即加入网关的IP地址。(如图12)　　第四步：建立完IP地址组后还需要建立MAC地

4、址组，我们通过Rules菜单下建立可信任的MACGroup。(如图13)　　第五步：同样为MAC地址组起一个名字并输入网关设备的真实MAC地址，建立默认规律规则。(如图14)　　第六步：返回到软件的主界面，在workadapters下的rules中建立一个新的ARP规则，记得要在右边选择ARP标签。(如图15)　　第七步：在添加规则窗口中选择filtering过滤标签，然后选择前面已经设置好的组让其匹配过滤规则。(如图16)　　第八步：在同一个窗口中的actions行动标签中选择ALLOW容许，这样只有满足匹配规

5、则的ARP数据包才会发送和接收，其他不满足规则的数据包会被丢弃。(如图17)　　第九步：如果网络中存在着ARP欺骗蠕虫病毒的话，我们在打开8SignsFirewall后就会发现LOG日志记录信息中显示出了很多条这种错误不匹配的ARP数据包被丢弃的信息。(如图18)　　第十步：最后我们再让8SignsFirewall程序随系统启动或者将其添加到组策略的开机脚本或启动脚本中即可。　　至此我们就完成了从本机入手根除ARP欺骗蠕虫的工作，本文介绍的是利用软件防火墙8SignsFirewall的过滤规则来实现根除功能，当然

6、此方法是非常有效的，比纯粹使用arp-s来绑定ARP缓存信息更好，要知道arp-s指令遇到强大一点的ARP病毒后就讲失去作用。　　三、总结：　　本文仅仅介绍了8SignsFirewall这款软件防火墙，实际上很多软件防火墙都有此功能，我们只需要按照本文的思路到这些防火墙软件中寻找关于ARP信息过滤的功能即可，通过扫描所有发送和接收的ARP数据，来达到过滤效果，将虚假的ARP欺骗数据包阻挡在操作系统之外，让我们企业内部网络更加稳定安全的运行。　　小提示：　　本文介绍的方法仅仅是被动的防范方法，网络中那台感染了ARP

7、欺骗病毒的机器还会继续发作，所以最关键的是要找出这台机器将他隔离并杀毒。上一页12友情提醒：，特别！