如何解决局域网内大部分电脑提示IP冲突Word格式.docx
《如何解决局域网内大部分电脑提示IP冲突Word格式.docx》由会员分享,可在线阅读,更多相关《如何解决局域网内大部分电脑提示IP冲突Word格式.docx(6页珍藏版)》请在冰点文库上搜索。
手工绑定可在MS-DOS窗口下运行以下命令:
arp–s网关IP网关MAC例如:
假设计算机所处网段的网关为218.197.192.254,本机地址为218.197.192.1在计算机上运行arp–a后输出如下:
C:
\DocumentsandSettings>
arp-aInterface:
218.197.192.1---0x2InternetAddressPhysicalAddressType218.197.192.25400-01-02-03-04-05dynamic其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址,类型是动态(dynamic)的,因此是可被改变。
被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC,如果大家希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找做准备。
手工绑定的命令为:
arp–s218.197.192.25400-01-02-03-04-05绑
arp–s192.168.1.244-87-F-03-04-05定完,可再用arp–a查看arp缓存,C:
218.197.192.1---0x2InternetAddressPhysicalAddressType218.197.192.25400-01-02-03-04-05static这时,类型变为静态(static),就不会再受攻击影响了。
但是,需要说明的是,手工绑定在计算机关机重开机后就会失效,需要再绑定。
所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,令其杀毒,方可解决。
找出病毒计算机的方法:
如果已有病毒计算机的MAC地址,可使用NBTSCAN软件找出网段内与该MAC地址对应的IP,即病毒计算机的IP地址,然后可报告校网络中心对其进行查封。
NBTSCAN的使用方法:
下载nbtscan.rar到硬盘后解压,然后将cygwin1.dll和nbtscan.exe两文件拷贝到c:
\windows\system32(或system)下,进入MSDOS窗口就可以输入命令:
nbtscan-r218.197.192.0/24(假设本机所处的网段是218.197.192,掩码是255.255.255.0;
实际使用该命令时,应将斜体字部分改为正确的网段)。
使用nbtscan时,有时因为有些计算机安装防火墙软件,nbtscan的输出不全,但在计算机的arp缓存中却能有所反应,所以使用nbtscan时,还可同时查看arp缓存,就能得到比较完全的网段内计算机IP与MAC的对应关系。
补充一下:
AntiARPSniffer使用说明一、功能说明:
使用AntiARPSniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包。
二、使用说明:
1、ARP欺骗:
填入网关IP地址,点击〔获取网关mac地址〕将会显示出网关的MAC地址。
点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。
注意:
如出现ARP欺骗提示,这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包,如果您想追踪攻击来源请记住攻击者的MAC地址,利用MAC地址扫描器可以找出IP对应的MAC地址。
2、IP地址冲突首先点击“恢复默认”然后点击“防护地址冲突”。
如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包,才会出现IP冲突的警告,利用AntiARPSniffer可以防止此类攻击。
首先您需要知道冲突的MAC地址,Windows会记录这些错误。
查看具体方法如下:
右击[我的电脑]-->
[管理]-->
点击[事件查看器]-->
点击[系统]-->
查看来源为[TcpIP]--->
双击事件可以看到显示地址发生冲突,并记录了该MAC地址,请复制该MAC地址并填入AntiARPSniffer的本地MAC地址输入框中(请注意将:
转换为-),输入完成之后点击[防护地址冲突],为了使MAC地址生效请禁用本地网卡然后再启用网卡,在CMD命令行中输入Ipconfig/all,查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符。
如果成功将不再会显示地址冲突。
注意:
如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。
1ARP病毒---导致网络(ping)时断时通---解决办法
ARP病毒解决办法
决战ARP病毒arp-s192.168.1.108-10-17-f8-6a-4b
从上周起,在单位上网时发生的怪事就一直困扰着我,起初以为是网络不稳定才出现时断时续的现象,并没有引起我太大的注意,可事过两天,该现象却越来越严重,发生频率也是越来越高,同时其他同事的电脑也是同样无法正常上网,故障跟我的一模一样,这引起了我的注意,于是决定把这个问题调查个水落石出。
初期的判断主要是围绕着我自己的电脑展开,在进行了查毒和系统的重装后,竟然问题依旧,难道问题不是出在我这台电脑上吗?
带着问题我打开了XX的搜索网页,查了一下网络时断时续的相关资料,果然这种现象是近期的一个热点,原因是中了一种arp的木马病毒,它的原理是将网关的MAC地址改写,直接导致访问网关的电脑无法正确找到网关设备,使网络无法正确连接而造成网络瘫痪。
经过进一步调查发现,该木马程序的出现是局域网内有人使用ARP欺骗的木马程序(比如:
传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序)。
而现象却是网络内所有的电脑都无法正确访问网关导致无法上网,所以单从自己的电脑发向去调查,肯定会是毫无收获的,因为自己的电脑也只是受害电脑之一。
解决方案有两种:
一是临时应急型,可暂时解决不能上网的问题,而不是彻底清除病毒:
只需使用Windows系统自带的arp命令即可完成。
方法如下:
点击开始,运行,输入“arp-s网关地址网关MAC地址”,这样即可使网关地址与真正的网关MAC地址绑定,使得局域网内病毒主机无法再进行干扰!
但问题是此方法在计算机重启后自动失效,想再次使用必须重复上述操作。
二是彻底清除型,此方法必须将网内受感染的病毒主机找出,若局域网只连几台电脑,则查找难度则很低,只要将病毒主机查出并杀毒即可解决问题。
但局域网若是带了几十甚至几百台电脑主机时,查找的难度则会增加很多……
问题既然找出,下一步就要搜查病毒主机了。
由于单位上网的小局域网内只连有五、六台左右的电脑,这使查找难度降低很多。
但也并非一帆风顺,因为病毒主机伪装的MAC地址并没有使用它自己的网卡MAC地址,而是虚构了一个地址,这使我再次陷入迷茫!
但后来在使用arp-a命令时发现总有一个IP地址会出现(此IP既不是我电脑的,也不是网关的),我由此怀疑这个IP地址就是一切故障的始作蛹者,于是我坚决地在集线器上找到了这个IP对应的网线并将之拨掉,果然在没有这台病毒主机干扰后,网络终于恢复了正常。
至此由该arp病毒引发的上网时断时续问题随着这台病毒主机被抓出而划上了完美的句号。
ARP病毒---导致网络(ping)时断时通---解决办法
【解决思路】
1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。
2、设置静态的MAC-->
IP对应表,不要让主机刷新你设定好的转换表。
3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
4、使用ARP服务器。
通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。
确保这台ARP服务器不被黑。
5、使用“proxy”代理IP的传输。
6、使用硬件屏蔽主机。
设置好你的路由,确保IP地址能到达合法的路径。
(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。
8、管理员定期轮询,检查主机上的ARP缓存。
9、使用防火墙连续监控网络。
注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
【HiPER用户的解决方案】
建议用户采用双向绑定的方法解决并且防止ARP欺骗。
1、在PC上绑定路由器的IP和MAC地址:
1)首先,获得路由器的内网的MAC地址(例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa局域网端口MAC地址>
)。
2)编写一个批处理文件rarp.bat内容如下:
@echooff
arp-d
arp-s192.168.16.25400-22-aa-00-22-aa
将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。
将这个批处理软件拖到“windows--开始--程序--启动”中。
rp
显示和修改“地址解析协议(ARP)”缓存中的项目。
ARP缓存中包含一个或多个表,它们用于存储IP地址及其经过解析的以太网或令牌环物理地址。
计算机上安装的每一个以太网或令牌环网络适配器都有自己单独的表。
如果在没有参数的情况下使用,则arp命令将显示帮助信息。
语法
arp[-a[InetAddr][-NIfaceAddr]][-g[InetAddr][-NIfaceAddr]][-dInetAddr[IfaceAddr]][-sInetAddrEtherAddr[IfaceAddr]]
参数
-a[InetAddr][-NIfaceAddr]
显示所有接口的当前ARP缓存表。
要显示特定IP地址的ARP缓存项,请使用带有InetAddr参数的arp-a,此处的InetAddr代表IP地址。
如果未指定InetAddr,则使用第一个适用的接口。
要显示特定接口的ARP缓存表,请将-NIfaceAddr参数与-a参数一起使用,此处的IfaceAddr代表指派给该接口的IP地址。
-N参数区分大小写。
-g[InetAddr][-NIfaceAddr]
与-a相同。
-dInetAddr[IfaceAddr]
删除指定的IP地址项,此处的InetAddr代表IP地址。
对于指定的接口,要删除表中的某项,请使用IfaceAddr参数,此处的IfaceAddr代表指派给该接口的IP地址。
要删除所有项,请使用星号(*)通配符代替InetAddr。
-sInetAddrEtherAddr[IfaceAddr]
向ARP缓存添加可将IP地址InetAddr解析成物理地址EtherAddr的静态项。
要向指定接口的表添加静态ARP缓存项,请使用IfaceAddr参数,此处的IfaceAddr代表指派给该接口的IP地址。
/?
在命令提示符下显示帮助。
注释
?
InetAddr和IfaceAddr的IP地址用带圆点的十进制记数法表示。
EtherAddr的物理地址由六个字节组成,这些字节用十六进制记数法表示并且用连字符隔开(比如,00-AA-00-4F-2A-9C)。
按以下顺序删除病毒组件
1)删除”病毒组件释放者”
%windows%\SYSTEM32\LOADHW.EXE