admin管理员组文章数量:1531875
2024年5月20日发(作者:)
如何能够快速检测定位出局域网中的ARP病毒电脑?面对着局域网中成百台电脑,一
个一个地检测显然不是好办法。其实我们只要利用ARP 病毒的基本原理:发送伪造的ARP
欺骗广播,中毒电脑自身伪装成网关的特性,就可以快速锁定中毒电脑。
识别ARP
可以设想用程序来实现以下功能:在网络正常的时候, 牢牢记住正确的网关IP地址
和MAC地址,并且实时监控来自全网的ARP数据包。当发现有某个ARP数据包广播,
来自正确网关IP地址其MAC地址竟然是其它电脑的MAC地址的时候,ARP欺骗发生了。
对此可疑MAC地址报警,在根据网络正常时候的IP-MAC地址对照表查询该电脑,定位
出其IP地址,这样就定位出中毒电脑了。
一般情况下,被ARP被攻击后,局域网内会出现以下两种现象:
1、不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。
2、计算机不能正常上网,出现网络中断的症状。
很多管理员认为有高级功能防火墙,可以得到相应的保护,恰恰相反,防火墙会误以
为这是正常的请求数据包,不予拦截。由此而见,需要我们找到问题根源,找到源头,才
能真正解决问题所在。当你的局域网内出现上面症状后,根据局域网大小,方可使用以下
三种方法来检测ARP中毒电脑:
检测ARP攻击
一、 工具软件法:网上已经有很多ARP病毒定位工具软件,目前网络中做得较好的
是ARP防火墙。打开ARP防火墙,输入网关IP地址后,再点击红色框内的“枚举MAC”
按钮,即可获得正确网关的MAC地址,接着点击“自动保护”按钮,即可保护当前网卡
与网关的正常通信。当局域网中存在ARP欺骗时,该数据包会被Anti ARP Sniffer记录,
该软件会以气泡的形式报警。这时,我们再根据欺骗机的MAC地址,对比查找全网的IP
-MAC地址对照表,即可快速定位出中毒电脑。
二、 命令行法:在受影响的电脑中查询一下当前网关的MAC地址,就知道中毒电脑
的MAC地址了,在cmd命令提示行下输入查询命令为arp -a。这时,由于这个电脑的
ARP表是错误的记录,因此,该MAC地址不是真正网关的MAC地址,而是中毒电脑的
MAC地址!这时在根据全网的IP—MAC地址对照表,查找中毒电脑的IP地址就可以了。
如果我们没有对IP地址和MAC地址进行绑定,甚至MAC地址也没有记录,此时就可以
使用以下策略:在能上网的计算机上,进入MS-DOS窗口,输入命令:arp –a 查看网关
IP对应的正确MAC地址,将其记录下来;如果已经不能上网,则先运行一次命令arp –d
将arp缓存中的内容删空,计算机可暂时恢复上网,一旦能上网就立即将网络断掉,再运
行arp –a。
三、Sniffer 抓包嗅探法:当局域网中有ARP病毒欺骗时,往往伴随着大量的ARP欺
骗广播数据包,这时,流量检测机制应该能够很好的检测出网络的异常举动。局域网中有
电脑发送ARP广播包的情况是存在的,但是如果不停的大量发送,就很可疑了。如此台
192.168.0.109 电脑正是一个ARP中毒电脑。
此时利用网络监视器就可以抓取网络中的数据包,先查出发送arp数据的电脑的IP(可
能是假的)及MAC地址,然后找对应的机器就很容易找到中毒的机器了。
ARP病毒的清除
版权声明:本文标题:如何快速查出局域网内ARP病毒 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1716168786a489664.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论