返回列表 回復 發帖

如何查找ARP根源

  局域網內的所有主機上網時斷時續,十有八九是ARP病毒在作祟,例如前段時間倡狂作案的“熊貓燒香”病毒就是一個ARP病毒。我們處理這樣的情況時,第一步首先要找出感染病毒的主機,然後將其從網路中斷開,消除對網內其他機器的影響後,然後再慢慢收拾病毒。www.sq120.com推薦文章

第一招:使用Sniffer抓包

  在網路內任意一臺主機上運行抓包軟體,捕獲所有到達本機的數據包。如果發現有某個IP不斷發送ARP Request請求包,那麼這臺電腦一般就是病毒源。
  原理:無論何種ARP病毒變種,行為方式有兩種,一是欺騙網關,二是欺騙網內的所有主機。最終的結果是,在網關的ARP緩存表中,網內所有活動主機的MAC地址均為中毒主機的MAC地址;網內所有主機的ARP緩存表中,網關的MAC地址也成為中毒主機的MAC地址。前者保證了從網關到網內主機的數據包被發到中毒主機,後者相反,使得主機發往網關的數據包均被發送到中毒主機。
第二招:使用arp –a命令
  任意選兩臺不能上網的主機,在DOS命令窗口下運行arp –a命令。例如在結果中,兩臺電腦除了網關的IP、MAC地址對應項,都包含了192.168.0.186的這個IP,則可以斷定192.168.0.186這臺主機就是病毒源。
  原理:一般情況下,網內的主機只和網關通信。正常情況下,一臺主機的ARP緩存中應該只有網關的MAC地址。如果有其他主機的MAC地址,說明本地主機和這臺主機最近有過數據通信發生。如果某臺主機(例如上面的192.168.0.186)既不是網關也不是伺服器,但和網內的其他主機都有通信活動,且此時又是ARP病毒發作時期,那麼,病毒源也就是它了。
第三招:使用 tracert命令
  在任意一臺受影響的主機上,在DOS命令窗口下運行如圖所示命令。
  假定設置的缺省網關為10.8.6.1,在跟蹤一個外網地址時,第一跳卻是10.8.6.186,那麼,10.8.6.186就是病毒源。
  原理:中毒主機在受影響主機和網關之間,扮演了“中間人”的角色。所有本應該到達網關的數據包,由於錯誤的MAC地址,均被發到了中毒主機。此時,中毒主機越俎代庖,起了缺省網關的作用。
返回列表