我是网管论坛 » 【 企业网管技术大杂烩 】 » 如何快速找到ARP病毒源

电脑终结者 发表于 2008-3-7 09:03

如何快速找到ARP病毒源

[font=宋体, Verdana, Arial, Helvetica, sans-serif][size=14px][font=Verdana]第一招：使用Sniffer抓包　　在网络内任意一台主机上运行抓包软件，捕获所有到达本机的数据包。如果发现有某个IP不断发送请求包，那么这台电脑一般就是病毒源。原理：无论何种ARP病毒变种，行为方式有两种，一是欺骗网关，二是欺骗网内的所有主机。最终的结果是，在网关的ARP缓存表中，网内所有活动主机的MAC地址均为中毒主机的MAC地址；网内所有主机的ARP缓存表中，网关的MAC地址也成为中毒主机的MAC地址。前者保证了从网关到网内主机的数据包被发到中毒主机，后者相反，使得主机发往网关的数据包均发送到中毒主机。　
]A"O+n[5{ 第二招：使用arp -a命令　任意选两台不能上网的主机，在DOS命令窗口下运行arp -a命令。例如在结果中，两台电脑除了网关的IP，MAC地址对应项，都包含了192.168.0.186的这个IP，则可以断定192.168.0.186这台主机就是病毒源。原理：一般情况下，网内的主机只和网关通信。正常情况下，一台主机的ARP缓存中应该只有网关的MAC地址。如果有其他主机的MAC地址，说明本地主机和这台主机最后有过数据通信发生。如果某台主机（例如上面的192.168.0.186）既不是网关也不是服务器，但和网内的其他主机都有通信活动，且此时又是ARP病毒发作时期，那么，病毒源也就是它了。　　**** Hidden Message *****[/size][/font]

115960452 发表于 2008-3-7 09:07

哪有ARP病毒的样本。。。。。

115960452 发表于 2008-3-7 09:09

我公司的路由tracert 命令用不起，tracert到网关就被KO了。:'( :'(

秋水逸云 发表于 2008-3-7 09:10

公司的网络也有这个病毒，搞得我头都大了，先顶，再看！:lol

syddhgx 发表于 2008-3-7 09:20

用360arp防火墙

网管001 发表于 2008-3-7 09:25

值得看一看...我公司里应该也是arp

ludazhen 发表于 2008-3-7 09:27

只要是长时间跟局域网打交道的人都碰到过这个问题~~~M%Buv:a:~
B@"}U3}'s~l

kF |)s$aIY!} 但是谁见到过病毒样本呢~~:lol 我也想要份病毒样本！！！:D

xiaoyao88797 发表于 2008-3-7 09:34

:handshake 看看，謝謝分享

usersping 发表于 2008-3-7 09:37

急急急！！！！！！！！

jtv 发表于 2008-3-7 09:44

装个360ARP防火墙 基本就能很快定位
lgl1a Kt 楼主看来对ARP理解的是比较透彻
k:sJZ\Sw
`#Pit[ P [[i] 本帖最后由 jtv 于 2008-3-7 09:49 编辑 [/i]]

xinlan1221 发表于 2008-3-7 09:49

目前正中着呢,网上说有微软补丁,是不是真的?

wyp131 发表于 2008-3-7 09:51

回复 #1 电脑终结者 的帖子

想看看是什么东西!

dyera 发表于 2008-3-7 10:33

没有试过中ARP，路过看看

AA136 发表于 2008-3-7 10:35

学习下！~_/`yBt"o
水平还太差~!f;}
T P^,~/V(K] ^2W
谢谢楼主赐教

lzy0616 发表于 2008-3-7 10:46

看看隐藏的是什么东东先

lsg1354 发表于 2008-3-7 10:46

谢谢楼主　~C'j ^(x:_!xJF
谢谢楼主　

戴尔 发表于 2008-3-7 11:02

看看吧，这个问题好解决了！

wing2k3 发表于 2008-3-7 11:23

似乎很有用,仔细看看

ping012439 发表于 2008-3-7 11:28

謝謝分享！！！:handshake

hhjaill 发表于 2008-3-7 11:50

装风云防火墙也可以防止ARP攻击,但找不到攻击源,360防火墙好像可以

查看完整版本: 如何快速找到ARP病毒源