東坡下載:內(nèi)容最豐富最安全的下載站!

當(dāng)前位置: 首頁(yè)IT技術(shù) → 局域網(wǎng)ARP病毒攻擊的解決方法

局域網(wǎng)ARP病毒攻擊的解決方法

2013/1/4 1:00:53  出處:本站原創(chuàng)   人氣:580次    字號(hào):    

更多

前兩天有個(gè)朋友在群里說(shuō)局域網(wǎng)中了arp,到處偽裝網(wǎng)關(guān)的IP進(jìn)行攻擊,問(wèn)我有沒(méi)有辦法知道到底是哪臺(tái)電腦中了毒了,說(shuō)真的當(dāng)時(shí)還真是回答不上,只能用最笨的辦法,一臺(tái)臺(tái)的去關(guān)機(jī),用這個(gè)排除法進(jìn)行判斷,還好他們公司人少,只有幾個(gè)人,如果幾十個(gè)人,那就真的一天的時(shí)間就這么浪費(fèi)了,后來(lái)參考了一些資料,現(xiàn)在把想法和大家一起分享一下。

在局域網(wǎng)絡(luò)管理中,遇到ARP欺騙的病毒是經(jīng)常發(fā)生的,當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行ARP欺騙的木馬程序時(shí),會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由器,讓所有上網(wǎng)的流量必須經(jīng)過(guò)病毒主機(jī)。其他用戶(hù)原來(lái)直接通過(guò)路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過(guò)病毒主機(jī)上網(wǎng),切換的時(shí)候用戶(hù)會(huì)斷一次線。當(dāng)ARP欺騙的木馬程序停止運(yùn)行時(shí),用戶(hù)會(huì)恢復(fù)從路由器上網(wǎng),切換過(guò)程中用戶(hù)會(huì)再斷一次線。經(jīng)過(guò)在網(wǎng)絡(luò)上的游蕩和搜索,找到了一個(gè)方法,貌似可以解決問(wèn)題的,下面貼出來(lái)給大家看看: 
局域網(wǎng)中了ARP欺騙病毒的現(xiàn)象:中毒的網(wǎng)絡(luò)中同一網(wǎng)段的機(jī)器掉線,而沒(méi)中毒的網(wǎng)段網(wǎng)絡(luò)正常,局域網(wǎng)內(nèi)部訪問(wèn)沒(méi)有問(wèn)題;打開(kāi)每個(gè)網(wǎng)站的時(shí)候,有時(shí)候殺毒軟件會(huì)報(bào)病毒,當(dāng)查看網(wǎng)頁(yè)源文件的時(shí)候,會(huì)發(fā)現(xiàn)在代碼的頭部被注入了一段<iframe>的代碼。 
一般解決的方法:先查找到真實(shí)的網(wǎng)關(guān)的MAC地址,然后利用"arp -s ip mac"的方法解決一下,但是這個(gè)需要在每臺(tái)機(jī)器上執(zhí)行,十分麻煩。而且有時(shí)候也不能根本解決問(wèn)題。 
所以我們要查找到病毒的源頭,也就是感染ARP病毒的機(jī)器,將其斷網(wǎng),使其他人的網(wǎng)絡(luò)恢復(fù),然后徹底處理一下此機(jī)器。 
在網(wǎng)上查到的方法:首先在沒(méi)有中毒的機(jī)器上運(yùn)行tracert www.163.com -d來(lái)進(jìn)行路由跟蹤,馬上就發(fā)現(xiàn)第一條不是網(wǎng)關(guān)機(jī)的內(nèi)網(wǎng)ip,而是本網(wǎng)段內(nèi)的另外一臺(tái)機(jī)器的IP,再下一跳才是網(wǎng)關(guān)的內(nèi)網(wǎng)IP;正常情況是路由跟蹤執(zhí)行后的輸出第一條應(yīng)該是默認(rèn)網(wǎng)關(guān)地址,由此判定第一跳的那個(gè)非網(wǎng)關(guān)IP 地址的主機(jī)就是罪魁禍?zhǔn)住?nbsp;
問(wèn)題又出來(lái)了,由于網(wǎng)內(nèi)的主機(jī)IP地址有的是通過(guò)DHCP自動(dòng)獲取來(lái)的,怎么找出這個(gè)主機(jī)又是一個(gè)難題,幾十個(gè)機(jī)器,挨個(gè)用 ipconfig/all查非累死不可,怎么辦?得走捷徑才行。突然之間冒出一個(gè)念頭:設(shè)置一個(gè)與查出來(lái)的中毒主機(jī)相同的IP地址,然后……,接下來(lái),找一臺(tái)無(wú)法上網(wǎng)的客戶(hù)端機(jī)器,查一下其自動(dòng)獲取的IP地址,沒(méi)有那么幸運(yùn)-這臺(tái)機(jī)器不是要揪出來(lái)的那個(gè)IP,然后把這個(gè)主機(jī)的“自動(dòng)獲取IP地址”取消,手動(dòng)設(shè)置機(jī)器的IP與有病毒的那個(gè)IP相同,設(shè)置生效后就會(huì)有人叫嚷道:“我的IP地址怎么跟別人沖突了呢?”,殊不知,我要找的就是你呢!把他的主機(jī)隔離網(wǎng)絡(luò),其他的機(jī)器上網(wǎng)立馬就順暢了。 
簡(jiǎn)單總結(jié)一下,其主要步驟有兩步:1、運(yùn)行 tracert –d www.163.com 找出作崇的主機(jī)IP地址。 2、設(shè)置與作崇主機(jī)相同的IP,然后造成IP地址沖突,使中毒主機(jī)報(bào)警然后找到這個(gè)主機(jī)。

熱門(mén)評(píng)論
最新評(píng)論
發(fā)表評(píng)論 查看所有評(píng)論(0)
昵稱(chēng):
表情: 高興 可 汗 我不要 害羞 好 下下下 送花 屎 親親
字?jǐn)?shù): 0/500 (您的評(píng)論需要經(jīng)過(guò)審核才能顯示)