熱點推薦:
您现在的位置: 電腦知識網 >> 網絡技術 >> 正文

如何查找ARP根源

2013-09-12 15:54:03  來源: 網絡技術 
  局域網內的所有主機上網時斷時續,十有八九是ARP病毒在作祟,例如前段時間猖狂作案的“熊貓燒香”病毒就是一個ARP病毒。我們處理這樣的情況時,第一步首先要找出感染病毒的主機,然後將其從網絡中斷開,消除對網內其他機器的影響後,然後再慢慢收拾病毒。www.sq120.com推薦文章

第一招:使用Sniffer抓包

  在網絡內任意一台主機上運行抓包軟件,捕獲所有到達本機的數據包。如果發現有某個IP不斷發送ARP Request請求包,那麼這台電腦一般就是病毒源。
  原理:無論何種ARP病毒變種,行為方式有兩種,一是欺騙網關,二是欺騙網內的所有主機。最終的結果是,在網關的ARP緩存表中,網內所有活動主機的MAC地址均為中毒主機的MAC地址;網內所有主機的ARP緩存表中,網關的MAC地址也成為中毒主機的MAC地址。前者保證了從網關到網內主機的數據包被發到中毒主機,後者相反,使得主機發往網關的數據包均被發送到中毒主機。
第二招:使用arp –a命令
  任意選兩台不能上網的主機,在DOS命令窗口下運行arp –a命令。例如在結果中,兩台電腦除了網關的IP、MAC地址對應項,都包含了192.168.0.186的這個IP,則可以斷定192.168.0.186這台主機就是病毒源。
  原理:一般情況下,網內的主機只和網關通信。tW.wInGwit.COM正常情況下,一台主機的ARP緩存中應該只有網關的MAC地址。如果有其他主機的MAC地址,說明本地主機和這台主機最近有過數據通信發生。如果某台主機(例如上面的192.168.0.186)既不是網關也不是服務器,但和網內的其他主機都有通信活動,且此時又是ARP病毒發作時期,那麼,病毒源也就是它了。
第三招:使用 tracert命令
  在任意一台受影響的主機上,在DOS命令窗口下運行如圖所示命令。
  假定設置的缺省網關為10.8.6.1,在跟蹤一個外網地址時,第一跳卻是10.8.6.186,那麼,10.8.6.186就是病毒源。
  原理:中毒主機在受影響主機和網關之間,扮演了“中間人”的角色。所有本應該到達網關的數據包,由於錯誤的MAC地址,均被發到了中毒主機。此時,中毒主機越俎代庖,起了缺省網關的作用。  
From:http://tw.wingwit.com/Article/Network/201309/462.html
  • 上一篇文章:

  • 下一篇文章:
  • 推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.