第一招:使用Sniffer抓包
在網絡內任意一台主機上運行抓包軟件,捕獲所有到達本機的數據包。如果發現有某個IP不斷發送ARP Request請求包,那麼這台電腦一般就是病毒源。
原理:無論何種ARP病毒變種,行為方式有兩種,一是欺騙網關,二是欺騙網內的所有主機。最終的結果是,在網關的ARP緩存表中,網內所有活動主機的MAC地址均為中毒主機的MAC地址;網內所有主機的ARP緩存表中,網關的MAC地址也成為中毒主機的MAC地址。前者保證了從網關到網內主機的數據包被發到中毒主機,後者相反,使得主機發往網關的數據包均被發送到中毒主機。
第二招:使用arp –a命令
任意選兩台不能上網的主機,在DOS命令窗口下運行arp –a命令。例如在結果中,兩台電腦除了網關的IP、MAC地址對應項,都包含了192.168.0.186的這個IP,則可以斷定192.168.0.186這台主機就是病毒源。
原理:一般情況下,網內的主機只和網關通信。TW.WINgWIT.cOM正常情況下,一台主機的ARP緩存中應該只有網關的MAC地址。如果有其他主機的MAC地址,說明本地主機和這台主機最近有過數據通信發生。如果某台主機(例如上面的192.168.0.186)既不是網關也不是服務器,但和網內的其他主機都有通信活動,且此時又是ARP病毒發作時期,那麼,病毒源也就是它了。
第三招:使用 tracert命令
在任意一台受影響的主機上,在DOS命令窗口下運行如圖所示命令。
假定設置的缺省網關為10.8.6.1,在跟蹤一個外網地址時,第一跳卻是10.8.6.186,那麼,10.8.6.186就是病毒源。
原理:中毒主機在受影響主機和網關之間,扮演了“中間人”的角色。所有本應該到達網關的數據包,由於錯誤的MAC地址,均被發到了中毒主機。此時,中毒主機越俎代庖,起了缺省網關的作用。
From:http://tw.wingwit.com/Article/Network/201309/462.html