SiS001! Board - [第一会所关闭注册]

标题: [交流] 快速找到ARP病毒源 [打印本页]

作者: steven020 时间: 2008-3-9 12:37 标题: 快速找到ARP病毒源

第一招：使用Sniffer抓包　　在网络内任意一台主机上运行抓包软件，捕获所有到达本机的数据包。如果发现有某个IP不断发送请求包，那么这台电脑一般就是病毒源。原理：无论何种ARP病毒变种，行为方式有两种，一是欺骗网关，二是欺骗网内的所有主机。最终的结果是，在网关的ARP缓存表中，网内所有活动主机的MAC地址均为中毒主机的MAC地址；网内所有主机的ARP缓存表中，网关的MAC地址也成为中毒主机的MAC地址。前者保证了从网关到网内主机的数据包被发到中毒主机，后者相反，使得主机发往网关的数据包均发送到中毒主机。　
第二招：使用arp -a命令　任意选两台不能上网的主机，在DOS命令窗口下运行arp -a命令。例如在结果中，两台电脑除了网关的IP，MAC地址对应项，都包含了192.168.0.186的这个IP，则可以断定192.168.0.186这台主机就是病毒源。原理：一般情况下，网内的主机只和网关通信。正常情况下，一台主机的ARP缓存中应该只有网关的MAC地址。如果有其他主机的MAC地址，说明本地主机和这台主机最后有过数据通信发生。如果某台主机（例如上面的192.168.0.186）既不是网关也不是服务器，但和网内的其他主机都有通信活动，且此时又是ARP病毒发作时期，那么，病毒源也就是它了。　　
第三招：使用tracert命令　　在任意一台受影响的主机上，在DOS命令窗口下运行如下命令：tracert 61.135.179.148。　假定设置的缺省网关为10.8.6.1，在跟踪一个外网地址时，第一跳却是10.8.6.186，那么，10.8.6.186就是病毒源。原理：中毒主机在受影响主机和网关之间，扮演了“中间人”的角色。所有本应该到达网关的数据包，由于错误的MAC地址，均被发到了中毒主机。此时，中毒主机越俎代庖，起了缺省网关的作用。

作者: zhouyong8644 时间: 2008-3-10 14:09

楼主高人，果然是应该有效的手段

作者: sy071380 时间: 2008-3-10 15:49

楼主所说的第三条非常实用快捷而且不受软件的限制，受教了！

作者: 禾木 时间: 2008-3-10 16:41

这个还没试过,偶先收下了,谢谢楼主无私奉献!

作者: gzlwh 时间: 2008-3-10 17:47

嗯.基本的網管命令,溫故知新,謝謝樓主.

作者: china007 时间: 2008-3-15 22:31

第二招一直在用，刚才试了下第三招，还行，就是追踪时需耐心地等等，第一招随后去找一找相应的软件，谢谢楼主了！

作者: jhj 时间: 2008-3-15 23:31

我们公司也是经常受到攻击,现在可以用这方法试试了,谢谢分享

欢迎光临 SiS001! Board - [第一会所关闭注册] (http://68.168.16.158/bbs/)