返回首页
当前位置: 网站首页>>协议大全>>ARP协议>>

ARP病毒电脑的定位方法-ARP原理

时间:2011-11-27 来源: 作者: 点击:
如何能够快速检测定位出局域网中的 A R P病 毒电脑?面对着局域网中成百台电脑, 一个一个地 检测显然不是好办法。其实我们只要利用 A R P病 毒的基本原理 : 发送伪造的 A R P欺骗广播, 中毒电 脑自身伪装成网关的特性, 就可以快速锁定中毒电 脑。可以设想用程序来实
  

如何能够快速检测定位出局域网中的 A R P病
毒电脑?面对着局域网中成百台电脑, 一个一个地
检测显然不是好办法。其实我们只要利用 A R P病
毒的基本原理 : 发送伪造的 A R P欺骗广播, 中毒电
脑自身伪装成网关的特性, 就可以快速锁定中毒电
脑。可以设想用程序来实现以下功能: 在网络正常
的时候, 牢牢记住正确网关的I P地址和 MA C地址, 
并且实时监控来 自全网的 A R P数据包, 当发现有某
个 A R P数据包广播, 其 I P地址是正确网关的 I P地
址, 但是其 MA C地址竟然是其它电脑的 MA C地址
的时候, 这时, 无疑是发生了 A R P欺骗。对此可疑
MA C地址报警, 再根据网络正常时候 的 I P—MA C 
地址对照表查询该电脑 , 定位出其 I P地址, 这样就
定位出中毒电脑了。以下是几种不同的检测 A R P 
中毒电脑的方法。   . 
4 . 1 命令行法
这种方法比较简便, 不利用第三方工具, 利用系
统 自带的A R P命令即可完成。上文已经说过, 当局
域网中发生 A R P欺骗的时候 , A R P病毒电脑会向全
网不停地发送 A R P欺骗广播, 这时局域网中的其它
电脑 就会动态更新 自身的 A R P缓存表, 将网关的
MA C地址记录成 AR P病毒电脑的MA C地址, 这时
候我们只要在其它受影响的电脑中查询一下当前网
关的 MA C地 址, 就知道中毒电脑的 MA C地址了,A R P—a , 需要在 c md 命令提示行下输
入。输入后的返回信息如下: 
I n t e r n e t   Add r e s s   Ph y s i c a l   Ad d r e s s   Ty p e1 9 2. 
1 6 8. 0. 1   O O一5 O一5 6一e 6—49-5 6   d y n a mi c 
这时, 由于这个电脑的 A R P表是错误的记录, 
因此, 该 MA C地址不是真正网关的MA C地址, 而是
中毒电脑的 MAC地址!这时, 再根据网络正常时, 
全网的I P—MAC地址对照表, 查找中毒电脑的 I P 
地址就可以了。由此可见, 在网络正常的时候, 保存

个全网电脑的I P—M A C地址对照表是多么的重
要。可以使用 n b t s c a n工具扫描(自动检测远程或本地主机安全性弱点的程序)全网段的I P地址和
MA C地址, 保存下来, 以备后用。 
4 . 2 工具软件法
现在网上有很多 A R P病毒定位工具, 其中做得
较好的是 A n t i   A R P ( 又称 A R P防火墙) ,当局域网
中存在 A R P欺骗时, 该数据包会被A n t i   A R P记录, 
该软件会以气泡的形式报警。这时, 我们打开软件
分析接收到的 A R P包得到欺骗机的 I P地址, , 即可
快速定位出中毒电脑。 
4 . 3  S n i f f e r 抓包嗅探(一般指嗅探器可以窃听网络上流经的数据包)法
当局域网中有 A R P病毒欺骗时, 往往伴随着大
量的A R P欺骗广播数据包, 这时, 流量检测机制应
该能够很好的检测出网络的异常举动, 此时 E t h e r e a l 
这样的抓包工具就能派上用场。 
用这个软件就可以查出哪台电脑正向全网发送
大量的A R P广播包 , 一般来讲, 局域网中有电脑发
送 A R P广播包的情况是存在的, 但是如果不停地大
量发送, 就很可疑了。而这台大量发送 A R P广播包
的 电脑正是一个 A R P中毒电脑。 
以上 3种方法有时需要结合使用, 互相印证, 这
样可以快速准确地将 A R P中毒电脑定位出来。通 的网络中断, 以免其继续发包干扰全网的运行。其
次利用最新的杀毒软件(反病毒软件或防毒软件是用于消除电脑病毒特洛伊木马和恶意软件的一类软件)进行全盘杀毒。
过上述方法, 找到中毒电脑后, 首先应该把中毒电脑

------分隔线----------------------------
顶一下
(1)
25%
踩一下
(3)
75%
------分隔线----------------------------
最新评论 查看所有评论
发表评论 查看所有评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 密码: 验证码:
推荐内容
热点内容