首页/杀毒教程/内容

迅速找到ARP病毒源

杀毒教程2022-11-04 阅读()
随着网络的普及,我们的生活越来越方便,但是网络安全也成了很多人面临的一个问题。特别是那些有着商业数据的企业电脑,更要注意上网安全常识,不然病毒会对我们造成严重的威胁。

第一招:使用Sniffer抓包  在网络内任意一台主机上运行抓包软件, 捕获所有到达本机的数据包。 如果发现有某个IP不断发送请求包, 那么这台电脑一般就是病毒源。 原理:无论何种ARP病毒变种, 行为方式有两种, 一是欺骗网关, 二是欺骗网内的所有主机。 最终的结果是, 在网关的ARP缓存表中, 网内所有活动主机的MAC地址均为中毒主机的MAC地址;网内所有主机的ARP缓存表中, 网关的MAC地址也成为中毒主机的MAC地址。 前者保证了从网关到网内主机的数据包被发到中毒主机, 后者相反, 使得主机发往网关的数据包均发送到中毒主机。  

第二招:使用arp -a命令 任意选两台不能上网的主机, 在DOS命令窗口下运行arp -a命令。 例如在结果中, 两台电脑除了网关的IP, MAC地址对应项, 都包含了192.168.0.186的这个IP, 则可以断定192.168.0.186这台主机就是病毒源。 原理:一般情况下, 网内的主机只和网关通信。 正常情况下, 一台主机的ARP缓存中应该只有网关的MAC地址。 如果有其他主机的MAC地址, 说明本地主机和这台主机最后有过数据通信发生。 如果某台主机(例如上面的192.168.0.186)既不是网关也不是服务器, 但和网内的其他主机都有通信活动, 且此时又是ARP病毒发作时期, 那么, 病毒源也就是它了。

 

第三招:使用tracert命令  在任意一台受影响的主机上, 在DOS命令窗口下运行如下命令:tracert 61.135.179.148。  假定设置的缺省网关为10.8.6.1, 在跟踪一个外网地址时, 第一跳却是10.8.6.186, 那么, 10.8.6.186就是病毒源。 原理:中毒主机在受影响主机和网关之间, 扮演了“中间人”的角色。 所有本应该到达网关的数据包, 由于错误的MAC地址, 均被发到了中毒主机。 此时, 中毒主机越俎代庖, 起了缺省网关的作用。


上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。



……

相关阅读