ARP病毒电脑的定位方法

2009/5/11 来源:www.arpun.com 作者:小白

如何能够快速检测定位出局域网中的 A R P病

毒电脑?面对着局域网中成百台电脑, 一个一个地

检测显然不是好办法。 其实我们只要利用 A R P病

毒的基本原理 : 发送伪造的 A R P欺骗广播, 中毒电

脑自身伪装成网关的特性, 就可以快速锁定中毒电

脑。 可以设想用程序来实现以下功能: 在网络正常

的时候, 牢牢记住正确网关的I P地址和 MA C地址,  

并且实时监控来 自全网的 A R P数据包, 当发现有某

个 A R P数据包广播, 其 I P地址是正确网关的 I P地

址, 但是其 MA C地址竟然是其它电脑的 MA C地址

的时候, 这时, 无疑是发生了 A R P欺骗。 对此可疑

MA C地址报警, 再根据网络正常时候 的 I P—MA C 

地址对照表查询该电脑 , 定位出其 I P地址, 这样就

定位出中毒电脑了。 以下是几种不同的检测 A R P 

中毒电脑的方法。    . 

4 . 1 命令行法

这种方法比较简便, 不利用第三方工具, 利用系

统 自带的A R P命令即可完成。 上文已经说过, 当局

域网中发生 A R P欺骗的时候 , A R P病毒电脑会向全

网不停地发送 A R P欺骗广播, 这时局域网中的其它

电脑 就会动态更新 自身的 A R P缓存表, 将网关的

MA C地址记录成 AR P病毒电脑的MA C地址, 这时

候我们只要在其它受影响的电脑中查询一下当前网

关的 MA C地 址, 就知道中毒电脑的 MA C地址了, A R P—a , 需要在 c md 命令提示行下输

入。 输入后的返回信息如下: 

I n t e r n e t   Add r e s s   Ph y s i c a l   Ad d r e s s   Ty p e1 9 2. 

1 6 8. 0. 1   O O一5 O一5 6一e 6—49-5 6   d y n a mi c 

这时, 由于这个电脑的 A R P表是错误的记录,  

因此, 该 MA C地址不是真正网关的MA C地址, 而是

中毒电脑的 MAC地址!这时, 再根据网络正常时,  

全网的I P—MAC地址对照表, 查找中毒电脑的 I P 

地址就可以了。 由此可见, 在网络正常的时候, 保存

个全网电脑的I P—M A C地址对照表是多么的重

要。 可以使用 n b t s c a n工具扫描全网段的I P地址和

MA C地址, 保存下来, 以备后用。  

4 . 2 工具软件法

现在网上有很多 A R P病毒定位工具, 其中做得

较好的是 A n t i   A R P ( 又称 A R P防火墙) , 当局域网

中存在 A R P欺骗时, 该数据包会被A n t i   A R P记录,  

该软件会以气泡的形式报警。 这时, 我们打开软件

分析接收到的 A R P包得到欺骗机的 I P地址, , 即可

快速定位出中毒电脑。  

4 . 3  S n i f f e r 抓包嗅探法

当局域网中有 A R P病毒欺骗时, 往往伴随着大

量的A R P欺骗广播数据包, 这时, 流量检测机制应

该能够很好的检测出网络的异常举动, 此时 E t h e r e a l 

这样的抓包工具就能派上用场。  

用这个软件就可以查出哪台电脑正向全网发送

大量的A R P广播包 , 一般来讲, 局域网中有电脑发

送 A R P广播包的情况是存在的, 但是如果不停地大

量发送, 就很可疑了。 而这台大量发送 A R P广播包

的 电脑正是一个 A R P中毒电脑。  

以上 3种方法有时需要结合使用, 互相印证, 这

样可以快速准确地将 A R P中毒电脑定位出来。 通 的网络中断, 以免其继续发包干扰全网的运行。 其

次利用最新的杀毒软件进行全盘杀毒。

过上述方法, 找到中毒电脑后, 首先应该把中毒电脑

网友评论
评论(...
全部评论