pc软件 文章资讯 手机软件

您当前的位置→图文中心ARP文章ARP故障局域网arp病毒机排查
阅读排行

局域网arp病毒机排查


2008/12/2  编辑:佚名 来源:本站整理

最近局域网内arp病毒肆虐, 只要一打开抓包工具, 满屏都是arp包。 就想查一下, 看看哪些电脑中毒了。

试了一下金山防火墙, 发现这个东东和很多它的同类产品一样, 只能在有网关的网络内有效, 而对于我们这样不用网关的网络, 就算网内arp流量大上天去, 它也无动于衷, 根本无法用于我们的中毒机器排查。

在网上找了一下, 发现国外一个共享软件XArp比较有用, 它是一个专业的Arp攻击检测软件, 可以不同的策略对局域网内的Arp流量进行检测分析, 并标记出可疑计算机Mac和IP等信息。

它有两个工作显示视图, 一个普通视图可以显示局域网内所有计算机ARP相关流量, 计算机MAC, IP, 主机名等信息, 当IP地址对应的MAC地址发生变化时, 会做出标记和提示, 如果你提高安全等级的设置, 还可以看到子网过滤的告警信息提示(由于我们的内网是无网关+固定ip的形式, 凡是在子网内发这种不存在的子网广播包的计算机, 都应是病毒计算机)。

局域网arp病毒机排查arp另一个高级视图, 可以显示本机网络信息, 检测到的arp告警等。

局域网arp病毒机排查在高级视图点击"copy to clipboard"按钮, 可以将下面的告警信息拷贝到text,excel等文件便于处理, 比如拷贝到excel文件之后, 删除掉无关的行和列, 再另存为csv文件, 以数据库文件的方式在access中打开这个csv文件, 转换成数据表, 再利用sql语句查询一下, 可以轻易得到可疑计算机的mac地址, 或者mac地址使用过的ip地址列表:

局域网arp病毒机排查

有了这些信息以后, 你就可以有根有据, 有商有量地和各个机主交涉了:)

另外, 最近发现, 我的抓包工具wireshark(就是以前的ethreal, .......什么?没听过, 当我没说...)在抓住本机发出的包时, 总是两个两个一起的重复显示(接收方那边并没有什么问题), 就连arp包也是如此, 最初以为中毒或系统问题, 后来wireshark论坛发现也有人有这个现象, 开发组说可能是系统或网卡镜像等原因造成, 不过以前没有这个问题啊, 所以肯定还是有什么原因导致, 暂时这个问题还没有解决, 如果有达人知道原因, 请不吝赐教。

局域网arp病毒机排查

 

相关文章

多款常用的局域网共享软件分享,办公必备:一般来说,我们在公司、学校使用的电脑都在一个局域网中,局域网是指在某一区域内由多台计算机互联成的计算机组。

局域网中IP地址冲突的解决方法:IP地址冲突怎么办?如何解决局域网IP地址冲突?局域网ip扫描工具(SoftPerfectNetworkScanner)v7.0.5免费版  在同一个局域网里如果有两个用户同时使用了相同的IP地址,或者一个用户已经通过DHCP得到了一个IP...。

WinXP系统如何突破局域网限制工具的网速限: WinXP系统如何突破局域网限制工具的网速限1.首先我们点击开始--运行--输入”cmd“--确定;  2.在对话中输入:arp-d解除IP和MAC的绑定;  3.再用:arp-s192.168.1.2011-22...。

发表评论
网站帮助 - 广告合作 - 下载声明 - 网站地图