局域网arp病毒机排查

2008/12/2 来源:www.arpun.com 作者:小白

最近局域网内arp病毒肆虐, 只要一打开抓包工具, 满屏都是arp包。 就想查一下, 看看哪些电脑中毒了。

试了一下金山防火墙, 发现这个东东和很多它的同类产品一样, 只能在有网关的网络内有效, 而对于我们这样不用网关的网络, 就算网内arp流量大上天去, 它也无动于衷, 根本无法用于我们的中毒机器排查。

在网上找了一下, 发现国外一个共享软件XArp比较有用, 它是一个专业的Arp攻击检测软件, 可以不同的策略对局域网内的Arp流量进行检测分析, 并标记出可疑计算机Mac和IP等信息。

它有两个工作显示视图, 一个普通视图可以显示局域网内所有计算机ARP相关流量, 计算机MAC, IP, 主机名等信息, 当IP地址对应的MAC地址发生变化时, 会做出标记和提示, 如果你提高安全等级的设置, 还可以看到子网过滤的告警信息提示(由于我们的内网是无网关+固定ip的形式, 凡是在子网内发这种不存在的子网广播包的计算机, 都应是病毒计算机)。

局域网arp病毒机排查arp另一个高级视图, 可以显示本机网络信息, 检测到的arp告警等。

局域网arp病毒机排查在高级视图点击"copy to clipboard"按钮, 可以将下面的告警信息拷贝到text,excel等文件便于处理, 比如拷贝到excel文件之后, 删除掉无关的行和列, 再另存为csv文件, 以数据库文件的方式在access中打开这个csv文件, 转换成数据表, 再利用sql语句查询一下, 可以轻易得到可疑计算机的mac地址, 或者mac地址使用过的ip地址列表:

局域网arp病毒机排查

有了这些信息以后, 你就可以有根有据, 有商有量地和各个机主交涉了:)

另外, 最近发现, 我的抓包工具wireshark(就是以前的ethreal, .......什么?没听过, 当我没说...)在抓住本机发出的包时, 总是两个两个一起的重复显示(接收方那边并没有什么问题), 就连arp包也是如此, 最初以为中毒或系统问题, 后来wireshark论坛发现也有人有这个现象, 开发组说可能是系统或网卡镜像等原因造成, 不过以前没有这个问题啊, 所以肯定还是有什么原因导致, 暂时这个问题还没有解决, 如果有达人知道原因, 请不吝赐教。

局域网arp病毒机排查

 

网友评论
评论(...
全部评论