局域網(wǎng)內(nèi)的所有主機(jī)上網(wǎng)時(shí)斷時(shí)續(xù),十有八九是ARP病毒在作祟���,例如前段時(shí)間猖狂作案的“熊貓燒香”病毒就是一個(gè)ARP病毒���。我們處理這樣的情況時(shí),第一步首先找出感染病毒的主機(jī)�����,然后將其從網(wǎng)絡(luò)中斷開(kāi)���,清除對(duì)網(wǎng)內(nèi)其他機(jī)器的影響后�����,然后再慢慢收拾病毒�����。
第一招:使用Sniffer抓包
在網(wǎng)絡(luò)內(nèi)任意一臺(tái)主機(jī)上運(yùn)行抓包軟件���,捕獲所有到達(dá)本機(jī)的數(shù)據(jù)包。如果發(fā)現(xiàn)有某個(gè)IP不斷發(fā)送
ARP Request請(qǐng)求包���,那么這臺(tái)電腦一般就是病毒源���。
原理:無(wú)論何種ARP病毒變種,行為方式有兩種���,一是欺騙網(wǎng)關(guān)�����,二是欺騙網(wǎng)內(nèi)的所有主機(jī)�。最終的結(jié)果是,在網(wǎng)關(guān)的ARP緩存表中�����,網(wǎng)內(nèi)所有活動(dòng)主機(jī)的MAC 地址均為中毒主機(jī)的MAC地址�;網(wǎng)內(nèi)所有主機(jī)的ARP緩存表中,網(wǎng)關(guān)的MAC地址也成為中毒主機(jī)的MAC地址�。前者保證了從網(wǎng)關(guān)到網(wǎng)內(nèi)主機(jī)的數(shù)據(jù)包被發(fā)到中毒主機(jī),后者相反�,使得主機(jī)發(fā)往網(wǎng)關(guān)的數(shù)據(jù)包均發(fā)送到中毒主機(jī)。
第二招:使用arp -a命令
任意選兩臺(tái)不能上網(wǎng)的主機(jī)���,在DOS命令窗口下運(yùn)行arp -a命令���。例如在結(jié)果中,兩臺(tái)電腦除了網(wǎng)關(guān)的IP���,MAC地址對(duì)應(yīng)項(xiàng)�,都包含了116.13.161.49的這個(gè)IP�����,則可以斷定116.13.161.49這臺(tái)主機(jī)就是病毒源���。
原理:一般情況下�����,網(wǎng)內(nèi)的主機(jī)只和網(wǎng)關(guān)通信���。正常情況下�,一臺(tái)主機(jī)的ARP緩存中應(yīng)該只有網(wǎng)關(guān)的MAC地址�。如果有其他主機(jī)的MAC地址,說(shuō)明本地主機(jī)和這臺(tái)主機(jī)最后有過(guò)數(shù)據(jù)通信發(fā)生�。如果某臺(tái)主機(jī)(例如上面的116.13.161.49)既不是網(wǎng)關(guān)也不是服務(wù)器,但和網(wǎng)內(nèi)的其他主機(jī)都有通信活動(dòng)�,且此時(shí)又是ARP病毒發(fā)作時(shí)期,那么�����,病毒源也就是它了�����。
第三招:使用tracert命令
在任意一臺(tái)受影響的主機(jī)上���,在DOS命令窗口下運(yùn)行如下命令:tracert 202.96.134.133�。
假定設(shè)置的缺省網(wǎng)關(guān)為116.13.161.254�����,在跟蹤一個(gè)外網(wǎng)地址時(shí)���,第一跳卻是116.13.161.49���,那么,116.13.161.49就是病毒源�����。
原理:中毒主機(jī)在受影響主機(jī)和網(wǎng)關(guān)之間���,扮演了“中間人”的角色���。所有本應(yīng)該到達(dá)網(wǎng)關(guān)的數(shù)據(jù)包,由于錯(cuò)誤的MAC地址�,均被發(fā)到了中毒主機(jī)。此時(shí)�,中毒主機(jī)越俎代庖,起了缺省網(wǎng)關(guān)的作用。
問(wèn)題搜索 : 