arp欺骗简单说,就是使网内某主机中毒假冒网关IP,向网内发数据包欺骗其它电脑认为它是网关,使其它电脑前往网关的数据转向该中毒电脑,从而导致网内断网。
要找到这台中毒电脑可以试下用arp命令。从开始-运行-输入cmd,进入命令行格式,再输入 arp –a命令,回车。不要在运行中直接输入arp –a,这样,命令显示的结果只会一闪而过。
Arp –a能显示出本机上arp协议的所有arp解析信息,包括网关在内的IP和MAC(arp协议就是用来解析MAC与IP对应的协议),所以有时不只一条纪录。只要找到网关IP(可能是假冒的),记下它的MAC地址(MAC是属于硬件地址不会变的,虽然有的网卡支持修改,但好象目前还没病毒会修改它以假冒真正网关的MAC),然后与真正网关的MAC对照,看是否一致。不一致就是中了ARP欺骗病毒。至于如何获取真正网关的MAC,有的可以直接登录网关路由器后台中去查看,有的可以用软件或命令测,或在可以上网的电脑上也用arp –a来检测。
然后就是用MAC地址找到这台假冒网关的电脑。最好在全网正常时能保留一份全部电脑的MAC和IP的表,那就方便了。至于怎么处理那台电脑,ARP病毒一般比较隐蔽,大不了格了重装就是。
——抢救性发布,原载于我的天极博客。
最后补充一下防范ARP欺骗的方法,除了安装防ARP欺骗的防火墙外,最直接的方法是绑定MAC与IP,如:
arp -s [网关ip] [网关MAC]
如果主机的IP也是固定的也可以绑定,注意此命令不是永久的,重启主机后效果消失,因此可以做成bat批处理文件,随开机启动运行。工业级路由器、交换机上自有命令绑定,不在此说明了。另外,清除主机上ARP缓存的命令是arp -d。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/anti-arp.html
