病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« ntoskrnl.exe损坏或丢失的解决方案Autorun.inf(自动运行)病毒的高级形式 »

用arp -a命令查找中毒主机

  arp欺骗简单说,就是使网内某主机中毒假冒网关IP,向网内发数据包欺骗其它电脑认为它是网关,使其它电脑前往网关的数据转向该中毒电脑,从而导致网内断网。

  要找到这台中毒电脑可以试下用arp命令。从开始-运行-输入cmd,进入命令行格式,再输入 arp –a命令,回车。不要在运行中直接输入arp –a,这样,命令显示的结果只会一闪而过。

  Arp –a能显示出本机上arp协议的所有arp解析信息,包括网关在内的IP和MAC(arp协议就是用来解析MAC与IP对应的协议),所以有时不只一条纪录。只要找到网关IP(可能是假冒的),记下它的MAC地址(MAC是属于硬件地址不会变的,虽然有的网卡支持修改,但好象目前还没病毒会修改它以假冒真正网关的MAC),然后与真正网关的MAC对照,看是否一致。不一致就是中了ARP欺骗病毒。至于如何获取真正网关的MAC,有的可以直接登录网关路由器后台中去查看,有的可以用软件或命令测,或在可以上网的电脑上也用arp –a来检测。

  然后就是用MAC地址找到这台假冒网关的电脑。最好在全网正常时能保留一份全部电脑的MAC和IP的表,那就方便了。至于怎么处理那台电脑,ARP病毒一般比较隐蔽,大不了格了重装就是。

——抢救性发布,原载于我的天极博客。

  最后补充一下防范ARP欺骗的方法,除了安装防ARP欺骗的防火墙外,最直接的方法是绑定MAC与IP,如:

arp -s [网关ip] [网关MAC] 

如果主机的IP也是固定的也可以绑定,注意此命令不是永久的,重启主机后效果消失,因此可以做成bat批处理文件,随开机启动运行。工业级路由器、交换机上自有命令绑定,不在此说明了。另外,清除主机上ARP缓存的命令是arp -d。


>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/anti-arp.html

发表评论(无须注册,所有评论在审核通过后显示):

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

  • 微信订阅号
    微信订阅

最新发表

最新评论及回复

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2020 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog. 闽ICP备09000343号

闽公网安备 35010202000133号