这个很简单。
首先,你要有整个局域网的ip和MAC地址列表。
在开始菜单==》运行里输入CMD回车调出dos窗口
输入arp -a 如下
C:\>arp -a
Interface: 192.168.0.8 --- 0x2
Internet Address Physical Address Type
192.168.0.1 00-09-b7-72-d9-20 dynamic (主要来看这个网关的IP和MAC地址是否和你的正常列表相符)
如果得到的网关的MAC地址与你正常的网关MAC地址不符,那么可以肯定局域网中有人中了ARP病毒或者是有人在使用聚生网关或者是其他的ARP工具。
如何查找中毒机器?
也很简单,把查询到的网关MAC地址和MAC列表中的地址对照一下,与列表中哪个IP地址的MAC地址相符那就是那台机器中毒了。
还有一个稍差一些的方法就是到每个机器上运行ARP -a命令 如下:
C:\>arp -a
Interface: 192.168.0.8 --- 0x2
Internet Address Physical Address Type
192.168.0.1 00-09-b7-72-d9-20 dynamic
192.168.0.4 00-90-27-1b-c8-03 dynamic
192.168.0.17 00-50-ba-dc-5f-34 dynamic
192.168.0.53 00-50-ba-09-d2-03 dynamic
192.168.0.55 00-50-ba-dc-73-fc dynamic
192.168.0.66 00-0f-3d-00-2a-df dynamic
192.168.0.89 00-0e-a6-51-8a-53 dynamic
192.168.0.156 00-50-ba-db-33-f7 dynamic
192.168.0.166 00-80-c8-f5-be-a3 dynamic
192.168.0.168 00-a0-c9-9b-a5-a3 dynamic
192.168.0.178 00-03-0f-f6-39-c0 dynamic
192.168.0.225 00-90-27-74-d6-c7 dynamic
192.168.0.227 00-aa-00-bd-f1-94 dynamic
192.168.0.228 00-50-ba-dc-79-fc dynamic
192.168.0.229 00-50-ba-db-0f-58 dynamic
如果那台机器像这样列出一大堆局域网中的ip和mac地址,那么这台机器就肯定有问题。
1.中了arp病毒。
2.使用了聚生网管或者是网络执法官等等这样的ARP软件。
3.本机使用了扫描器扫描了了整个局域网。
4.本机在向局域网中的机器大量发包(震荡波就是如此)
至于杀毒方法,ARP病毒和其他病毒的杀法没有什么不同。
如何不借助工具来防ARP攻击呢?
第一需要网关做IP地址和MAC地址的静态绑定。(很多路由不支持这个绑定)
第二在客户机端做网关ip地址和MAC 地址的静态绑定,命令是arp -s “网关ip地址” “网关的正常MAC地址”
。
C:\>arp -a (查询本机ARP高速缓存列表)
Interface: 192.168.0.8 --- 0x2
Internet Address Physical Address Type
192.168.0.1 00-09-b7-72-d9-20 dynamic
192.168.0.229 00-50-ba-db-0f-58 dynamic
C:\>arp -s 192.168.0.1 00-09-b7-72-d9-20 (静态绑定网关)
C:\>arp -a (查询本机ARP高速缓存列表)
Interface: 192.168.0.8 --- 0x2
Internet Address Physical Address Type
192.168.0.1 00-09-b7-72-d9-20 static (本机网关已作静态绑定了)
192.168.0.229 00-50-ba-db-0f-58 dynamic
这样就能有效的抵御ARP的攻击了。 但这个方法只能解决客户端欺骗的问题,网关欺骗只能做网关绑定了。
我个人觉得防不是办法,最好是及早发现及早处理这样才是上策!
如有疑问您可以在此跟贴留言。
(阅读次数:)
收藏
推荐
评论(0条)
