计算机技術文摘

如何能够快速检测定位出局域网中的ARP病毒电脑?

如何能够快速检测定位出局域网中的ARP病毒电脑?

面对着局域网中成百台电脑,一个一个地检测显然不是好办法。其实我们只要利用ARP病毒的基本原理:发送伪造的ARP欺骗广播,中毒电脑自身伪装成网关的特性,就可以快速锁定中毒电脑。可以设想用程序来实现以下功能:在网络正常的时候,牢牢记住正确网关的IP地址和MAC地址,并且实时监控着来自全网的ARP数据包,当发现有某个ARP数据包广播,其IP地址是正确网关的IP地址,但是其MAC地址竟然是其它电脑的MAC地址的时候,这时,无疑是发生了ARP欺骗。对此可疑MAC地址报警,在根据网络正常时候的IP-MAC地址对照表查询该电脑,定位出其IP地址,这样就定位出中毒电脑了。下面详细说一下如何利用命令行方式检测ARP中毒电脑的方法。

命令行法

这种方法比较简便,不利用第三方工具,利用系统自带的ARP命令即可完成。当局域网中发生ARP欺骗的时候,ARP病毒电脑会向全网不停地发送ARP欺骗广播,这时局域网中的其它电脑就会动态更新自身的ARP缓存表,将网关的MAC地址记录成ARP病毒电脑的MAC地址,这时候我们只要在其它受影响的电脑中查询一下当前网关的MAC地址,就知道中毒电脑的MAC地址了,查询命令为 ARP -a,需要在cmd命令提示行下输入。输入后的返回信息如下:

Internet Address      Physical Address        Type

192.168.0.1          00-50-56-e6-49-56      dynamic
 

这时,由于这个电脑的ARP表是错误的记录,因此,该MAC地址不是真正网关的MAC地址,而是中毒电脑的MAC地址!这时,再根据网络正常时,全网的IP—MAC地址对照表,查找中毒电脑的IP地址就可以了。由此可见,在网络正常的时候,保存一个全网电脑的IP—MAC地址对照表是多么的重要。可以使用nbtscan工具扫描全网段的IP地址和MAC地址,保存下来,以备后用。


http://www.lkkreplicas.com/ 

replica rolex   replica watches   breitling watches   swiss watches   omega watches  mens watches   rolex watches       

http://www.topwatchbrand.com  

replica watches  fake watches  cheap watches

Replica rolex,replica omega ,replica breitling ,replica panerai ,replica iwc ,replica tag heuer,replica cartier watches , swiss replica, replica omega, omega watches ,replica panerai ,panerai watches

 

 

http://www.womens-wholesale.com  

women’s wholesale clothing   fashion wholesale  korean fashion wholesale

wholesale clothing  wholesale clothes  women's clothing wholesale  women's dress  women's clothing  fashion wholesale  wholesale dress  Wholesale Shirts  clothing shop  cheap clothing  fashion clothes

http://www.replicaswiss.net/  

replica watches  swiss replica  Fake Watches  replica omega  omega watches  replica panerai  panerai watches  Replica Watch

posted on 2010-03-25 22:10 计算机技术博客 阅读(346) 评论(0)  编辑 收藏 引用 所属分类: 4 工作手記7 系統維護8 網絡技術

公告

http://www.nuanbb.com

导航

常用链接

随笔分类(255)

常用链接