巧抓ARP病毒 局域网不再频繁断线

2008-02-23 07:23:00来源:互联网 阅读 ()

新老客户大回馈,云服务器低至5折

  最近,小武单位的局域网总是不稳定,连连出现断网的现象。给同事们网络办公带来很多不变。起初小武还以为局内信息中心故障呢?可是小武发现掉线越来越频繁。与信息中心联系后,才发现其他单位电脑正常,没有发生过掉线现象。小武这下才认定问题出现在自己单位。经过对硬件检测后,小武断定是病毒在捣鬼!根据局域网内计算机频繁掉线的现象,小武认为单位的某台电脑可能中了“ARP”的病毒,这种病毒有些杀毒软件很难根除,于是小武便在局域网内展开了ARP病毒捕杀过程。

  小提示:ARP病毒病毒发作时候的特征:

  中该病毒的电脑会伪造某台电脑的MAC地址,如该伪造地址为网关服务器的地址,那么对整个网络均会造成影响,用户表现为上网经常瞬断。

  一、找出病毒的根源

  首先小武打开局域网内所有电脑,随后下载了一款名为“Anti Arp Sniffer”(http://www.antiarp.com/)的工具,这是一款ARP防火墙软件,该软件通过在系统内核层拦截虚假ARP数据包来获取中毒电脑的IP地址和MAC地址。此外,该软件能有效拦截ARP病毒的攻击,保障该电脑数据流向正确。

  使用“Anti Arp Sniffer”查找感染毒电脑时,启动该程序,随后小武在右侧的“网关地址”项中输入该局域网内的网关IP,随后单击“枚取MAC”这是该出现会自动获取到网关电脑网卡的MAC地址(见图1)。MAC获取后单击“自动保护”按钮,这样“Anti Arp Sniffer”便开始监视通过该网关上网的所有电脑了。

  片刻功夫,小武看到系统的任务栏中的“Anti Arp Sniffer”图标上弹出一个“ARP欺骗数据包”提示信息(见图2)。这就说明该软件已经侦测到ARP病毒。于是小武打开“Anti Arp Sniffer”程序的主窗口,在程序的“欺骗数据详细记录”列表中看到一条信息,这就是“Anti Arp Sniffer”程序捕获的ARP病毒信息。

  其中“网关IP地址”和“网关MAC地址”两项中是网关电脑的的真实地址,后面的欺骗机MAC地址就是中ARP病毒的MAC地址。ARP病毒将该局域网的网关指向了这个IP地址,导致其他电脑无法上网。

  二、获取欺骗机IP

  “Anti Arp Sniffer”虽然能拦截ARP病毒,但是不能有效的根除病毒。要想清除病毒小武决定还要找到感染ARP病毒的电脑才行。通过“Anti Arp Sniffer”程序小武已经获取了欺骗机的MAC,这样只要找到该MAC对应的IP地址即可。

  获取IP地址,小武请来了网管工具“网络执法官”(http://www.mydown.com/soft/236/236679.html),运行该出现后,在“指定监控范围”中输入单位局域网IP地址段,随后单击“添加/修改”按钮,这样刚刚添加的IP地址段将被添加到下面的IP列表中。如果局域网内有多段IP,还可以进行多次添加。

  添加后,单击“确定”按钮,进入到程序主界面。“网络执法官”开始对局域网内的所有电脑进行扫描,随后显示出所有在线电脑信息,其中包括网卡MAC地址、内网IP地址、用户名、上线时间以及下线时间等。在这样我就可以非常方便地通过MAC查找对应的IP地址了(见图5)。

  三、清除ARP病毒

  小武顺藤摸瓜,通过IP地址有找到了感染病毒的电脑,小武第一反应就是将这台电脑断网,随后在该电脑上运行“ARP病毒专杀”包中的“TSC.EXE”程序(http://it.wust.edu.cn/spkill/tsc.rar),该程序运行后,自动扫描电脑中的ARP病毒,功夫不大就将该电脑上的ARP病毒清除了。

  小武折腾了半天,终于将ARP病毒根除了,这下局域网内有恢复了往日的平静,同事们可以坐在自己电脑前上网办公了。

关键词:
【推荐给好友】【关闭】
最新五条评论
查看全部评论
评论总数 0 条
您的评论
用户名: 新注册) 密 码: 匿名:
·用户发表意见仅代表其个人意见,并且承担一切因发表内容引起的纠纷和责任
·本站管理人员有权在不通知用户的情况下删除不符合规定的评论信息或留做证据
·请客观的评价您所看到的资讯,提倡就事论事,杜绝漫骂和人身攻击等不文明行为

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:实例分析:局域网资源共享故障分析解决

下一篇:黑客利用时差进行攻击 不可承受的零时差攻击