ARP病毒的实攻防.docVIP

浅谈长庆互联网内ARP病毒的防治 摘 要：本文阐述了局域网中ARP病毒的攻击原理，介绍了进行病毒快速定位及查杀和预防的有效方法，并提出解决的方案及防御策略表现为突然不能上网，过段时间又能上网，常会反复掉线在IP地址设置正常的情况下，可能电脑会显示“IP地址冲突”–a”命令查询一下当前网关的MAC地址，就可知道攻击者的MAC地址。我们输入“ARP –a”命令后会返回如下信息： Internet Address Physical Address Type 10.78.79.26 00-50-e6-49-56 dynamic 由于当前电脑的ARP表是错误的，因此，该MAC地址不是真正网关的MAC地址，而是攻击者的MAC地址，这时根据全网的IP-MAC地址对照表，查找攻击者的IP地址就可以了。 注意：这种情况仅在网关的MAC地址已被更改时使用。此时的故障现象是局域网内部所有主机都不能上网但网络连接显示正常。 第二：在网络设备端。当局域网中发生ARP病毒的时候，我们登陆进入交换机的操作系统在配置模式下输入“show arp”命令会返回如下信息： WY-S3-1#show arp Internet 10.78.140.217 35 0001.6cfd.98b9 ARPA FastEthernet0/2 Internet 10.78.140.219 36 0016.9608.2dc8 ARPA FastEthernet0/2 Internet 10.78.140.211 33 0015.58e9.4017 ARPA FastEthernet0/2 Internet 10.78.140.213 29 000c.76fb.6313 ARPA FastEthernet0/2 Internet 10.78.140.215 8 0013.d4f0.a259 ARPA FastEthernet0/2 Internet 10.78.140.232 88 00e0.4cd2.b40c ARPA FastEthernet0/2 Internet 10.78.140.233 1 0015.e96d.448f ARPA FastEthernet0/2 Internet 10.78.140.234 88 000d.609e.67e6 ARPA FastEthernet0/2 Internet 10.78.140.236 16 000d.609e.67e6 ARPA FastEthernet0/2 Internet 10.78.140.238 58 000d.609e.67e6 ARPA FastEthernet0/2 Internet 10.78.140.239 35 000d.609e.67e6 ARPA FastEthernet0/2 Internet 10.78.140.224 25 000d.609e.67e6 ARPA FastEthernet0/2 Internet 10.78.140.225 26 000d.609e.67e6 ARPA FastEthernet0/2 Internet 10.78.140.226 34 0011.1171.d082 ARPA FastEthernet0/2 Internet 10.78.140.229 3 0015.58e9.3e72 ARPA FastEthernet0/2 Internet 10.78.140.230 35 00e0.4cd1.eacc ARPA FastEthernet0/2 其中被框起来的六个相同的MAC地址，即为ARP病毒主机的MAC地址，这时根据全网的IP-MAC地址对照表，查找攻击者的IP地址就可以了。 2.2 工具软件法 现在网上有很多ARP病毒定位工具，其中做的较好的是Anti ARP Sniffer 利用此类工具软件，我们可以找到ARP攻击者的MAC地址，然后，我们再根据ARP病毒主机的MAC地址，对比查找局域网在网络正常时备份的IP-MAC地址对照表，查找攻击者的IP地址。可以快速定位出病毒主机。具体的应用界面如下图。 这类工具是当局域网中有ARP病毒时，往往伴随大量的ARP广播数据包，这