浅谈企业网ARP病毒的危害及防治.docVIP

浅谈企业网ARP病毒的危害及防治 （第四采油厂第四油矿） 摘 要：词：　　　　　　　　　　　 在ARP病毒感染的网络中，通常进行ARP欺骗的主机无异常现象，隐蔽性很强，不易被发现，所以在企业网ARP病毒的查杀过程中，如何迅速、准确地定位中毒机器是关键。 经过对ARP病毒欺骗原理的仔细研究并结合我厂企业网实际情况反复试验，现总结出以下几种可以应用在我厂企业网的定位中毒计算机办法： （1）通过访问核心交换机分析定位。从核心交换机读取全厂企业网所有主机的ARP缓存表，然后根据ARP病毒工作原理，找出具有不同IP地址,相同MAC地址的所有主机，此相同的MAC即为进行ARP欺骗的中毒计算机的真实MAC地址，接下来根据已备份全厂计算机的正确IP-MAC地址表，即可迅速定位中毒主机。 （2）对受病毒影响的主机进行分析，从中提取证据定位中毒主机。具体操作是：在受ARP病毒欺骗的计算机上，点击“开始”——“运行”——敲入“command”命令——弹出DOS窗口——敲入命令“arp -a”（显示本机arp缓存表），根据显示的arp表可以分析并发现中毒计算机的IP地址，完成中毒主机的定位。 （3）利用Sniffer软件侦听网络中的ARP数据包，分析并定位中毒主机。如果ARP欺骗病毒在进行部分网段或整个网段欺骗，那么发送的ARP数据包必定为广播包，