当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 命令行法检测局域网ARP病毒电脑

安全基础
企业局域网的安全有效管理
QQ聊天时躲避黑客攻击的安全技巧
防止域名劫持的技巧
对于TOR是否能够实现真正安全传输的技术分析
教你找出并清除系统中木马的藏身之所
预防路由器蠕虫攻击
提高Windows系统安全性从设置启动项做起
赛门铁克称只有34%的PC用户会定期进行备份
如何解决网络不能正常传输问题?
摆脱Ghost一键恢复到整个硬盘的困扰
信息安全的关键:密码安全
加强路由器安全的轻松方法
怎样删除自己看过电影的踪迹?
江民6月6日病毒播报:魔兽用户在传播病毒
江民6月9日病毒播报:“杀人魔”木马
WindowsXP系统无线网络的安全
服务器虚拟机的安全管理注意事项
无线网络加密攻略
安全配置交换机端口提高网络安全性
和黑客的ASP漏洞入侵说byebye

安全基础 中的 命令行法检测局域网ARP病毒电脑


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-19   浏览: 139 ::
收藏到网摘: n/a

  如何能够快速检测定位出局域网中的ARP病毒电脑?

  面对着局域网中成百台电脑,一个一个地检测显然不是好办法。其实我们只要利用ARP病毒的基本原理:发送伪造的ARP欺骗广播,中毒电脑自身伪装成网关的特性,就可以快速锁定中毒电脑。可以设想用程序来实现以下功能:在网络正常的时候,牢牢记住正确网关的IP地址和MAC地址,并且实时监控着来自全网的ARP数据包,当发现有某个ARP数据包广播,其IP地址是正确网关的IP地址,但是其MAC地址竟然是其它电脑的MAC地址的时候,这时,无疑是发生了ARP欺骗。对此可疑MAC地址报警,在根据网络正常时候的IP-MAC地址对照表查询该电脑,定位出其IP地址,这样就定位出中毒电脑了。下面详细说一下如何利用命令行方式检测ARP中毒电脑的方法。

  命令行法

  这种方法比较简便,不利用第三方工具,利用系统自带的ARP命令即可完成。当局域网中发生ARP欺骗的时候,ARP病毒电脑会向全网不停地发送ARP欺骗广播,这时局域网中的其它电脑就会动态更新自身的ARP缓存表,将网关的MAC地址记录成ARP病毒电脑的MAC地址,这时候我们只要在其它受影响的电脑中查询一下当前网关的MAC地址,就知道中毒电脑的MAC地址了,查询命令为 ARP -a,需要在cmd命令提示行下输入。输入后的返回信息如下:

  Internet Address Physical Address Type

  192.168.0.1 00-50-56-e6-49-56 dynamic

  这时,由于这个电脑的ARP表是错误的记录,因此,该MAC地址不是真正网关的MAC地址,而是中毒电脑的MAC地址!这时,再根据网络正常时,全网的IP—MAC地址对照表,查找中毒电脑的IP地址就可以了。由此可见,在网络正常的时候,保存一个全网电脑的IP—MAC地址对照表是多么的重要。可以使用nbtscan工具扫描全网段的IP地址和MAC地址,保存下来,以备后用。