零距离查杀Downloader恶劣木马(2)

　　一般来说ARP欺骗病毒都是不停的发送ARP广播报，告诉网络中的所有计算机网关地址对应的MAC是感染ARP欺骗病毒计算机的MAC地址，这样所有机器上网时都会将数据请求发送到出问题的计算机。通过这一系列的步骤感染病毒的计算机可以进行数据欺骗，病毒传播等目的。

　　既然知道了本次故障的罪魁祸首有可能是ARP欺骗，那么网络中一定有一台感染了病毒的机器再捣乱，为了找到这台机器笔者进行了如下的检测操作。

　　第一步：首先在通过开始->运行，输入CMD进入到命令提示窗口，在该窗口中通过ipconfig命令查看当前IP，网关等信息，明确这些地址，特别是网关为10.82.5.254。(如图4)

图4

　　第二步：打开网络管理员专用的sniffer工具，检测本地网络中的数据包，可以设置为只扫描和监控出问题计算机的流量，通过sniffer绘制出的流量图我们可以看出本机和哪个机器进行了数据通讯。(如图5)

图5

　　第三步：由于卡巴斯基提示病毒只是在访问办公系统时出现，所以我们边开着Sniffer，边用IE浏览器访问办公系统，当卡巴斯基报警时相应的非法流量也会显示在sniffer的流量图中，使用时注意观察即可，当有数据传输时线条是显示为闪亮状态的。(如图6)

图6

　　第四步：再次来到出问题计算机的命令提示窗口，通过arp -a命令来查看本机ARP缓存信息表，从图中我们可以看出本机网关对应的IP为10.82.5.254，相应的MAC信息是50-78-4c-68-8e-34。当然这个应该是错误的，否则本机也不会出现网络访问故障。(如图7)

图7

　　第五步：之后笔者又换了另外一个类sniffer工具——大名鼎鼎的wireshark，他是ethreal的后续版本。通过该软件扫描当前网络中出现的所有数据流量，当然监控最好选择交换机对应的镜像端口，如果没有条件用普通计算机的普通端口也行。通过该软件我们可以清晰的看到网络中数据包流量的异常，总是有一个MAC地址是50-78-4c-68-8e-34的计算机在向网络发送无数数据包，告诉每台在线的机器10.82.5.254对应的MAC地址是50-78-4c-68-8e-34。(如图8)

图8

　　第六步：看来ARP欺骗还是非常严重的，所以笔者使用arp -s来绑定MAC地址和IP地址的对应关系，由于网络中还有好的计算机，所以笔者可以知道10.82.5.254对应的正确MAC地址是00-0b-46-53-d0-80。因此执行arp -s 10.82.5.254 00-0b-46-53-d0-80命令进行绑定，执行arp -a查看ARP缓存表也可以看到这种对应不再变化成错误的，问题解决。(如图9)

图9

　　第七步：不过由于带毒机器还会向网络发送多个数据包，影响其他计算机上网，所以还需要将其彻底根除。登录到连接这个网段的交换机上执行MAC地址查看命令，sh mac address。发现这个捣乱的50-78-4c-68-8e-34计算机实际是连接在Fa0/45接口上。(如图10)

图10

　　第八步：将该接口shutdown关闭或者执行MAC过滤访问控制列表ACL后问题解决，执行arp -a不会再发现错误MAC地址的身影。(如图11)

图11