扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
一般来说ARP欺骗病毒都是不停的发送ARP广播报,告诉网络中的所有计算机网关地址对应的MAC是感染ARP欺骗病毒计算机的MAC地址,这样所有机器上网时都会将数据请求发送到出问题的计算机。通过这一系列的步骤感染病毒的计算机可以进行数据欺骗,病毒传播等目的。
既然知道了本次故障的罪魁祸首有可能是ARP欺骗,那么网络中一定有一台感染了病毒的机器再捣乱,为了找到这台机器笔者进行了如下的检测操作。
第一步:首先在通过开始->运行,输入CMD进入到命令提示窗口,在该窗口中通过ipconfig命令查看当前IP,网关等信息,明确这些地址,特别是网关为10.82.5.254。(如图4)
图4
第二步:打开网络管理员专用的sniffer工具,检测本地网络中的数据包,可以设置为只扫描和监控出问题计算机的流量,通过sniffer绘制出的流量图我们可以看出本机和哪个机器进行了数据通讯。(如图5)
图5
第三步:由于卡巴斯基提示病毒只是在访问办公系统时出现,所以我们边开着Sniffer,边用IE浏览器访问办公系统,当卡巴斯基报警时相应的非法流量也会显示在sniffer的流量图中,使用时注意观察即可,当有数据传输时线条是显示为闪亮状态的。(如图6)
图6
第四步:再次来到出问题计算机的命令提示窗口,通过arp -a命令来查看本机ARP缓存信息表,从图中我们可以看出本机网关对应的IP为10.82.5.254,相应的MAC信息是50-78-4c-68-8e-34。当然这个应该是错误的,否则本机也不会出现网络访问故障。(如图7)
图7
第五步:之后笔者又换了另外一个类sniffer工具——大名鼎鼎的wireshark,他是ethreal的后续版本。通过该软件扫描当前网络中出现的所有数据流量,当然监控最好选择交换机对应的镜像端口,如果没有条件用普通计算机的普通端口也行。通过该软件我们可以清晰的看到网络中数据包流量的异常,总是有一个MAC地址是50-78-4c-68-8e-34的计算机在向网络发送无数数据包,告诉每台在线的机器10.82.5.254对应的MAC地址是50-78-4c-68-8e-34。(如图8)
图8
图9
第七步:不过由于带毒机器还会向网络发送多个数据包,影响其他计算机上网,所以还需要将其彻底根除。登录到连接这个网段的交换机上执行MAC地址查看命令,sh mac address。发现这个捣乱的50-78-4c-68-8e-34计算机实际是连接在Fa0/45接口上。(如图10)
图10
第八步:将该接口shutdown关闭或者执行MAC过滤访问控制列表ACL后问题解决,执行arp -a不会再发现错误MAC地址的身影。(如图11)
图11
ARP欺骗病毒可以说是目前网络特别是企业内部网络最让网络管理员头疼的问题之一了,本文从分析到解决比较全面的介绍了查杀ARP欺骗病毒的全过程,希望可以帮助各位IT168的读者轻松面对同类病毒,让企业网络更加安全顺畅的运行。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。