随着网络的普及,我们的生活越来越方便,但是网络安全也成了很多人面临的一个问题。特别是那些有着商业数据的企业电脑,更要注意上网安全常识,不然病毒会对我们造成严重的威胁。 如何能够快速检测定位出局域网中的 A R P病 毒电脑?面对着局域网中成百台电脑, 一个一个地 检测显然不是好办法。 其实我们只要利用 A R P病 毒的基本原理 : 发送伪造的 A R P欺骗广播, 中毒电 脑自身伪装成网关的特性, 就可以快速锁定中毒电 脑。 可以设想用程序来实现以下功能: 在网络正常 的时候, 牢牢记住正确网关的I P地址和 MA C地址, 并且实时监控来 自全网的 A R P数据包, 当发现有某 个 A R P数据包广播, 其 I P地址是正确网关的 I P地 址, 但是其 MA C地址竟然是其它电脑的 MA C地址 的时候, 这时, 无疑是发生了 A R P欺骗。 对此可疑 MA C地址报警, 再根据网络正常时候 的 I P—MA C 地址对照表查询该电脑 , 定位出其 I P地址, 这样就 定位出中毒电脑了。 以下是几种不同的检测 A R P 中毒电脑的方法。 . 4 . 1 命令行法 这种方法比较简便, 不利用第三方工具, 利用系 统 自带的A R P命令即可完成。 上文已经说过, 当局 域网中发生 A R P欺骗的时候 , A R P病毒电脑会向全 网不停地发送 A R P欺骗广播, 这时局域网中的其它 电脑 就会动态更新 自身的 A R P缓存表, 将网关的 MA C地址记录成 AR P病毒电脑的MA C地址, 这时 候我们只要在其它受影响的电脑中查询一下当前网 关的 MA C地 址, 就知道中毒电脑的 MA C地址了, A R P—a , 需要在 c md 命令提示行下输 入。 输入后的返回信息如下: I n t e r n e t Add r e s s Ph y s i c a l Ad d r e s s Ty p e1 9 2. 1 6 8. 0. 1 O O一5 O一5 6一e 6—49-5 6 d y n a mi c 这时, 由于这个电脑的 A R P表是错误的记录, 因此, 该 MA C地址不是真正网关的MA C地址, 而是 中毒电脑的 MAC地址!这时, 再根据网络正常时, 全网的I P—MAC地址对照表, 查找中毒电脑的 I P 地址就可以了。 由此可见, 在网络正常的时候, 保存 一 个全网电脑的I P—M A C地址对照表是多么的重 要。 可以使用 n b t s c a n工具扫描全网段的I P地址和 MA C地址, 保存下来, 以备后用。 4 . 2 工具软件法 现在网上有很多 A R P病毒定位工具, 其中做得 较好的是 A n t i A R P ( 又称 A R P防火墙) , 当局域网 中存在 A R P欺骗时, 该数据包会被A n t i A R P记录, 该软件会以气泡的形式报警。 这时, 我们打开软件 分析接收到的 A R P包得到欺骗机的 I P地址, , 即可 快速定位出中毒电脑。 4 . 3 S n i f f e r 抓包嗅探法 当局域网中有 A R P病毒欺骗时, 往往伴随着大 量的A R P欺骗广播数据包, 这时, 流量检测机制应 该能够很好的检测出网络的异常举动, 此时 E t h e r e a l 这样的抓包工具就能派上用场。 用这个软件就可以查出哪台电脑正向全网发送 大量的A R P广播包 , 一般来讲, 局域网中有电脑发 送 A R P广播包的情况是存在的, 但是如果不停地大 量发送, 就很可疑了。 而这台大量发送 A R P广播包 的 电脑正是一个 A R P中毒电脑。 以上 3种方法有时需要结合使用, 互相印证, 这 样可以快速准确地将 A R P中毒电脑定位出来。 通 的网络中断, 以免其继续发包干扰全网的运行。 其 次利用最新的杀毒软件进行全盘杀毒。 过上述方法, 找到中毒电脑后, 首先应该把中毒电脑
上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。
|