随着网络的普及,我们的生活越来越方便,但是网络安全也成了很多人面临的一个问题。特别是那些有着商业数据的企业电脑,更要注意上网安全常识,不然病毒会对我们造成严重的威胁。 最近局域网内arp病毒肆虐, 只要一打开抓包工具, 满屏都是arp包。 就想查一下, 看看哪些电脑中毒了。 试了一下金山防火墙, 发现这个东东和很多它的同类产品一样, 只能在有网关的网络内有效, 而对于我们这样不用网关的网络, 就算网内arp流量大上天去, 它也无动于衷, 根本无法用于我们的中毒机器排查。 在网上找了一下, 发现国外一个共享软件XArp比较有用, 它是一个专业的Arp攻击检测软件, 可以不同的策略对局域网内的Arp流量进行检测分析, 并标记出可疑计算机Mac和IP等信息。 它有两个工作显示视图, 一个普通视图可以显示局域网内所有计算机ARP相关流量, 计算机MAC, IP, 主机名等信息, 当IP地址对应的MAC地址发生变化时, 会做出标记和提示, 如果你提高安全等级的设置, 还可以看到子网过滤的告警信息提示(由于我们的内网是无网关+固定ip的形式, 凡是在子网内发这种不存在的子网广播包的计算机, 都应是病毒计算机)。 另一个高级视图, 可以显示本机网络信息, 检测到的arp告警等。 在高级视图点击"copy to clipboard"按钮, 可以将下面的告警信息拷贝到text,excel等文件便于处理, 比如拷贝到excel文件之后, 删除掉无关的行和列, 再另存为csv文件, 以数据库文件的方式在access中打开这个csv文件, 转换成数据表, 再利用sql语句查询一下, 可以轻易得到可疑计算机的mac地址, 或者mac地址使用过的ip地址列表: 有了这些信息以后, 你就可以有根有据, 有商有量地和各个机主交涉了:) 另外, 最近发现, 我的抓包工具wireshark(就是以前的ethreal, .......什么?没听过, 当我没说...)在抓住本机发出的包时, 总是两个两个一起的重复显示(接收方那边并没有什么问题), 就连arp包也是如此, 最初以为中毒或系统问题, 后来wireshark论坛发现也有人有这个现象, 开发组说可能是系统或网卡镜像等原因造成, 不过以前没有这个问题啊, 所以肯定还是有什么原因导致, 暂时这个问题还没有解决, 如果有达人知道原因, 请不吝赐教。
上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。
|