明辉站/杀毒教程/内容

用命令行方法搜索中ARP地址欺骗病毒的电脑

杀毒教程2023-07-11 阅读
[摘要]如何能够快速检测定位出局域网中的ARP病毒电脑? 面对着局域网中成百台电脑, 一个一个地检测显然不是好办法。 其实我们只要利用ARP病毒的基本原理:发送伪造的ARP欺骗广播, 中毒电脑自身伪装成网关的特性, 就可以快速锁定中毒电脑。 可以设想用程序来实现以下功能:在网络正常的时候, 牢牢记住...

如何能够快速检测定位出局域网中的ARP病毒电脑?

面对着局域网中成百台电脑, 一个一个地检测显然不是好办法。 其实我们只要利用ARP病毒的基本原理:发送伪造的ARP欺骗广播, 中毒电脑自身伪装成网关的特性, 就可以快速锁定中毒电脑。 可以设想用程序来实现以下功能:在网络正常的时候, 牢牢记住正确网关的IP地址和MAC地址, 并且实时监控着来自全网的ARP数据包, 当发现有某个ARP数据包广播, 其IP地址是正确网关的IP地址, 但是其MAC地址竟然是其它电脑的MAC地址的时候, 这时, 无疑是发生了ARP欺骗。 对此可疑MAC地址报警, 在根据网络正常时候的IP-MAC地址对照表查询该电脑, 定位出其IP地址, 这样就定位出中毒电脑了。 下面详细说一下如何利用命令行方式检测ARP中毒电脑的方法。

命令行法

这种方法比较简便, 不利用第三方工具, 利用系统自带的ARP命令即可完成。 当局域网中发生ARP欺骗的时候, ARP病毒电脑会向全网不停地发送ARP欺骗广播, 这时局域网中的其它电脑就会动态更新自身的ARP缓存表, 将网关的MAC地址记录成ARP病毒电脑的MAC地址, 这时候我们只要在其它受影响的电脑中查询一下当前网关的MAC地址, 就知道中毒电脑的MAC地址了, 查询命令为  ARP -a, 需要在cmd命令提示行下输入。 输入后的返回信息如下:

Internet Address      Physical Address        Type192.168.0.1          00-50-56-e6-49-56      dynamic

这时, 由于这个电脑的ARP表是错误的记录, 因此, 该MAC地址不是真正网关的MAC地址, 而是中毒电脑的MAC地址!这时, 再根据网络正常时, 全网的IP—MAC地址对照表, 查找中毒电脑的IP地址就可以了。 由此可见, 在网络正常的时候, 保存一个全网电脑的IP—MAC地址对照表是多么的重要。 可以使用nbtscan工具扫描全网段的IP地址和MAC地址, 保存下来, 以备后用。

 


上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。

……

相关阅读