快速定位端口 清除局域网ARP病毒
来源:互联网 发布:mac截图保存 编辑:程序博客网 时间:2024/05/30 07:12
如何能够快速检测定位出局域网中的ARP病毒电脑?面对着局域网中成百台电脑,一个一个地检测显然不是好办法。其实我们只要利用ARP 病毒的基本原理:发送伪造的ARP欺骗广播,中毒电脑自身伪装成网关的特性,就可以快速锁定中毒电脑。
识别ARP
可以设想用程序来实现以下功能:在网络正常的时候, 牢牢记住正确的网关IP地址和MAC地址,并且实时监控来自全网的ARP数据包。当发现有某个ARP数据包广播,来自正确网关IP地址其MAC地址竟然是其它电脑的MAC地址的时候,ARP欺骗发生了。对此可疑MAC地址报警,在根据网络正常时候的IP-MAC地址对照表查询该电脑,定位出其IP地址,这样就定位出中毒电脑了。
一般情况下,被ARP被攻击后,局域网内会出现以下两种现象:
1、不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。
2、计算机不能正常上网,出现网络中断的症状。
很多管理员认为有高级功能防火墙,可以得到相应的保护,恰恰相反,防火墙会误以为这是正常的请求数据包,不予拦截。由此而见,需要我们找到问题根源,找到源头,才能真正解决问题所在。当你的局域网内出现上面症状后,根据局域网大小,方可使用以下三种方法来检测ARP中毒电脑:
检测ARP攻击
一、 工具软件法:网上已经有很多ARP病毒定位工具软件,目前网络中做得较好的是ARP防火墙。打开ARP防火墙,输入网关IP地址后,再点击红色框内的“枚举MAC”按钮,即可获得正确网关的MAC地址,接着点击“自动保护”按钮,即可保护当前网卡与网关的正常通信。当局域网中存在ARP欺骗时,该数据包会被Anti ARP Sniffer记录,该软件会以气泡的形式报警。这时,我们再根据欺骗机的MAC地址,对比查找全网的IP-MAC地址对照表,即可快速定位出中毒电脑。
二、 命令行法:在受影响的电脑中查询一下当前网关的MAC地址,就知道中毒电脑的MAC地址了,在cmd命令提示行下输入查询命令为arp -a。这时,由于这个电脑的ARP表是错误的记录,因此,该MAC地址不是真正网关的MAC地址,而是中毒电脑的MAC地址!这时在根据全网的IP—MAC地址对照表,查找中毒电脑的IP地址就可以了。如果我们没有对IP地址和MAC地址进行绑定,甚至MAC地址也没有记录,此时就可以使用以下策略:在能上网的计算机上,进入MS-DOS窗口,输入命令:arp –a 查看网关IP对应的正确MAC地址,将其记录下来;如果已经不能上网,则先运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网,一旦能上网就立即将网络断掉,再运行arp –a。
三、Sniffer 抓包嗅探法:当局域网中有ARP病毒欺骗时,往往伴随着大量的ARP欺骗广播数据包,这时,流量检测机制应该能够很好的检测出网络的异常举动。局域网中有电脑发送ARP广播包的情况是存在的,但是如果不停的大量发送,就很可疑了。如此台192.168.0.109 电脑正是一个ARP中毒电脑。
此时利用网络监视器就可以抓取网络中的数据包,先查出发送arp数据的电脑的IP(可能是假的)及MAC地址,然后找对应的机器就很容易找到中毒的机器了。
ARP病毒的清除
处理原则:及时恢复网络,再查找根源,最后清除病毒。
比如:有一台计算机中ARP病毒后,第一时间不能确定具体的那台计算机,这种情况下,可先保证网络正常运行:
一、在中毒客户端主机运行 arp -d ,清除arp列表,可暂时恢复该主机正常网络通讯。
二、在中毒客户端主机进行针对网关的静态IP-MAC地址绑定,命令arp -s 网关ip 网关mac,为避免计算机重启后记录失效,可编写一个批处理文件rarp1.bat,内容如下:
@echo off
arp –d
arp -s 您自己的网关Ip地址和MAC地址
将这个批处理软件拖到“windows--开始--程序--启动”中。
三、编写一个批处理,定时刷新arp缓存表
脚本代码如下: 主程序arp.bat
@echo off
cscript sleep.vbs
arp –d
exit
辅助计时程序 sleep.vbs
wscript.sleep 3000
就这样,把代码复制到记事本里,然后分别保存为arp3.bat,其中的3000 是指ARP更新的时间。然后根据定位端口的方式找到病毒源,给予清除。
ARP病毒的防御
设置静态的MAC-->IP对应表,不要让主机刷新你设定好的转换表。除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。在使用ARP服务器时应通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播,确保ARP服务器不被黑。并且使用硬件屏蔽主机,首先设置好路由,确保IP地址能到达合法的路径(静态配置路由ARP条目)。如:华 为的H3C AR 18-6X 系列全千兆以太网路由器就可以实现局域网中的ARP病毒免疫,该路由器提供MAC和IP地址绑定功能,可以根据用户的配置,在特定的IP地址和MAC地址 之间形成关联关系。对于声称从这个IP地址发送的报文,如果其MAC地址不是指定关系对中的地址,路由器将予以丢弃,是避免IP地址假冒攻击的一种方式。其次管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性,并检查主机上的ARP缓存。
安全建议
一、在网络正常时候保存好全网的IP—MAC地址对照表,这样在查找ARP中毒电脑时很方便。
二、都全网的电脑都打上MS06-014和MS07-017这两个补丁,包括所有的客户端和服务器,以免感染网页木马。
三、部署网络流量检测设备,时刻监视全网的ARP广播包,查看其MAC地址是否正确。
四、做好IP—MAC地址的绑定工作,对于从这个IP地址发送的报文,如果其MAC地址不是指定关系对中的地址,予以丢弃。
五、部署网络版的杀毒软件,定期升级病毒库,定期全网杀毒。
识别ARP
可以设想用程序来实现以下功能:在网络正常的时候, 牢牢记住正确的网关IP地址和MAC地址,并且实时监控来自全网的ARP数据包。当发现有某个ARP数据包广播,来自正确网关IP地址其MAC地址竟然是其它电脑的MAC地址的时候,ARP欺骗发生了。对此可疑MAC地址报警,在根据网络正常时候的IP-MAC地址对照表查询该电脑,定位出其IP地址,这样就定位出中毒电脑了。
一般情况下,被ARP被攻击后,局域网内会出现以下两种现象:
1、不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。
2、计算机不能正常上网,出现网络中断的症状。
很多管理员认为有高级功能防火墙,可以得到相应的保护,恰恰相反,防火墙会误以为这是正常的请求数据包,不予拦截。由此而见,需要我们找到问题根源,找到源头,才能真正解决问题所在。当你的局域网内出现上面症状后,根据局域网大小,方可使用以下三种方法来检测ARP中毒电脑:
检测ARP攻击
一、 工具软件法:网上已经有很多ARP病毒定位工具软件,目前网络中做得较好的是ARP防火墙。打开ARP防火墙,输入网关IP地址后,再点击红色框内的“枚举MAC”按钮,即可获得正确网关的MAC地址,接着点击“自动保护”按钮,即可保护当前网卡与网关的正常通信。当局域网中存在ARP欺骗时,该数据包会被Anti ARP Sniffer记录,该软件会以气泡的形式报警。这时,我们再根据欺骗机的MAC地址,对比查找全网的IP-MAC地址对照表,即可快速定位出中毒电脑。
二、 命令行法:在受影响的电脑中查询一下当前网关的MAC地址,就知道中毒电脑的MAC地址了,在cmd命令提示行下输入查询命令为arp -a。这时,由于这个电脑的ARP表是错误的记录,因此,该MAC地址不是真正网关的MAC地址,而是中毒电脑的MAC地址!这时在根据全网的IP—MAC地址对照表,查找中毒电脑的IP地址就可以了。如果我们没有对IP地址和MAC地址进行绑定,甚至MAC地址也没有记录,此时就可以使用以下策略:在能上网的计算机上,进入MS-DOS窗口,输入命令:arp –a 查看网关IP对应的正确MAC地址,将其记录下来;如果已经不能上网,则先运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网,一旦能上网就立即将网络断掉,再运行arp –a。
三、Sniffer 抓包嗅探法:当局域网中有ARP病毒欺骗时,往往伴随着大量的ARP欺骗广播数据包,这时,流量检测机制应该能够很好的检测出网络的异常举动。局域网中有电脑发送ARP广播包的情况是存在的,但是如果不停的大量发送,就很可疑了。如此台192.168.0.109 电脑正是一个ARP中毒电脑。
此时利用网络监视器就可以抓取网络中的数据包,先查出发送arp数据的电脑的IP(可能是假的)及MAC地址,然后找对应的机器就很容易找到中毒的机器了。
ARP病毒的清除
处理原则:及时恢复网络,再查找根源,最后清除病毒。
比如:有一台计算机中ARP病毒后,第一时间不能确定具体的那台计算机,这种情况下,可先保证网络正常运行:
一、在中毒客户端主机运行 arp -d ,清除arp列表,可暂时恢复该主机正常网络通讯。
二、在中毒客户端主机进行针对网关的静态IP-MAC地址绑定,命令arp -s 网关ip 网关mac,为避免计算机重启后记录失效,可编写一个批处理文件rarp1.bat,内容如下:
@echo off
arp –d
arp -s 您自己的网关Ip地址和MAC地址
将这个批处理软件拖到“windows--开始--程序--启动”中。
三、编写一个批处理,定时刷新arp缓存表
脚本代码如下: 主程序arp.bat
@echo off
cscript sleep.vbs
arp –d
exit
辅助计时程序 sleep.vbs
wscript.sleep 3000
就这样,把代码复制到记事本里,然后分别保存为arp3.bat,其中的3000 是指ARP更新的时间。然后根据定位端口的方式找到病毒源,给予清除。
ARP病毒的防御
设置静态的MAC-->IP对应表,不要让主机刷新你设定好的转换表。除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。在使用ARP服务器时应通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播,确保ARP服务器不被黑。并且使用硬件屏蔽主机,首先设置好路由,确保IP地址能到达合法的路径(静态配置路由ARP条目)。如:华 为的H3C AR 18-6X 系列全千兆以太网路由器就可以实现局域网中的ARP病毒免疫,该路由器提供MAC和IP地址绑定功能,可以根据用户的配置,在特定的IP地址和MAC地址 之间形成关联关系。对于声称从这个IP地址发送的报文,如果其MAC地址不是指定关系对中的地址,路由器将予以丢弃,是避免IP地址假冒攻击的一种方式。其次管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性,并检查主机上的ARP缓存。
安全建议
一、在网络正常时候保存好全网的IP—MAC地址对照表,这样在查找ARP中毒电脑时很方便。
二、都全网的电脑都打上MS06-014和MS07-017这两个补丁,包括所有的客户端和服务器,以免感染网页木马。
三、部署网络流量检测设备,时刻监视全网的ARP广播包,查看其MAC地址是否正确。
四、做好IP—MAC地址的绑定工作,对于从这个IP地址发送的报文,如果其MAC地址不是指定关系对中的地址,予以丢弃。
五、部署网络版的杀毒软件,定期升级病毒库,定期全网杀毒。
- 快速定位端口 清除局域网ARP病毒
- 如何清除局域网中的ARP病毒
- 教你如何清除局域网中的ARP病毒
- 手把手教你如何清除局域网中的ARP病毒
- 局域网ARP病毒
- 局域网ARP病毒
- ARP病毒清除方法
- arp病毒清除方法
- ARP病毒清除方法
- 局域网arp病毒机排查
- 实战捕获局域网ARP病毒
- 实战捕获局域网ARP病毒
- 局域网ARP病毒的清理
- 局域网ARP病毒的清理
- 局域网ARP病毒的清理
- ARP病毒攻击不断危害升级 局域网该如何防范
- arp病毒
- ARP病毒
- SQLServer和Oracle常用函数对比
- 锻造软件需求人员的六大要素
- 使用.NET开发数据库应用程序(1)---给初学者看的文章
- CLR一书译者(PART III和Part V)对Renart勘误的回应
- 认识“Silverlight”
- 快速定位端口 清除局域网ARP病毒
- Be Flying工作室翻译的重点、重量级图书
- 陆俊辞官背后鲜为人知的尴尬
- Python IDEs
- 企业管理软件的需求描述方法
- CSocket超时(Time-Out)功能的设置及其局限性
- 风险投资关注的十个内容
- 纳新通告
- 《给初学者的Windows Vista的补遗手册》之070
